В настоящее время термин «пентест» встречается повсеместно, как на известных ИТ-ресурсах, так и в статьях специалистов по информационной безопасности.  Но не всегда и всем понятно, для чего и как проводить тестирование на проникновение (penetration testing, пентест).

Приведем в пример два кейса из нашего опыта.

Случай первый: ИТ-стартап разрабатывает мобильное и веб-приложение для крупного корпоративного заказчика.  В требованиях технического задания указано, что веб-приложение должно успешно противостоять 10 основным актуальным угрозам безопасности по версии организации OWASP. Разработчик гарантирует, что это так и есть, также обещает выполнить и ряд других требований по информационной безопасности, которые выдвинул Заказчик. А как это проверить на практике? Наши рекомендации – выполнить тестирование на проникновение, в данном случае провести аудит веб-приложения.

Как работает исследователь? Пентестер осуществляет «компрометацию» веб-сервера, получает доступ к информации из БД, при этом он эксплуатирует известные уязвимости из OWASP TOP 10.  В случае с мобильным приложением, исследователь скачивает его, запускает в «песочнице» (Sandbox), восстанавливает исходный код и анализирует потенциальные уязвимости.

Случай №2: компания собирается работать с персональными данными (ПД) держателей платежных карт и ей необходимо пройти сертификацию PCI DSS.  В данном случае, пентест проводит специализированная аудиторская организация, которая проверяет надежность всех решений, используемых для защиты данных платежных карт пользователей. В ходе проверки пентестеры пытаются получить доступ в корпоративную сеть, найти уязвимости и реализовать потенциальные угрозы безопасности.

Тестирование на проникновение проходит в несколько этапов:

 - сканирование IP адресов компании и выявление открытых портов;

 - попытка доступа к внутренним ресурсам корпоративной сети из недоверенной сети по VPN;

 - попытка доступа к внутренней инфраструктуре с использованием данных учетной записи одного из рядовых сотрудников компании.

По результатам тестирования, исследователи готовят отчет, который содержит полную информацию об обнаруженных уязвимостях. Уязвимости, как правило, классифицируют по степени критичности (низкая, средняя и высокая степень критичности). Компания, на основании отчета и рекомендаций исследователей, устраняет уязвимости и повышает защищенность своей ИТ-инфраструктуры.

Таким образом, из примеров можно понять, что тестирование на проникновение – это практический способ оценки защищенности ИТ-инфраструктуры компании, в ходе которой исследователь моделирует реальную хакерскую атаку.  При проведении пентеста, исследователь может использовать различные виды и методы работы, в зависимости от постановки задачи Заказчиком.

Например, представители Заказчика могут вообще не предоставить пентестеру никакой информации о корпоративной сети компании, в таком случае, исследователь должен выполнить внешний пентест с использованием модели «черного ящика». Как будет работать специалист по тестированию на проникновение? Он будет действовать как обычный хакер в условиях внешней атаки на корпоративную сеть. Для начала, специалист соберет информацию о компании из открытых источников, применит методы социальной инженерии (рассылка фишинговых писем сотрудникам компании и т.д.). Таким образом, исследователь попытается получить учетные данные привилегированных пользователей корпоративной сети.

В некоторых случаях эффективна модель «белого ящика», когда исследователь имеет «инсайдерскую информацию» о корпоративной ИТ-инфраструктуре компании и данные учетных записей привилегированных пользователей (администраторов сети, БД и т.д.). Иногда пентестеру предоставляют только часть информации, а остальную он должен будет найти самостоятельно, используя уязвимости сети.

В ходе тестирования, исследователь проверяет как внутренние ресурсы компании, т.е. корпоративную сеть, сервера, БД и т.д., так и внешние ресурсы, например, корпоративные сайты и мобильные приложения. Способы тестирования различаются, как видно из наших практических кейсов №1 и 2.

На что еще нужно обратить внимание при проведении тестирования на проникновение? Часто хакеры эксплуатируют уязвимости в так называемой «теневой» ИТ-инфраструктуре компании (Shadow-IT), это системы видеонаблюдения, IP-телефония и т.д. Во многих организациях эти системы находятся вне компетенции сотрудников ИТ-департаментов, поэтому часто не обновляются и подвержены уязвимостям.

Ну и конечно же, при проведении пентеста, необходимо опираться на нормативные документы в области ИБ, например, PCI DSS, OWASP Testing Guide, NIST, рекомендации ФСТЭК и СТО БР РФ. Также исследователь должен работать строго в рамках законодательства и договорных обязательств с Заказчиком, соблюдать этические нормы «белых хакеров».

В результате проведенного тестирования на проникновение, ИТ и ИБ службы Заказчика могут получить конкретную информацию об обнаруженных уязвимостях и потенциальных векторах атак, оценить затраты на проведение атаки, построить модель нарушителя и на основании этой полезной и практической информации выстроить наиболее эффективную систему защиты ИТ-инфраструктуры компании.

Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: