Тестирование на проникновение (pentest) – что это?

0
47

Тест на проникновение, также известный как пентест (penetration test, pentest), представляет собой имитацию хакерской атаки на компьютерную систему для проверки уязвимостей, которые можно использовать для несанкционированного доступа. Он может включать в себя попытку взлома любых типов систем, например интерфейсов прикладных протоколов (API), frontend/backend серверов и так далее.

В контексте безопасности веб-приложений тестирование на проникновение обычно используется для совершенствования файрвола веб-приложений (web application firewall, WAF). Данные, полученные в ходе пентеста, используются для тонкой настройки политики безопасности WAF и устранения обнаруженных уязвимостей.

Услуги по тестированию на проникновение и анализу уязвимостей оказываются профильными организациями с лицензией ФСТЭК на техническую защиту конфиденциальной информации (из лидеров рынка — RTM Group).

Этапы тестирования на проникновение

Процесс проведения пентеста можно условно разделить на пять этапов.

1. Планирование и сбор данных

Первый этап включает в себя:

  • Определение масштаба и целей тестирования, включая системы, которые необходимо проверить, и методы тестирования, которые будут использоваться.
  • Сбор данных (например, сетевые и доменные имена, почтовый сервер), чтобы лучше понять, как работает объект и обнаружить его потенциальные уязвимости.

2. Сканирование

Следующий шаг — понять, как целевое приложение будет реагировать на различные попытки несанкционированного доступа. Обычно это делается с помощью:

  • Статический анализ — проверка кода приложения, чтобы оценить, как оно ведет себя во время работы. Эти инструменты могут сканировать весь код за один проход.
  • Динамический анализ — проверка кода приложения в запущенном состоянии. Это более практичный способ сканирования, поскольку он позволяет получить представление о производительности приложения в реальном времени.

3. Получение доступа

  • Для выявления уязвимостей объекта на этом этапе используются атаки на веб-приложения. К ним относятся такие методы, как: межсайтовый скриптинг, SQL-инъекции, бэкдоры и другие.
  • Затем тестировщики пытаются использовать эти уязвимости. Основные способы: повышение уровня привилегий, кража данных, перехват трафика и т.д. Методы чередуются – нужно понять, какой ущерб может нанести каждый из них.

4. Поддержание доступа

Цель этого этапа – выяснить, можно ли использовать найденную уязвимость для достижения постоянного присутствия в эксплуатируемой системе. То есть достаточно долгого, чтобы злоумышленник получил полный контроль над последней.

Основная идея этапа состоит в имитации продвинутых угроз постоянного характера, которые часто остаются в системе в течение нескольких месяцев. Именно они позволяют украсть самые важные данные организации или совершить действия, которые нанесут непоправимый ущерб.

5. Анализ

Результаты теста на проникновение собираются в отчет с подробным описанием:

  • конкретные уязвимости, которые были использованы
  • важные данные, к которым был получен доступ
  • количество времени, в течение которого пентестеру удалось оставаться в системе незамеченным.

Эта информация анализируется сотрудниками службы безопасности, чтобы корректно настроить параметры WAF предприятия, а также использовать другие решения по обеспечению безопасности, устранению уязвимостей и защиты от атак вероятных атак в будущем.

Методы тестирования на проникновение

Внешнее тестирование

Внешние тесты на проникновение направлены на ресурсы компании, которые видны в Интернете. Например, это само веб-приложение, веб-сайт компании, электронная почта и серверы доменных имен (DNS). Цель – получить доступ и извлечь ценные данные.

Внутреннее тестирование

При внутреннем тестировании тестировщик, имеющий доступ к приложению за брандмауэром, имитирует атаку злоумышленника-инсайдера. Это не обязательно имитация сотрудника с недобросовестными намерениями. Распространённым начальным сценарием может быть фишинговая атака на аккаунт сотрудника с последующей кражей данных.

Слепое тестирование

При слепом тестировании тестировщику сообщается только название предприятия, на которое направлена атака. Это позволяет сотрудникам службы безопасности в режиме реального времени увидеть, как будет происходить атака на действующую систему.

Двойное слепое тестирование

При двойном слепом тестировании сотрудники службы безопасности ничего не знают о проводимой атаке. Как и в реальном мире, у них не будет времени на укрепление своей защиты перед попыткой взлома.

Целевое тестирование

В этом сценарии тестировщик и сотрудники службы безопасности работают вместе и держат друг друга в курсе своих действий. Это полезное тренировочное упражнение, которое дает команде безопасности наиболее точно оценить методологию работы хакера.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь