Тестирование на проникновение (pentest) – что это?

0
313

Тест на проникновение, также известный как пентест (penetration test, pentest), представляет собой имитацию хакерской атаки на компьютерную систему для проверки уязвимостей, которые можно использовать для несанкционированного доступа. Он может включать в себя попытку взлома любых типов систем, например интерфейсов прикладных протоколов (API), frontend/backend серверов и так далее.

В контексте безопасности веб-приложений тестирование на проникновение обычно используется для совершенствования файрвола веб-приложений (web application firewall, WAF). Данные, полученные в ходе пентеста, используются для тонкой настройки политики безопасности WAF и устранения обнаруженных уязвимостей.

Услуги по тестированию на проникновение и анализу уязвимостей оказываются профильными организациями с лицензией ФСТЭК на техническую защиту конфиденциальной информации (из лидеров рынка — RTM Group).

Этапы тестирования на проникновение

Процесс проведения пентеста можно условно разделить на пять этапов.

1. Планирование и сбор данных

Первый этап включает в себя:

  • Определение масштаба и целей тестирования, включая системы, которые необходимо проверить, и методы тестирования, которые будут использоваться.
  • Сбор данных (например, сетевые и доменные имена, почтовый сервер), чтобы лучше понять, как работает объект и обнаружить его потенциальные уязвимости.

2. Сканирование

Следующий шаг — понять, как целевое приложение будет реагировать на различные попытки несанкционированного доступа. Обычно это делается с помощью:

  • Статический анализ — проверка кода приложения, чтобы оценить, как оно ведет себя во время работы. Эти инструменты могут сканировать весь код за один проход.
  • Динамический анализ — проверка кода приложения в запущенном состоянии. Это более практичный способ сканирования, поскольку он позволяет получить представление о производительности приложения в реальном времени.

3. Получение доступа

  • Для выявления уязвимостей объекта на этом этапе используются атаки на веб-приложения. К ним относятся такие методы, как: межсайтовый скриптинг, SQL-инъекции, бэкдоры и другие.
  • Затем тестировщики пытаются использовать эти уязвимости. Основные способы: повышение уровня привилегий, кража данных, перехват трафика и т.д. Методы чередуются – нужно понять, какой ущерб может нанести каждый из них.

4. Поддержание доступа

Цель этого этапа – выяснить, можно ли использовать найденную уязвимость для достижения постоянного присутствия в эксплуатируемой системе. То есть достаточно долгого, чтобы злоумышленник получил полный контроль над последней.

Основная идея этапа состоит в имитации продвинутых угроз постоянного характера, которые часто остаются в системе в течение нескольких месяцев. Именно они позволяют украсть самые важные данные организации или совершить действия, которые нанесут непоправимый ущерб.

5. Анализ

Результаты теста на проникновение собираются в отчет с подробным описанием:

  • конкретные уязвимости, которые были использованы
  • важные данные, к которым был получен доступ
  • количество времени, в течение которого пентестеру удалось оставаться в системе незамеченным.

Эта информация анализируется сотрудниками службы безопасности, чтобы корректно настроить параметры WAF предприятия, а также использовать другие решения по обеспечению безопасности, устранению уязвимостей и защиты от атак вероятных атак в будущем.

Методы тестирования на проникновение

Внешнее тестирование

Внешние тесты на проникновение направлены на ресурсы компании, которые видны в Интернете. Например, это само веб-приложение, веб-сайт компании, электронная почта и серверы доменных имен (DNS). Цель – получить доступ и извлечь ценные данные.

Внутреннее тестирование

При внутреннем тестировании тестировщик, имеющий доступ к приложению за брандмауэром, имитирует атаку злоумышленника-инсайдера. Это не обязательно имитация сотрудника с недобросовестными намерениями. Распространённым начальным сценарием может быть фишинговая атака на аккаунт сотрудника с последующей кражей данных.

Слепое тестирование

При слепом тестировании тестировщику сообщается только название предприятия, на которое направлена атака. Это позволяет сотрудникам службы безопасности в режиме реального времени увидеть, как будет происходить атака на действующую систему.

Двойное слепое тестирование

При двойном слепом тестировании сотрудники службы безопасности ничего не знают о проводимой атаке. Как и в реальном мире, у них не будет времени на укрепление своей защиты перед попыткой взлома.

Целевое тестирование

В этом сценарии тестировщик и сотрудники службы безопасности работают вместе и держат друг друга в курсе своих действий. Это полезное тренировочное упражнение, которое дает команде безопасности наиболее точно оценить методологию работы хакера.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь