Тестирование на проникновение
Тестирование на проникновение — метод оценки безопасности
От того, насколько надежно защищена от злоумышленников ИТ-инфраструктура, зависит сохранение конфиденциальной информации и репутация компании. Поэтому так важно проверить на практике её защищенность. Зачастую даже оптимальный набор средств защиты может иметь неверные настройки конфигурации, что приводит к появлению уязвимостей и повышению вероятности реализации угроз.
Работы по тестированию на проникновение направлены на:
Получение независимой и комплексной оценки текущего уровня защищенности.
Получение независимой оценки осведомленности сотрудников в вопросах информационной безопасности.
Разработка рекомендаций по устранению выявленных уязвимостей.
В ходе выполнения работ проводится внешний и внутренний анализ защищенности и тестирование методами социальной инженерии.
Задачи, решаемые при проведении анализа защищенности:
- Выявление уязвимостей ИБ и способов их эксплуатации.
- Проверка возможности проникновения из внешних сетей в локальную вычислительную сеть.
- Разработка рекомендаций по повышению уровня защищенности за счёт устранения выявленных уязвимостей.
Если в ходе работ по анализу защищенности принимается решение о необходимости немедленного устранения выявленных уязвимостей, то осуществляются следующие действия:
- фиксация результатов эксплуатации уязвимости (в виде снимков экрана, записи действий специалистов, журналов работы системы и т.д.)
- определение необходимости и согласование способов устранения уязвимости
- устранение уязвимости
Этапы проведения тестирования
При выполнении работ по анализу защищенности используются универсальные сканеры уязвимостей, позволяющие обнаруживать уязвимости приложений, ОС и сетевой инфраструктуры, а также специализированное ПО. Работы по тестированию на проникновение проводятся в три этапа и включают следующие стадии:
Этап 1 – внешний анализ защищенности:
Работы проводятся удаленно с использованием внешних сетей передачи данных (сеть Интернет).
- Составление плана проведения внешнего анализа защищенности и его согласование с рабочей группой
- Проведение внешнего анализа защищенности
- Анализ результатов, составление отчета и его согласование с рабочей группой
Этап 2 – внутренний анализ защищенности:
Работы проводятся на объекте заказчика.
- Составление плана внутреннего анализа защищенности и его согласование с рабочей группой
- Проведение внутреннего анализа защищенности
- Анализ результатов, составление отчета и его согласование с рабочей группой
Этап 3 – тестирование методами социальной инженерии:
Работы проводятся удаленно с использованием внешних сетей передачи данных (сеть Интернет).
- Составление плана тестирования методами социальной инженерии и его согласование с рабочей группой
- Проведение тестирования методами социальной инженерии
- Анализ результатов, составление отчета и его согласование с рабочей группой
Проведение внешнего анализа защищенности
Целью настоящего этапа работ является проверка возможностей злоумышленника по осуществлению несанкционированного доступа к ресурсам и конфиденциальной информации.
Анализ защищённости проводится по модели «черного ящика» (отсутствие санкционированного доступа, исходных данных о конфигурации и применяемых средствах защиты информации).
В рамках внешнего анализа защищенности выполняются следующие типы работ:
- сбор общедоступной информации о внешних ресурсах, доступных из внешних сетей передачи данных
- сбор данных об инфраструктуре (сетевых сервисах, операционных системах и прикладном программном обеспечении внешних ресурсов), выявление уязвимостей с использованием специализированного ПО и универсальных сканеров защищенности
- поиск уязвимостей ресурсов и их инфраструктурных компонентов с использованием сканеров защищенности и специализированного ПО
- эксплуатация выявленных уязвимостей с использованием специализированного ПО и вручную для определения актуальности выявленных уязвимостей и возможности получения НСД к компонентам программных продуктов и конфиденциальной информации
В процессе поиска уязвимостей проверяется наличие, в том числе, следующих основных типов уязвимостей:
- внедрение фрагментов кода (например, внедрение операторов SQL, внедрение команд операционной системы
- небезопасно реализованные процедуры аутентификации и управления сессиями
- межсайтовый скриптинг
- ошибки контроля доступа (например, прямые ссылки на объекты с конфиденциальной информацией, уязвимости прохождения директорий)
- небезопасная конфигурация ПО (например, включение листинга каталогов)
- раскрытие конфиденциальной информации (например, предоставление пользователю персональных данных других пользователей)
- ошибки ограничения доступа пользователя к определенным функциям
- межсайтовая подделка запросов
- неправильная обработка ошибок, предоставляющая дополнительную информацию об исследуемой системе
- использование ОС и ПО с известными уязвимостями
- открытое перенаправление
- обработка внешних сущностей XML
- неправильная обработка ошибок, предоставляющая дополнительную информацию об исследуемой системе
- использование простых паролей при аутентификации
Проведение внутреннего анализа защищенности
Целью настоящего этапа работ является проверка возможностей злоумышленника по осуществлению несанкционированного доступа (далее – НСД) к ресурсам и конфиденциальной информации.
Анализ защищённости проводится по модели «серого ящика» (с предоставлением санкционированного доступа к системам).
В рамках внутреннего анализа защищенности выполняются следующие типы работ:
- сбор данных об инфраструктуре (сетевых сервисах, операционных системах и прикладном программном обеспечении внешних ресурсов), выявление уязвимостей с использованием специализированного ПО и универсальных сканеров защищенности
- поиск уязвимостей ресурсов Заказчика и их инфраструктурных компонентов с использованием сканеров защищенности и специализированного ПО
- эксплуатация выявленных уязвимостей с использованием специализированного ПО и вручную для определения актуальности выявленных уязвимостей и возможности получения НСД к компонентам программных продуктов и конфиденциальной информации
В процессе поиска уязвимостей проверяется наличие, в том числе, следующих основных типов уязвимостей:
- внедрение фрагментов кода (например, внедрение операторов SQL, внедрение команд операционной системы
- небезопасно реализованные процедуры аутентификации и управления сессиями
- межсайтовый скриптинг
- ошибки контроля доступа (например, прямые ссылки на объекты с конфиденциальной информацией, уязвимости прохождения директорий)
- небезопасная конфигурация ПО (например, включение листинга каталогов)
- раскрытие конфиденциальной информации (например, предоставление пользователю персональных данных других пользователей)
- ошибки ограничения доступа пользователя к определенным функциям
- межсайтовая подделка запросов
- неправильная обработка ошибок, предоставляющая дополнительную информацию об исследуемой системе
- использование ОС и ПО с известными уязвимостями
- открытое перенаправление
- обработка внешних сущностей XML
- неправильная обработка ошибок, предоставляющая дополнительную информацию об исследуемой системе
- использование простых паролей при аутентификации
Проведение тестирования методами социальной инженерии
Целью настоящего этапа работ является оценка осведомленности сотрудников заказчика в вопросах ИБ.
В рамках тестирования методами социальной инженерии выполняются атаки на сотрудников заказчика по следующим сценариям:
- Фишинг - осуществляется атака посредством электронной почты. Пример атаки: Сотруднику высылается ссылка от лица компании с «новым и очень полезным сервисом» для его работы. В письме есть описание сервиса и как он именно должен помочь в работе конкретному сотруднику. Так же, в письме есть просьба проверить функционал и всё ли корректно работает. Работы нацелены на то, чтобы сотрудник зашёл на этот сервис и попытался зарегистрироваться с использованием доменных учётных данных.
- Троянский конь - осуществляется атака посредством электронной почты. Пример атаки: Сотруднику высылается исполняемый файл, при этом содержание письма может быть разным, в зависимости от должности сотрудника: договор для менеджера, список ошибок для программиста и др. Работы нацелены на то, чтобы сотрудник запустил программу на локальном компьютере и на фиксацию факта запуска такой программы.
- Атака по телефону - осуществляется атака посредством телефонного звонка. Работы нацелены на то, чтобы войти в доверие к сотруднику, придумывая правдоподобную легенду, а затем узнать конфиденциальную информацию или учетные данные сотрудника. Пример легенды: «Новый сотрудник тех. поддержки делает первое задание по разворачиванию сервиса и надо проверить, что он корректно работает. Просит сотрудника о помощи: зайти самостоятельно или сказать свой логин и пароль».
Анализ результатов
Результатом работ является отчет, содержащий следующую информацию:
- Цель и границы проводимых работ.
- Состав и методика проведения работ по анализу защищенности.
- Перечень актуальных уязвимостей ИБ.
- Результаты проведенных проверок.
- Результаты эксплуатации актуальных уязвимостей ИБ.
- Рекомендации по устранению выявленных уязвимостей ИБ и повышению уровня защищенности.
Преимущества работы с «Газинформсервис»:
Есть вопросы? Обратитесь к нашим специалистам