Тестирование на проникновение

Информационная безопасность – это непрерывный процесс, а отнюдь не готовый продукт «из коробки» и не разовое мероприятие.

Можно закупить, установить и правильно настроить самые современные средства защиты, и все это не будет гарантировать 100% безопасность. Ежедневно внедряются новейшие технологии и программное обеспечение, обнаруживаются уязвимости и «закладки», вредоносные программы, совершенствуются техники кибератак.

Поэтому перед специалистами ИБ встают следующие вопросы.

✔Как проверить ИТ-инфраструктуру компании в условиях реальной кибератаки?

✔ Готова ли служба ИБ к предотвращению атак?

✔ Будет ли работать политика безопасности организации в условиях постоянно возникающих угроз и готов ли персонал к таким вызовам?

✔Какая модель нарушителя и модель угроз актуальна сегодня?

Для того чтобы получить ответы на них, необходимо провести тестирование системы на проникновение.

Что дает пентест

Тестирование на проникновение (penetration testing, пентест) — это способ оценить безопасность систем или сетей путем моделирования реальной хакерской атаки. Такое исследование проводится с позиции атакующей стороны, используются всевозможные уязвимости системы.

После проведения пентеста заказчику предоставляется отчет, в котором описываются:

- потенциально опасные уязвимости и вектора атак;

- оценки временных и материальных затрат на проведение атаки;

- модель нарушителя;

- рекомендации по устранению уязвимостей в системе и построению эффективной системы защиты.

Виды тестирования

Различаются в зависимости от степени информированности «атакующих» о системах заказчика:

- внешний пентест без предоставления какой-либо информации от заказчика и учетных данных;

- внешний пентест с предоставлением учетных данных и информации от заказчика;

- внутренний пентест без предоставления учетных данных;

- внутренний пентест с предоставлением учетных данных.

Методики

Методики проведения тестов на проникновения, как правило, бывают следующие:

- пентест, проводимый техническими методами, т.е. поиск уязвимостей оборудования и ПО заказчика и эксплуатация их; такой вид тестирования согласовывается заранее со службой ИБ и руководством предприятия;

- пентест с применением методов социальной инженерии, тестируется персонал компании на знание и применение политики безопасности организации;

- пентест, совмещающий предыдущие два подхода (социотехнический).

Модели

Среди специалистов ИБ также принята такая терминология: тестирование по модели «черного ящика» и «белого ящика».

В первом случае пентестеры не имеют никаких сведений об ИТ-инфраструктуре и системе защиты заказчика, их цель – смоделировать классическую внешнюю хакерскую атаку. Как правило, используются методы социальной инженерии (фишинговые письма сотрудникам, сбор информации в открытых источниках и т.д.), естественно, персонал не предупрежден о такой проверке.

Модель «белого ящика» предполагает, что «атакующие» имеют полную информацию о системе заказчика, т.е. в данном случае, имитируется вариант атаки с использованием инсайдерской информации.

Бывает и промежуточный вариант, когда «атакующий» все-таки располагает некоторой информацией о системе заказчика, но она не полная (модель «серого ящика»).

Объекты исследования

В этой роли выступают как внутренние системы заказчика (корпоративные сети, СУБД, сервера, прикладное ПО, ОС, сетевое оборудование, средства защиты информации и т.д.), так и внешние: мобильные, веб-приложения и т.д.

Области внимания

В тестировании на проникновение веб-сайтов и мобильных приложений есть свои особенности. «Атака» на веб-ресурсы компании подразумевает компрометацию веб-серверов, информации из БД, персональных данных клиентов, при этом эксплуатируются достаточно известные уязвимости из OWASP TOP 10 (например, XSS).

Мобильные приложения пентестер может закачать из открытых источников и провести детальное исследование, которое включает запуск приложения в «песочнице» (Sandbox), восстановление исходного кода и его анализ на наличие уязвимостей, изучение взаимодействия мобильного приложения с сервером.

«Атакующая сторона» также исследует «теневую» ИТ-инфраструктуру компании (Shadow IT), например, системы IP-телефонии, видеонаблюдения и т.д. ПО этих систем своевременно не обновляется и незащищено, такие системы часто не учтены ИТ-департаментом, в то время как «атакующий» ищет любой самый короткий путь, чтобы проникнуть в корпоративную сеть компании.

Чем руководствуемся

При проведении тестирования на проникновение необходимо учитывать методики и рекомендации: NIST, ISO27001, PCI DSS, PTES, OWASP Testing Guide, OSSTMM, СТО БР РФ, документы ФСТЭК и т.д.

Почему обращаются к нам за пентестами

Специалисты компании ARinteg проведут тестирование на проникновение корпоративных систем (как внутренней ИТ-инфраструктуры заказчика, так и веб-ресурсов, мобильных приложений и т.д.) любыми из вышеизложенных методик с предоставлением детального отчета и рекомендаций по безопасности.

Мы соблюдаем конфиденциальность, в ходе тестирований сохраняется работоспособность информационных систем, вы оперативно получаете полноценный и всесторонний отчет по результатам пентеста.

Заявку на получение образца отчёта можно оставить здесь. 

Поделиться: