Penetrační testování. Penetrační testování - metody Proč je to potřeba?

Penetrační testování(jarg. pentest) - metoda hodnocení bezpečnosti počítačových systémů nebo sítí pomocí simulace útoku útočníka. Proces zahrnuje aktivní analýzu systému z hlediska potenciálních zranitelností, které by mohly způsobit selhání cílového systému nebo způsobit úplné odmítnutí služby. Analýza se provádí z pohledu potenciálního útočníka a může zahrnovat aktivní využívání zranitelností systému.

Objekty testování mohou být buď jednotlivé informační systémy, například: CMS (systém pro správu obsahu), CRM (systém řízení vztahů se zákazníky), internetová klientská banka, nebo celá infrastruktura jako celek: perimetr sítě, bezdrátové sítě, interní nebo podnikové sítě, stejně jako vnější perimetr.

Výzva k penetračnímu testování- hledat všechny možné známé zranitelnosti software(software), nedostatky politiky hesel, nedostatky a jemnosti nastavení konfigurace IS. Během takového testu tester spustí pseudoútok na podnikovou síť, simulující akce skutečných útočníků nebo útok prováděný škodlivým softwarem bez přímé účasti samotného testera. Účelem těchto testů je identifikovat slabá místa v ochraně podnikové sítě před takovými útoky a eliminovat zranitelná místa nalezená při pseudoútocích.

Penetrační testování se obvykle dělí na BlackBox, WhiteBox a GreyBox:

Černá skříňka- "Černá skříňka". Specialista má pouze veřejně dostupné informace o účelu výzkumu, jeho síti a parametrech. Tato možnost je co nejblíže skutečné situaci. Jako prvotní údaje pro testování je zhotoviteli poskytnut pouze název společnosti nebo její webové stránky a zhotovitel si bude muset zjistit veškeré další informace, jako jsou IP adresy používané společností, webové stránky, přístupové body společnosti. kanceláře a pobočky na internet.

WhiteBox– úplný opak BlackBoxu. V v tomto případě, je specialistovi poskytnuto maximum informací, které jsou pro něj nezbytné, včetně administrativního přístupu k libovolnému serveru. Tato metoda umožňuje získat nejúplnější studii zranitelnosti objektu. S WhiteBoxem nebude muset umělec trávit čas shromažďováním informací, sestavováním mapy sítě a dalšími akcemi před zahájením testování a také zkrátí čas samotného testování, protože Některé kontroly prostě nebude nutné provádět. Plus tato metoda v úplnějším a integrovanějším přístupu k výzkumu. Nevýhodou je, že se to méně blíží situaci skutečného útoku útočníka.

GrayBox– jedná se o prostřední možnost mezi WhiteBoxem a BlackBoxem, kdy účinkující jedná podle volby BlackBox a pravidelně požaduje informace o testovaném systému, aby zkrátil čas na výzkum nebo efektivněji uplatnil své úsilí. Tato možnost je nejoblíbenější, protože umožňuje testování bez plýtvání dalším časem shromažďováním informací a trávením více času hledáním zranitelností, přičemž tato možnost zůstává poměrně blízko skutečné situaci útočníkových akcí.

1. VLASTNOSTI PRONIKÁNÍ VZDÁLENÉHO POČÍTAČOVÉHO SYSTÉMU.

Jakékoli objektivní a úplné penetrační testování má řadu funkcí a musí být provedeno s ohledem na doporučení a pravidla.

Pravidla a rámec pro testování penetrace informací jsou uvedeny v metodikách OSSTMM a OWASP. Následně lze získaná data snadno upravit pro provádění posouzení shody s libovolnými průmyslovými standardy a „světově osvědčenými postupy“, jako jsou Cobit, normy řady ISO/IEC 2700x, doporučení CIS/SANS/NIST/atd a standard PCI DSS.

K úplnému provedení takového posouzení nebudou stačit pouze technologická data. Úplné posouzení vyžaduje pohovory se zaměstnanci různých oddělení posuzované společnosti, analýzu administrativní dokumentace a různých procesů. informační technologie(IT) a informační bezpečnost (IS) a mnoho dalšího.

Pokud jde o penetrační testování v souladu s požadavky Standardu informační bezpečnosti v odvětví platebních karet, příliš se neliší od konvenčního testování prováděného metodami OSSTMM a OWASP. Kromě toho standard PCI DSS doporučuje dodržovat pravidla OWASP při provádění jak pentestu (AsV), tak auditu (QSA).

Hlavní rozdíly mezi testováním PCI DSS a penetračním testováním v širokém slova smyslu jsou následující:

  • Norma neupravuje (a tedy ani nevyžaduje) použití útoků sociální inženýrství.
  • Všechny provedené testy by měly co nejvíce minimalizovat hrozbu odmítnutí služby (DoS). Proto musí být testování prováděno metodou „šedá skříňka“ s povinným varováním správcům příslušných systémů.
  • Hlavním účelem takového testování je pokus o implementaci
    neoprávněný přístup k údajům platební karty (PAN, Jméno držitele karty atd.).

Metoda GrayBox umožňuje snížit riziko odmítnutí služby při provádění takové práce ve vztahu k informačním zdrojům fungujícím 24/7.

Obecně musí penetrační testování PCI splňovat následující kritéria:

  • článek 11.1(b) – Analýza zabezpečení bezdrátových sítí
  • článek 11.2 – Skenování informační sítě na zranitelnosti (AsV)
  • článek 11.3.1 – Provádění kontrol na úrovni sítě (síťová vrstva
    penetrační testy)
  • článek 11.3.2 – Zkoušky penetrace aplikační vrstvou

Stanovení hranic prováděného výzkumu. Nejprve je nutné identifikovat hranice penetračního testování, určit a dohodnout posloupnost úkonů, které mají být provedeny. V nejlepším případě může oddělení informační bezpečnosti získat mapu sítě, která schematicky ukazuje, jak zpracovatelské centrum spolupracuje s obecnou infrastrukturou. V nejhorším případě budete muset komunikovat s správce systému, který zná své vlastní nedostatky a získat komplexní data o informačním systému bude pro jeho neochotu sdílet svá data o IP obtížné. Tak či onak, abyste mohli provést PCI DSS pentest, musíte získat minimálně následující informace:

  • segmentace sítě (uživatelská, technologická, DMZ, zpracování atd.);
  • firewall na hranicích podsítě (ACL/ITU);
  • použité webové aplikace a DBMS (testovací i produktivní);
  • použité bezdrátové sítě;
  • jakékoli bezpečnostní detaily, které je třeba vzít v úvahu během průzkumu (například blokování účtů po N pokusech o nesprávnou autentizaci), funkce infrastruktury a obecná přání při provádění testování.

2. KROKY PENETRAČNÍHO TESTOVÁNÍ

Podívejme se na možné fáze penetračního testování. V závislosti na dostupných informacích (BlackBox/WhiteBox/GreyBox) se může sekvence akcí lišit: sběr dat, skenování sítě, hackování systému, malware, sociální inženýrství.

2.1 Sběr dat.

Sběr dat z otevřené zdroje informace. Otevřené zdroje jsou zdroje informací, které jsou legální a legální. Vyhledávání potřebných informací pomocí otevřených zdrojů si osvojilo mnoho civilních i vojenských struktur působících v oblasti zpravodajské a průmyslové špionáže.

Přístup k potřebným informacím lze realizovat na internetu různé způsoby. Může to být klikání na hypertextové odkazy, vyhledávání v různých adresářích (stránky, blogy atd.), můžete si prohlížet výsledky vyhledávání. Pro určité účely se nelze obejít bez prohledávání specializovaných databází.

Informace mohou být také poskytovány prostřednictvím interních adres URL stránek, e-mailových adres, telefonní čísla, faxy, DNS server, rozsah IP adres, informace o směrování.

S rozvojem internetu se služby WHOIS rozšířily. Whois (z anglického „who is“ - „who is“) je síťový protokol založený na protokolu TCP. Jeho hlavním účelem je získat informace o „registrujícím“ (vlastníkovi domény) a „registrátorovi“ (organizaci, která doménu zaregistrovala), jménech DNS servery, datum registrace a datum vypršení platnosti. Záznamy o IP adresách jsou seskupeny podle rozsahů (například 8.8.8.0 - 8.8.8.255) a obsahují údaje o organizaci, které je tento rozsah delegován.

2.2 Síťové skenování.

Síťové skenování lze rozdělit na komponenty:

1. Skenování rozsahu IP adres pro určení „živých“ hostitelů

2. Skenování portů

3. Zjišťování služeb a jejich verzí

4. Skenováním zjistěte operační systém

5. Skenování zranitelnosti

1. Skenování rozsahu IP adres.

Základním úkolem při zkoumání jakékoli sítě je zredukovat sadu rozsahů IP na seznam aktivních hostitelů. Skenování každého portu každé IP adresy je pomalé a zbytečné. Zájem o studium určitých hostitelů je do značné míry určován účely skenování. Cíle administrátorů zjišťovat běžící hostitele v síti mohou být splněny jednoduchými ICMP pingy, ale lidé, kteří testují schopnost sítě odolat externím útokům, potřebují používat různé sady dotazů, aby obešli firewall.

Úkol zjišťování hostitelů se někdy nazývá ping scan, ale je mnohem lepší než obvyklé požadavky ICMP spojené s všudypřítomnými nástroji ping. Je vhodnější skenovat síť pomocí libovolných kombinací víceportových požadavků TCP SYN/ACK, UDP a ICMP. Účelem všech těchto požadavků je získat odpovědi indikující, že IP adresa je aktuálně aktivní (používá ji hostitel resp síťové zařízení). Ve většině sítí je v daný okamžik aktivní pouze malé procento IP adres. To platí zejména pro adresní prostory, jako je 10.0.0.0/8. Takové sítě mají 16 milionů IP adres, ale existují případy, kdy je používají společnosti, které nemají více než tisíc strojů. Zjišťování hostitelů může tyto stroje najít v tomto obrovském moři IP adres.

2. Skenování portů.

Existuje mnoho různých technik skenování portů a pro konkrétní úlohu je vybrána ta vhodná (nebo kombinace několika). Podívejme se na nejoblíbenější techniky skenování:

skenování TCP SYN
SYN je výchozí a nejoblíbenější typ skenování. Může být spuštěn rychle, je schopen skenovat tisíce portů za sekundu přes rychlé připojení a není omezován omezujícími firewally.

Různé typy skenování UDP
Zatímco většina internetových služeb využívá TCP protokol,Služby UDP jsou také rozšířené. Mezi tři nejoblíbenější patří DNS, SNMP a DHCP (použijte porty 53, 161/162 a 67/68). Protože Skenování UDP je obecně pomalejší a složitější než skenování TCP, takže mnoho bezpečnostních profesionálů tyto porty ignoruje. Toto je chyba, protože Existují služby UDP, které útočníci využívají.

TCP NULL, FIN a Xmas skenování
Tyto tři typy skenování používají jemnou mezeru v TCP RFC k rozlišení otevřených a uzavřených portů.\

skenování TCP ACK
Tento typ skenování je velmi odlišný od všech ostatních v tom, že není schopen detekovat otevřený port. Používá se k identifikaci pravidel brány firewall, určení, zda jsou stavová či nikoli, ak určení portů, které filtrují.

3. Zjišťování služeb a jejich verzí.

Při skenování vzdáleného systému může být odhaleno, že jsou otevřené porty 25/tcp, 80/tcp a 53/udp. Pomocí těchto informací můžete zjistit, že tyto porty pravděpodobně odpovídají poštovnímu serveru (SMTP), webovému serveru (HTTP) a serveru doménových jmen (DNS). Tyto informace jsou obvykle správné, protože... drtivá většina služeb využívajících port TCP 25, ve skutečnosti poštovní servery. Na tyto informace byste se však neměli zcela spoléhat. Lidé mohou a také provozují služby pomocí nestandardních portů.

Po zjištění jakýchkoli portů TCP a/nebo UDP dojde k postupu pro jejich identifikaci, aby bylo možné určit, které aplikace (služby) je používají. Pomocí databáze požadavků na kontaktování různých služeb a odpovídajících výrazů pro rozpoznání a analýzu odpovědí je možné určit servisní protokoly (např. FTP, SSH, Telnet, HTTP), název aplikace (např. ISC BIND, Apache httpd, Solaris telnetd) , číslo verze, název hostitele, typ zařízení (např. tiskárna, router), rodina OS (např. Windows, Linux) a někdy i různé detaily jako zda je možné se připojit k X serveru, verzi protokolu SSH nebo uživatelské jméno.

4. Skenováním zjistěte operační systém.

Je možné určit OS na vzdáleném systému na základě analýzy TCP/IP stacku. Série TCP a UDP paketů je odeslána vzdálenému hostiteli a prakticky každý bit v odpovědích je prozkoumán. Po provedení mnoha testů, jako je vzorkování TCP ISN, podpora možností TCP, vzorkování IP ID a analyzování doby trvání inicializační procedury, jsou výsledky porovnány s databází obsahující známé sady typických výsledků pro různé OS, a pokud jsou nalezeny shody, lze vyvodit závěr o nainstalovaném OS.

5. Skenování zranitelnosti.

Skenování zranitelnosti je plně nebo částečně automatizovaný proces shromažďování informací o dostupnosti síťového uzlu informační sítě ( osobní počítače, servery, telekomunikační zařízení), síťové služby a aplikace používané na tomto uzlu a jejich identifikace, porty používané těmito službami a aplikacemi za účelem zjištění existujících nebo možných zranitelností.

2.3 Hacknutí systému.

Úspěch implementace konkrétního hackerského algoritmu v praxi do značné míry závisí na architektuře a konfiguraci konkrétního operačního systému, který je cílem tohoto hacku.

Existují však přístupy, které lze použít pro téměř jakýkoli operační systém:

  1. Krádež hesla.
  2. Sledování uživatele při zadávání hesla, které mu dává právo pracovat s operačním systémem.
  3. Načtení hesla ze souboru, ve kterém bylo heslo uloženo uživatelem.
  4. Hledejte heslo, které si uživatelé často zapisují na papír.
  5. Krádež externí média informace o hesle (disketa nebo elektronický klíč, na kterém je uloženo heslo uživatele pro vstup do operačního systému).
  6. Kompletní vyhledávání všech možných možností hesla.
  7. Výběr hesla na základě četnosti výskytu symbolů a bigramů, pomocí osobních slovníků a nejčastěji používaných hesel.
  8. Snímání pevné disky počítač.
  9. Odvoz odpadků.
  10. Překročení oprávnění (využíváním chyb v softwaru nebo v administraci operačního systému výzkumník získá oprávnění, které přesahuje oprávnění, které mu bylo uděleno podle aktuální bezpečnostní politiky).
  11. Spuštění programu jako uživatel s potřebnými oprávněními nebo jako systémový program (ovladač, služba, démon atd.).
  12. Náhrada použité dynamicky načítané knihovny systémové programy nebo změnou proměnných prostředí, které popisují cestu k takovým knihovnám.
  13. Úprava kódu nebo dat bezpečnostního subsystému samotného operačního systému.
  14. Denial of service (účelem tohoto útoku je částečně nebo úplně deaktivovat operační systém).
  15. Zachyťte zdroje (řízený program zachytí všechny zdroje dostupné v operačním systému a poté vstoupí do nekonečné smyčky).
  16. Bombardování s požadavky (řízený program neustále zasílá do operačního systému požadavky, jejichž reakce vyžaduje zapojení značných počítačových zdrojů).
  17. Využívání chyb v softwaru nebo administraci.

2.4 Škodlivý software.

Malware se velmi často používá k získání přístupu k infikovanému systému. Obvykle malware, který má funkci zadní dveře zveřejněny na zdroji pro sdílení souborů pod rouškou legitimního programu.

Škodlivý software je software, který je vyvinut za účelem získání neoprávněného přístupu k počítačovým výpočetním zdrojům a datům na něm uloženým. Takové programy jsou určeny k tomu, aby způsobily poškození vlastníka informací nebo počítače zkopírováním, zkreslením, odstraněním nebo nahrazením informací.

Trojské koně jsou škodlivé programy, které provádějí akce, které nejsou autorizovány uživatelem. Takové akce mohou zahrnovat:

  1. Mazání dat
  2. Blokování dat
  3. Změna údajů
  4. Kopírování dat
  5. Zpomalení počítačů a počítačových sítí.

Trojské koně jsou klasifikovány podle typu akcí, které na počítači provádějí.

  1. Zadní vrátka. Trojský program backdoor poskytuje útočníkům příležitost dálkové ovládání infikované počítače. Takové programy umožňují autorovi provádět na infikovaném počítači jakékoli akce, včetně odesílání, přijímání, otevírání a mazání souborů, zobrazování dat a restartování počítače. Backdoor trojské koně se často používají ke sjednocení skupiny počítačů obětí do botnetu nebo sítě zombie pro kriminální použití.
  2. Využívá. Exploity jsou programy s daty nebo kódem, které zneužívají zranitelnost v aplikacích spuštěných na počítači.
  3. Rootkity . Rootkity jsou programy určené ke skrytí určitých objektů nebo akcí v systému. Jejich hlavním účelem je často zabránit antivirovému softwaru v detekci malwaru, aby se prodloužila doba provozu těchto programů na infikovaném počítači.

2.5 Sociální inženýrství.

Aby malware skončil na napadené IP, používá se sociální inženýrství. Sociální inženýrství je metoda neoprávněného přístupu k informačním zdrojům, založená na charakteristikách lidské psychologie. Hlavním cílem sociálních inženýrů je získat přístup k chráněným systémům za účelem krádeže informací, hesel, dat o kreditní karty a tak dále. Za cíl útoku není zvolen stroj, ale jeho obsluha. Proto jsou všechny metody a techniky sociálních inženýrů založeny na využívání slabin lidského faktoru.

Existuje několik běžných technik a typů útoků, které sociální inženýři používají. Společným rysem všech těchto metod je ale zavádějící, s cílem donutit člověka k nějakému jednání, které mu není prospěšné a je pro sociálního inženýra nezbytné. K dosažení požadovaného výsledku sociální inženýr používá řadu různých taktik: vydávání se za jinou osobu, odvádění pozornosti, nafukování psychického napětí atd. Konečné cíle klamání mohou být také velmi různorodé.

Techniky sociálního inženýrství:

  • Předběžné testování. Pretexting je soubor akcí prováděných podle konkrétního, předem připraveného scénáře (záminky).
  • Phishing. Phishing (anglicky phishing, od fishing - fishing, fishing) je druh internetového podvodu, jehož účelem je získat přístup k důvěrným uživatelským datům - přihlašovacím údajům a heslům. Účelem phishingu je nelegální získávání důvěrných informací.
  • Něco za něco. Quid o quo (lat. Něco za něco- "to za tohle") - v anglický jazyk tento výraz se obvykle používá ve významu „quid pro quo“. Často se sociální inženýr představí jako zaměstnanec technická podpora, která hlásí výskyt technických problémů na pracovišti zaměstnance a nabízí pomoc při jejich odstraňování.

Studie z roku 2003 provedená v rámci programu Information Security ukázala, že 90 % kancelářských pracovníků je ochotno zveřejnit důvěrná informace, například vaše hesla, pro jakoukoli službu nebo odměnu.

  • Trojský kůň. Trojský kůň je škodlivý program používaný útočníky ke shromažďování, ničení nebo úpravě informací, narušování výkonu počítače nebo využívání uživatelských zdrojů pro vlastní účely. Tato technika často využívá zvědavost a další emoce cíle.

Organizace pseudoútoku.

K organizaci pseudoútoku na počítačový systém, který používáme software Toolkit sociálního inženýrství(SET) a Metasploit Rámec(MFS). Tyto nástroje jsou standardně součástí distribuce Backtrack 5, navržený tak, aby otestoval možnost hackování systému a sítě. Používáme také dva virtuální stroje s následujícími operačními systémy:Okna7 a Zpětná cesta 5.

Generace zadních vrátek. SET použijeme k vytvoření reverzního TCP backdooru a MFS k vytvoření handleru pro zpracování paketů z vytvořeného backdooru, který bude udržovat komunikační kanál mezi potenciálním útočníkem a systémem, na kterém bude backdoor spuštěn.

Všechny akce se provádějí v režimu konzoly na operačním systému Backtrack 5. Vytváření datové zátěže se provádí pomocí nástroje SET, krok 4 Vytvořit A Užitečné zatížení a Listere

Vytvořte reverzní užitečné zatížení TCP (pro vytvoření zpětná vazba) se provádí výběrem položky 2 Okna ZvrátitTCP Měřič a pak bod 16 Backdoored Spustitelný. Tato operace dokončí vytvoření zadních vrátek. Při jeho vytváření je také uvedeno číslo portu, přes který bude zpětná vazba probíhat. Ve složce / pentest/ vykořisťuje/ SOUBOR msf.exe bude vygenerován na základě možností, které jsme vybrali.

Nastavení exploitu. Exploit je navržen tak, aby přijímal požadavky TCP z vytvořených zadních vrátek. Jeho konfigurace se provádí spuštěním MFS a výběrem exploitu handleru (poslechu): použijte exploit/multi/handler.

V důsledku toho se MFS přepne do kontextu obsluhy exploitu. Dalším úkolem je nakonfigurovat užitečné zatížení pro tento exploit. Protože backdoor je orientován (vytvořen) pomocí Revers_TCP Meterpretor, informace se vyměňují prostřednictvím připojení TCP: soubor/ užitečné zatížení Okna/ měřič/ zvrátit_ TCP. Dále je nutné v možnostech uvést Local Host (IP adresa potenciálního útočníka).

Running handler vás přenese do kontextu meterpretoru, kde budou prezentovány relace, ke kterým se můžete připojit. K vzhledu relace dojde po spuštění zadních vrátek na vzdáleném počítači, čehož je v některých případech v praxi dosaženo prostřednictvím sociálního inženýrství.

Pro simulaci tohoto procesu se backdoor spustí na druhém virtuálním počítači. Poté bude relace k tomuto systému dostupná v meterpretoru, to znamená, že naše zadní vrátka poskytují komunikační kanál a my získáme kontrolu nad infikovaným počítačem.

Penetrační testování je metoda hodnocení bezpečnosti firemní IT infrastruktury prostřednictvím autorizovaného modelování útoků narušitelů.

Zjistěte cenu testování

×

Vyplňte formulář zpětné vazby, bude vám zaslán dotazník k určení ceny služby

Zachování důvěrných informací a reputace společnosti závisí na tom, jak spolehlivě je IT infrastruktura chráněna před útočníky. Proto je tak důležité ověřit jeho zabezpečení v praxi. Často i optimální sada bezpečnostních nástrojů může mít nesprávné nastavení konfigurace, což vede ke zranitelnosti a zvyšuje pravděpodobnost implementace hrozeb.

Práce penetračního testování jsou zaměřeny na:

Získání nezávislého a komplexního posouzení aktuální úrovně zabezpečení.

Získání nezávislého hodnocení informovanosti zaměstnanců o otázkách bezpečnosti informací.

V průběhu práce jsou prováděny externí a interní bezpečnostní analýzy a testování pomocí metod sociálního inženýrství.

Problémy řešené při provádění bezpečnostní analýzy:

  • Identifikace zranitelností informační bezpečnosti a způsoby jejich využití.
  • Kontrola možnosti průniku z externích sítí do lokální počítačové sítě.
  • Vypracování doporučení pro zlepšení úrovně zabezpečení odstraněním zjištěných zranitelností.

Pokud akce (například zneužití určitých zranitelností) mohou vést k selhání provozu studovaných zdrojů, pak se taková práce provádí až po dodatečném schválení. V případě potřeby, v závislosti na zvoleném pracovním scénáři, se po testování provádějí práce na eliminaci negativního dopadu na zdroje.

Pokud se během práce na bezpečnostní analýze rozhodne o nutnosti okamžitě odstranit zjištěné zranitelnosti, jsou přijata následující opatření:

  • zaznamenávání výsledků zneužití zranitelnosti (ve formě snímků obrazovky, záznamu akcí specialistů, protokolů provozu systému atd.)
  • určení potřeby a dohodnutí způsobů odstranění zranitelnosti
  • odstranění zranitelnosti

Fáze testování

Při provádění analýz zabezpečení se používají univerzální skenery zranitelnosti k detekci zranitelností v aplikacích, operačních systémech a síťové infrastruktuře a také ve specializovaném softwaru. Práce na penetračním testování se provádějí ve třech fázích a zahrnují následující fáze:

Fáze 1 – externí bezpečnostní analýza:

  • Vypracování plánu pro provedení externí bezpečnostní analýzy a jeho odsouhlasení s pracovní skupinou

Fáze 2 – analýza vnitřní bezpečnosti:

Práce jsou prováděny u zákazníka.

  • Vypracování plánu interní bezpečnostní analýzy a jeho odsouhlasení s pracovní skupinou
  • Analýza výsledků, zpracování zprávy a její schválení pracovní skupinou

Fáze 3 – testování pomocí metod sociálního inženýrství:

Práce jsou prováděny na dálku pomocí externích datových sítí (Internet).

  • Vypracování plánu testování pomocí metod sociálního inženýrství a jeho odsouhlasení s pracovní skupinou
  • Analýza výsledků, zpracování zprávy a její schválení pracovní skupinou

Provádění externí bezpečnostní analýzy

Účelem této fáze práce je otestovat schopnost útočníka získat neoprávněný přístup ke zdrojům a důvěrným informacím.

Bezpečnostní analýza se provádí pomocí modelu „černé skříňky“ (chybějící autorizovaný přístup, počáteční konfigurační data a použitá opatření pro bezpečnost informací).

V rámci externí bezpečnostní analýzy následující typy funguje:

  • sběr veřejně dostupných informací o externích zdrojích přístupných z externích datových sítí
  • vyhledávání zranitelností zdrojů a komponent jejich infrastruktury pomocí bezpečnostních skenerů a specializovaného softwaru
  • cross-site skriptování
  • padělání požadavků napříč stránkami
  • otevřené přesměrování
  • nesprávné zpracování chyb, které poskytuje další informace o testovaném systému

Provádění interní bezpečnostní analýzy

Účelem této fáze práce je otestovat schopnost útočníka provést neoprávněný přístup (dále jen ASD) ke zdrojům a důvěrným informacím.

Bezpečnostní analýza se provádí pomocí modelu „šedá skříňka“ (poskytující autorizovaný přístup do systémů).

V rámci interní bezpečnostní analýzy jsou prováděny následující typy prací:

  • sběr dat o infrastruktuře (síťové služby, operační systémy a aplikační software externích zdrojů), identifikace zranitelnosti pomocí specializovaného softwaru a univerzální skenery bezpečnostní
  • vyhledávání zranitelností zdrojů Zákazníka a komponent jejich infrastruktury pomocí bezpečnostních skenerů a specializovaného softwaru
  • zneužití identifikovaných zranitelností pomocí specializovaného softwaru a ručně k určení relevance identifikovaných zranitelností a možnost získat projektovou dokumentaci pro komponenty softwarového produktu a důvěrné informace

V procesu vyhledávání zranitelností se kontroluje přítomnost mimo jiné následujících hlavních typů zranitelností:

  • vkládání fragmentů kódu (například vkládání příkazů SQL, vkládání příkazů operačního systému
  • nezabezpečeně implementované postupy ověřování a správy relací
  • cross-site skriptování
  • chyby řízení přístupu (například přímé odkazy na objekty s důvěrnými informacemi, zranitelnost při procházení adresářů)
  • nezabezpečená konfigurace softwaru (například povolení výpisů adresářů)
  • zpřístupnění důvěrných informací (například poskytnutí osobních údajů uživateli jiných uživatelů)
  • chyby omezující přístup uživatele k určitým funkcím
  • padělání požadavků napříč stránkami
  • nesprávné zpracování chyb, které poskytuje další informace o testovaném systému
  • používání OS a softwaru se známými zranitelnostmi
  • otevřené přesměrování
  • zpracování externích XML entit
  • nesprávné zpracování chyb, které poskytuje další informace o testovaném systému
  • používání jednoduchá hesla během ověřování

Provádění testování pomocí metod sociálního inženýrství

Účelem této etapy práce je posouzení informovanosti zaměstnanců zákazníka v otázkách bezpečnosti informací.

V rámci testování sociálního inženýrství jsou útoky na zaměstnance zákazníků prováděny v následujících scénářích:

  • Phishing – útok je prováděn prostřednictvím e-mailu. Příklad útoku: Zaměstnanci je jménem společnosti zaslán odkaz s „novým a velmi užitečná služba“ za jeho práci. Dopis obsahuje popis služby a jak přesně má pomoci konkrétnímu zaměstnanci v jeho práci. Dopis vás také žádá o kontrolu funkčnosti a zda vše funguje správně. Cílem práce je přimět zaměstnance, aby šel do této služby a pokusil se zaregistrovat pomocí přihlašovacích údajů domény.
  • Trojský kůň – útok je proveden prostřednictvím e-mailu. Příklad útoku: Je vyslán zaměstnanec spustitelný soubor, přičemž obsah dopisu se může lišit v závislosti na pozici zaměstnance: smlouva pro manažera, seznam chyb pro programátora atd. Práce je zaměřena na to, aby zaměstnanec spustil program dne místní počítač a zaznamenat skutečnost, že byl takový program spuštěn.
  • Telefonický útok - útok je proveden prostřednictvím telefonního hovoru. Práce je zaměřena na získání důvěry zaměstnance tím, že přijde s věrohodným krycím příběhem a poté se naučí důvěrné informace nebo pověření zaměstnance. Příklad legendy: " Nový zaměstnanec těch. podpora provádí první úkol nasazení služby a potřebuje zkontrolovat, zda funguje správně. Požádejte zaměstnance o pomoc: přihlaste se samostatně nebo mu sdělte své uživatelské jméno a heslo.“

Analýza výsledků

Výsledkem práce je zpráva obsahující následující informace.

Penetrační testování je kombinací metod, které berou v úvahu různé systémové problémy a testují, analyzují a poskytují řešení. Je založen na strukturovaném postupu, který krok za krokem provádí penetrační testování. Níže je sedm kroků penetračního testování:

Plánování a příprava

Plánování a příprava začíná definováním cílů a cílů penetračního testování.

Klient a tester společně definují cíle tak, aby obě strany měly stejné cíle a porozumění. Běžné cíle penetračního testování jsou:

  • Identifikujte zranitelná místa a zlepšujte zabezpečení technických systémů.
  • Zajištění IT zabezpečení externí třetí stranou.
  • Zlepšit zabezpečení organizační/HR infrastruktury.

Studie

Inteligence zahrnuje analýzu předběžných informací. Mnohokrát tester nemá mnoho jiných informací než předběžné informace, tedy IP adresu nebo blok IP adres. Tester začíná analýzou dostupných informací a v případě potřeby žádostí uživatele o získání dodatečné informace, jako jsou popisy systému, plány sítě atd. Tento krok je svým způsobem pasivní penetrační test. Jediným cílem je získat úplné a podrobné informace o systémech.

Otevírací

V tomto okamžiku bude penetrační tester pravděpodobně používat automatizované nástroje ke skenování cílových aktiv, aby odhalil zranitelnosti. Tyto nástroje mají obvykle své vlastní databáze, které poskytují informace o nejnovějších zranitelnostech. Tester však zjistí

  • Zjišťování sítě- například otevření doplňkové systémy, servery a další zařízení.
  • Host Discovery- určuje otevřené porty na těchto zařízeních.
  • Servisní výslech- polling porty pro zjištění skutečných služeb, které na nich běží.

Informace a analýza rizik

V této fázi tester analyzuje a vyhodnocuje informace shromážděné před fázemi testování, aby dynamicky pronikl do systému. Kvůli velké číslo systémů a velikosti infrastruktury to zabere hodně času. Při analýze zvažuje tester následující prvky:

  • Specifické cíle penetračního testu.
  • Potenciální rizika pro systém.
  • Odhadovaný čas potřebný k posouzení potenciálních bezpečnostních chyb pro následné aktivní penetrační testování.

Ze seznamu identifikovaných systémů si však tester může vybrat testovat pouze ty, které obsahují potenciální zranitelnosti.

Aktivní pokusy o invazi

Toto je nejdůležitější krok a musí být proveden s náležitou péčí. Tento krok zahrnuje rozsah, v jakém potenciální zranitelnosti objevené během fáze objevování představují skutečná rizika. Tento krok by měl být proveden, když je třeba zkontrolovat potenciální zranitelnosti. U systémů, které mají velmi vysoké požadavky na integritu, je třeba před provedením kritických čisticích postupů pečlivě zvážit potenciální zranitelnosti a rizika.

Závěrečná analýza

Tento krok se nejprve zabývá všemi dosud provedenými (výše diskutovanými) kroky a posouzením zranitelnosti v podobě potenciálních rizik. Tester navíc doporučuje eliminovat zranitelnosti a rizika. Nejprve musí tester zajistit transparentnost testů a zjištěných zranitelností.

Příprava reportu

Příprava zprávy by měla začít obecnými testovacími postupy a poté analyzovat zranitelnosti a rizika. Vysoká rizika a kritická zranitelná místa by měla být upřednostněna a následně nižší.

Při dokumentování závěrečné zprávy je však třeba vzít v úvahu následující body:

  • Obecný přehled penetračního testování.
  • Podrobnosti o každém kroku a informace shromážděné během testování pera.
  • Podrobné informace o všech zjištěných zranitelnostech a rizicích.
  • Díly pro čisticí a upevňovací systémy.
  • Návrhy budoucí bezpečnosti.

Každý majitel firmy, IT specialista i běžný uživatel počítače se alespoň jednou setkal s kybernetickými hrozbami. V moderní svět jsou stále mocnější a schopné způsobit obrovské škody nejen byznysu, ale i státu.

Existují dvě kategorie hackerů:

Bílé klobouky- pracovat na zajištění bezpečnosti, čelit nezákonným průnikům.

Černí hackeři (Black Hat)- porušovat zákon, krást osobní údaje, prázdné bankovní účty.

Náš tým se ujme úkolu provést testy k nalezení zranitelností ve vaší podnikové kancelářské síti, na vašich webových stránkách a aplikacích. A také s pomocí sociálního inženýrství budeme schopni identifikovat nejhůře chráněná oddělení ve vaší společnosti a dát doporučení pro posílení ochrany.

Co je součástí pentestingu (bezpečnostního testu)?

Testování zabezpečení společnosti může zahrnovat:
  • Analýza externí sítě a perimetru
  • Pentest (penetrační test)
  • Testování vnitřní sítě
  • Hledání zranitelností a zneužití
  • Sociální inženýrství
  • Testování firemních webů
  • Testování mobilní aplikace společnosti
  • Zkušební protokol a doporučení

Přesný seznam testů je stanoven ve fázi vyjednávání, po prostudování potřeb klienta.

Náklady na penetrační testy

Testování externí podnikové sítě

Cena na vyžádání

Penetrační test (pentest)

Cena na vyžádání

Testování webových a mobilních aplikací

Cena na vyžádání

Sociální inženýrství

Cena na vyžádání

Bezpečnostní test na klíč

Cena na vyžádání

Vyšetřování kybernetické kriminality

Cena na vyžádání


DŮLEŽITÉ

"Bohužel většinou společnosti začnou uvažovat o informační bezpečnosti, když už utrpěly. Hackery nezajímá velikost vaší společnosti a její obrat, zajímá je počet hacknutých společností."

Chraňte svou společnost před kybernetickými hrozbami!

Co je tedy pentest?

Testování je vyhledávání a penetrační testování je jedním z typů nejhloubkovějšího a nejefektivnějšího vyhledávání maximální množství s různou mírou zranitelnosti bodů a oblastí pro pronikání zdrojů a uživatelů třetích stran. Takové průniky mohou být provedeny buď se zlým úmyslem, nebo nepřímo za účelem zadání nebo získání určitých dat.


Tato technika může být prováděna samostatně a může být zahrnuta do pravidelných nebo jednorázových testovacích systémů pro vytvoření účinných ochranných opatření proti nejširšímu spektru útoků a průniků třetích stran.

Etiologie systémové zranitelnosti

Ke ztrátě zabezpečení může dojít v různých fázích provozu jakéhokoli systému, ale v každém případě závisí na vlivu takových faktorů, jako jsou:

  • konstrukční chyba,

  • nesprávný konfigurační proces při výběru nefunkční konfigurace kombinace softwaru a vybavení spojeného se systémem,

  • bezpečnostní chyby v systému výstupu sítě. Čím vyšší je úroveň zabezpečení internetové připojení tím nižší je pravděpodobnost negativního dopadu a možnost pronikání škodlivého vlivu do systému,

  • lidský faktor, vyjádřený výskytem zlomyslné nebo náhodné chyby při návrhu, používání nebo údržbě sítě během osobních nebo týmová práce s ní,

  • komunikační složka, vyjádřená v nechráněném přenosu důvěrných údajů,

  • nepřiměřeně vysoký stupeň složitosti systému. Vždy je snazší získat kontrolu nad stupněm jeho zabezpečení než sledovat kanály úniku dat z něj. Co je mnohem jednodušší dělat v jednoduchých a funkčních systémech než v jejich složitých protějšcích,

  • nedostatek znalostí. Nedostatek odpovídající úrovně odborného školení v otázkách bezpečnosti mezi odborníky přímo či nepřímo souvisejícími s používáním systému.

Testování se liší od hodnocení zranitelnosti

Navzdory podobnosti účelu jejich použití. Totiž vyhledávání a organizování toho nejbezpečnějšího softwarový produkt. Fungují jinak.


Penetrační testování se provádí prostřednictvím skutečného monitorování, prováděného jak ručně, tak pomocí určitých vysoce specializovaných systémů a nástrojů. Co se děje prostřednictvím emulace škodlivých vlivů, což umožňuje identifikovat oblasti zranitelnosti.


Určení stupně zranitelnosti vychází z pečlivého zkoumání pracovních postupů s cílem identifikovat možné mezery, kterými mohou data uniknout při určitých typech útoků. To pomáhá najít oblasti zranitelné vůči vlivu hackerů, což určuje stupeň celkové bezpečnosti testovaného systému. Během jeho implementace jsou identifikovány, opraveny a odstraněny identifikované „slabé stránky“.


Stanovení stupně zranitelnosti je tedy zavedeným pracovním postupem. A penetrační testování funguje „na ad hoc bázi“ s jediným cílem co nejsilněji ovlivnit systém a identifikovat díry v jeho ochraně.

K čemu to je

Umožňuje vám najít a opravit mezery v bezpečnostním systému programu, který používáte. Jedná se o proaktivní práci, která má zabránit možnosti pronikání negativních vlivů třetích stran, bez ohledu na její cíle a úroveň implementace. To pomáhá vytvořit nejkompetentnější systém ochrany proti očekávaným a nejen existujícím hrozbám zvenčí.

Takové sledování umožňuje:

  • najít slabá místa/zranitelnost v systému dříve, než budou vystaveny vnějším negativním vlivům a způsobí únik dat. Je to skvělá alternativa k častým aktualizacím systému. Protože posledně jmenované ovlivňují kompatibilitu a rychlost provozu systému, který byl dříve odladěn, aniž by je vzal v úvahu. Je lepší kontrolovat aktualizace, než je provádět nekontrolovaně;

  • vyhodnotit zprovozněný bezpečnostní nástroj. Umožňuje vývojářům získat realistické posouzení jejich kompetence a také úrovně souladu se současnými bezpečnostními standardy. Kromě toho vám penetrační testování umožňuje identifikovat obchodní rizika a další součásti ochrany, které mohou být sníženy při kompromisu mezi kombinovaným používáním autorizovaných a nově aktivovaných softwarových komponent. Umožňuje strukturovat a prioritizovat, snižovat a eliminovat míru detekovaných rizik a negativního dopadu možných hrozeb;
  • identifikovat rizika pro zlepšení stávajících bezpečnostních norem.

Proces monitorování

Penetrační testování lze dnes provádět pomocí mnoha technik, ale hlavní a nejvýhodnější jsou:

Manuální testování se provádí podle následujícího algoritmu

  • plánování nebo pečlivé shromažďování dat s přihlédnutím k potřebám, rozsahu použití, účelům nadcházejícího monitorování, s přihlédnutím k úrovni stávající ochrany. Mohou zde být uvedeny i konkrétní oblasti pro sledování stupně ochrany, typ požadovaného/plánovaného dopadu a další požadavky na budoucí sledování.

  • zpravodajské manipulace zaměřené na vyhledávání a kumulaci přijatých dat o systému a cizích, kombinovaných, ochranných mechanismech nezbytných pro zacílení a speciálně organizované útoky na určené bloky nebo celý systém. Cíl: získání co nejúčinnějšího testování. Existují tedy dvě varianty: pasivní a aktivní, kde první se provádí bez aktivního vlivu na systém a druhý je jeho úplným opakem,

  • analýza zjištěných výsledků. Tato fáze umožňuje identifikovat nejzranitelnější body, které budou použity pro další agresivní pronikání do systému,

  • využití získaných výsledků. Na základě zjištěných míst „snadného průniku“ ochranných systémů je proveden připravený útok na software, a to jak v podobě vnějších, tak vnitřních útoků. Externí vlivy jsou ohrožením systému zvenčí, kde dochází k emulaci přímých externích hrozeb působících na systém a specializovaných pokusů o neoprávněný přístup k datům systému před tím chráněného. Vnitřní útoky představují druhou fázi dopadu, která začíná po úspěšném proniknutí do systému zvenčí. Škála cílů jejich dalšího působení je široká a pestrá. Tím hlavním je kompromis systému, kterým pronikli,

  • výsledky provozu umožňují identifikovat cíle každé identifikované hrozby a určit její potenciál pro vnitřní podnikové procesy systému jako celku a zejména jeho jednotlivých komponent,
  • závěrem je blok dokumentace provedené práce a dosažených výsledků, popisující potenciální hrozby a míru jejich negativního dopadu při dosahování cílů dopadu.

    • Testování pomocí automatizovaných nástrojů je nejen efektivní, ale také velmi užitečné při použití vysoce specializovaných nástrojů. Jeho použití je pohodlné, časová náročnost je minimální a jeho účinnost umožňuje vytvářet „křišťálově čisté“ závěry o vykonané práci.


    Seznam nejoblíbenějších nástrojů zahrnuje: Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af. Kolekce systémů Linux nabízí spoustu zajímavých a funkčních věcí.


    Pro práci si vyberte nástroje, které splňují určité potřeby, například:

    • praktičnost spouštění, používání a další údržby,

    • snadné skenování,

    • úroveň automatizace při identifikaci zranitelností,

    • stupeň dostupnosti testování dříve objevených oblastí slabých pro vnější útoky,

    • míra schopnosti vytvářet podrobné a jednoduché reportovací dokumenty o provedené práci a dosažených výsledcích.

    Kombinace výše uvedených metod dohromady. Jedná se o optimální metodu penetračního testování, protože dokáže spojit výhody obou metod a stát se co nejrychlejší a nejpodrobnější.

    Typy penetračních testů

    Rozdělení se provádí v závislosti na použitých nástrojích a objektech sledování:


    • sociální nebo lidské, kde se spojují lidé, kteří mohou vzdáleně nebo lokálně přijímat potřebné informace a srozumitelně je zpracovávat,

    • softwarová aplikace používaná k identifikaci bezpečnostních chyb. Současně je využíváno několik možností webových nabídek a specializovaných služeb používané služby nebo zdrojů třetích stran,

    • síťový zdroj, který vám umožní identifikovat možnost neoprávněného přístupu hackerů nebo průniku neoprávněným uživatelem,

    • klientská část, používaná v prac speciální aplikace nainstalované na webu nebo aplikaci klienta,

    • vzdálený přístup se provádí pomocí testování VPN nebo podobného objektu, který umožňuje správný přístup do tohoto systému,

    • bezdrátové připojení, si klade za cíl testovat bezdrátové aplikace, služby a jejich nástroje.

    Klasifikace metod monitorování se provádí také s přihlédnutím k typu přístupu k její implementaci. Co vám umožňuje zvýraznit:

    • bílá, kde má tester přístup k údajům o funkcích a nástrojích testovaného systému. Co dělá jeho práci co nejefektivnější a nejproduktivnější. Protože držení takových informací umožňuje porozumět složitosti a funkcím testovaného systému, a proto provádět testování s maximálním ponořením,

    • černá umožňuje přístup k základním nebo vyšším informacím o systému. Tester se cítí spíše jako hacker než jako zaměstnanec operující ze systému. Vysoký stupeň Složitost této metody vyžaduje čas a důkladné znalosti a také zkušenosti s její implementací. Proto existuje vysoká pravděpodobnost chybějícího nebo neúplného testování,

    • šedý nebo omezený přístup k systémovým informacím dostatečný k vytvoření simulovaného vnějšího útoku.

    Limity penetračního testování

    Rozsah takového vlivu má mnoho omezení, ale mezi ty hlavní patří:

    • krátké časové období s vysokými počátečními náklady na tento postup,

    • omezení počtu testů za jednotku času,

    • možnost selhání průniku na straně systému,

    • vysoký stupeň zranitelnosti přijímaných dat.

    Závěr

    Moderní hackeři mají neustále aktualizovanou sadu programů a účinných nástrojů pro provádění účinných útoků. Proto často vstupují do zájmových systémů s přímým úmyslem ohrozit síť nebo využít její zdroje. V tomto případě je monitorování narušení nejúčinnější jako nástroj pro odhalování zranitelností v jakýchkoli bezpečnostních systémech. A umožňuje vám minimalizovat potenciál externích hrozeb pro software jako celek.


Základními nástroji pro kontrolu bezpečnosti systému jsou nástroje pro automatický sběr systémových dat a penetrační testování. Navrhujeme zvážit princip fungování takových nástrojů na příkladu produktu Rapid7 Metasploit od Rapid7, jednoho z předních výrobců analytických řešení pro informační bezpečnost, který je vysoce hodnocen vlivnými výzkumnými a poradenskými společnostmi, včetně Gartner a Forrester.

Úvod

Penetrační testování (pentest) je jednou z nejúčinnějších metod hodnocení kvality zabezpečovacího systému. Je prováděna s cílem identifikovat zranitelnosti v IT infrastruktuře, ukázat možnost zneužití zranitelností a také připravit doporučení pro jejich odstranění. Zkušební postupy se provádějí z podnětu majitele informační systém a jsou zaměřeny na prevenci incidentů informační bezpečnosti, často doprovázených finančními a reputačními ztrátami, nepříjemným vysvětlováním s klienty a zástupci partnerských organizací, jakož i dalšími nežádoucími důsledky.

V Ruské federaci jsou významným faktorem určujícím potřebu provádění penetračních testů požadavky regulátorů. Ty považují kontrolu účinnosti systému ochrany za mimořádně důležité opatření a příslušná ustanovení jsou součástí regulačních a metodických dokumentů. Nejprve je v tomto ohledu vhodné zmínit regulační dokumenty, které pokrývají značný počet informačních systémů - příkazy FSTEC Ruska č. 17 a 21.

Tyto dokumenty definují ochranné opatření ve formě „testování systému bezpečnosti informací pokusem o neoprávněný přístup (ovlivňování) do informačního systému, obcházení jeho systému bezpečnosti informací“ ve fázi certifikace. Certifikace informačních systémů, která zahrnuje kontrolu účinnosti bezpečnostního systému, je žádaná i pro informační systémy zpracovávající státní tajemství.

V mezinárodním měřítku je vhodné si povšimnout průmyslového standardu zabezpečení dat platebních karet PCI DSS (Payment Card Industry Data Security Standard). Dodržování ustanovení standardu PCI DSS je povinné pro všechny organizace zapojené do zpracování platebních karet Visa a MasterCard: obchodníky, zpracovatelská centra, akvizitory, vydavatele a poskytovatele služeb, jakož i všechny ostatní organizace, které uchovávají, zpracovávají nebo předávají držitele platebních karet. datové karty a citlivá autentizační data. Ustanovení normy umožňují analýzu zranitelnosti a penetrační testování uvnitř i vně sítě informačního systému. Externí a interní penetrační testy by měly být prováděny alespoň jednou ročně a po jakýchkoli významných úpravách nebo upgradech infrastruktury/aplikací.

Penetrační testování (pentest) lze provádět v rámci pokročilého vzdělávání specialistů informační bezpečnosti a získání praktických dovedností studenty, kteří studují v oborech souvisejících s informační bezpečností, i pro testování vývojáři nástrojů informační bezpečnosti vlastních produktů.

Je zřejmé, že pro všechny výše uvedené účely je nejžádanější integrované řešení pro správu hrozeb, které pokrývá zabezpečení sítě, zabezpečení webových aplikací, zabezpečení databází a strategie penetračního testování a obsahuje funkcionalitu dostatečnou jak pro splnění požadavků domácích a mezinárodních předpisů, tak pro použití v procesu školení. Mezi taková řešení patří Rapid7 Metasploit od společnosti Rapid7, která byla založena v roce 2000 a je jedním z předních výrobců produktů pro analýzu a organizaci systémů zabezpečení informací v prostředí IT. Důležitou výhodou softwaru Rapid7 je schopnost poskytovat přehled o stavu zabezpečení aktiv a uživatelů v jakémkoli prostředí, včetně virtuálních a mobilních, stejně jako veřejných a soukromých cloudů.

K vyhodnocení řešení Rapid7 Metasploit můžete použít řešení od stejného výrobce – virtuální stroj Metasploitable vybavený demoverzí. Ubuntu Linux. Virtuální stroj je kompatibilní s VMWare, VirtualBox a dalšími běžnými virtualizačními platformami.

Důležitou pomocí je, že Rapid7 Metasploit je kompatibilní se skenerem zranitelností Rapid7 Neexpose, může iniciovat jeho spuštění a také využívat jeho výsledky.

Podívejme se na obecný postup práce s Rapid7 Metasploit.

Jak pracovat s Rapid7 Metasploit

Obecně se práce s Rapid7 Metasploit skládá z následujících kroků:

  1. Vytvoření projektu. Projekt obsahuje pracovní prostor, který se používá k vytvoření penetračního testu a konfiguraci úloh, které mají být provedeny. Každý penetrační test je spuštěn z vlastního projektu.
  2. Sběr informací. V této fázi Rapid7 Metasploit shromažďuje informace o cílová síť: nainstalováno OS, otevřené porty, běžící hostitelé a procesy. V této fázi lze také použít skener zranitelnosti Rapid7 Neexpose. Během skenování se všechna přijatá data automaticky ukládají do projektu.
  3. Používání exploitů. Útok lze provést ručně nebo pomocí databáze exploitů. To využívá síťová data získaná v kroku 2.
  4. Akce provedené na kompromitovaném systému. Po získání přístupu je použit exploit payload, pomocí kterého jsou iniciovány interaktivní relace ke sběru dalších informací a dále je možné využít post-exploitation moduly k automatickému sběru hesel uložených v operačním systému a aplikacích, screenshotů, obrázků z webové kamery, nahrávání stisku kláves, sběr konfigurační soubory, spouštění aplikací atd.

Porovnání edic Rapid7 Metasploit

Rapid7 Metasploit je k dispozici v několika edicích, které se liší rozsahem poskytovaných funkcí a typem licence k použití. V současné době jsou k dispozici následující edice produktů:

  • Rámec
  • Společenství
  • Vyjádřit

Tabulka poskytuje informace o tom, které cílové funkce jsou implementovány v jednotlivých edicích produktu. Pro usnadnění jsou pomocí různých barev cílové funkce rozděleny do skupin podle jejich hlavního účelu:

  • Sbírejte data o charakteristikách komponent a zranitelnostech sítě.
  • Penetrační testování.
  • Provádějte phishingové úkoly.
  • Testování webových aplikací.
  • Generování reportů.
  • Řízení.

Tabulka 1. Srovnání edic Rapid7 Metasploit

Charakteristický Pro Vyjádřit Společenství
Import dat skenování
(import dat skenování)
Skenování s detekcí
(Discovery scan)
Integrace se systémem správy zranitelnosti Neexpose
(Integrace skenování Neexpose)
Export dat
(export dat)
Ruční spouštění exploitů
(ruční využití)
webové rozhraní
(webové rozhraní)
Správa relace
(Správa relace)
Správa pověření
(Správa pověření)
Průnik přes pevný bod
(Proxy pivot)
Moduly spuštěné po kompromitaci
(moduly po exploataci)
Vymazání relace
(Úklid relace)
Způsob výběru
(Hrubou silou)
Shromažďování důkazů
(sbírka důkazů)
Protokolování kontroly
(revizní zpráva)
Hlášení o činnosti
(Přehled aktivity)
Hlášení ohrožených a zranitelných hostitelů
(Zpráva o ohrožených a zranitelných hostitelích)
Hlášení pověření
(Přehled pověření)
Reportování o výkonu služby
(Přehled služeb)
Opětovné použití přihlašovacích údajů
(Opětovné použití přihlašovacích údajů)
Pokus obejít antivirus
(Antivirový únik)
Pokuste se obejít systémy detekce a prevence narušení
(vyhýbání se IPS/IDS)
Restartování relace
(Opakování relace)
Technologický proces kompromisu
(Pracovní postup využívání)
Hraní úkolů
(Přehrání úkolu)
Označování dat
(označení dat)
Hlášení o shodě PCI DSS
(PCI zpráva)
Hlášení o dodržování FISMA
(Zpráva FISMA)
"Master" pro rychlé penetrační testování
(Rychlý průvodce PenTest Wizard)
"Průvodce" pro kontrolu zranitelností
(Průvodce ověřením zranitelnosti)
Integrace se systémem skenování kvality kódu Sonar
(Integrace projektu Sonar)
„Master“ pro phishing
(Průvodce phishingem)
Sociotechnická analýza
(Sociální inženýrství)
"Průvodce" pro testování webových aplikací
(Průvodce testováním webové aplikace)
Testování webových aplikací
(testování webových aplikací)
Pronikání přes silnou stránku pomocí tunelování VPN
(poutání VPN)
Generátor užitečného zatížení
(generátor užitečného zatížení)
Makra spuštěná po kompromisu
(Makra po zneužití)
Trvalé relace
(Trvalé relace)
Meta moduly
(Metamoduly)
Týmová práce
(týmová spolupráce)
Řetězce úkolů
(řetězce úkolů)
Zálohování a obnovení
(Zálohování a obnovení)
Vlastní reporting
(Vlastní přehledy)
Sociotechnické zpravodajství
(Social Engineering Report)
Hlášení o hodnocení webových aplikací
(Hodnotící zpráva webové aplikace)

Edice Metasploit Framework se odlišuje tím, že slouží jako základ pro vytváření komerčních produktů. Jedná se o projekt s open source, která poskytuje přístup k databázi exploitů pro různé aplikace, operační systémy a platformy. Správa se provádí přes rozhraní příkazového řádku. Uživatel Metasploit Framework může vytvářet a přidávat nové exploity do databáze nebo používat stávající jako další nástroje při provádění penetračních testů.

Zbývající edice jsou komerční, navíc implementují správu přes webové rozhraní a v závislosti na edici jsou přidány určité funkce. V zásadě jsou tyto dodatečné funkce zaměřeny na automatizaci běžných testovacích úloh: analýza zranitelnosti, sociální inženýrství, generování užitečné zátěže, útoky hrubou silou.

závěry

Rapid7 Metasploit má široký sortiment funkčnost. Řešení může fungovat buď přes webové rozhraní nebo rozhraní příkazové řádky - možnost je určena na žádost uživatele. Úplná sada funkcí je však dostupná pouze při práci pomocí webového rozhraní. Rapid7 Metasploit podporuje operační systémy Rodina Windows a Linux.

Několik dalších charakteristických vlastností Rapid7 Metasploit:

  • Možnost výběru edice, která odpovídá potřebám konkrétního případu.
  • Schopnost využívat výsledky analýzy zranitelnosti z řešení třetích stran.
  • Možnost školení na speciálně navrženém zranitelném systému.
  • Integrace produktu (v edici Framework) s distribucemi Linuxu:
    • Kali Linux
    • Backtrack linux (ukončeno)
    • Pentoo
    • BlackArch
    • Backbox

Rapid7 Metasploit má několik omezení provozní úrovně, která stojí za zvážení:

  • Instalace a následné správné fungování produktu je možné pouze po vypnutí firewallu a antiviru.
  • Doporučuje se nainstalovat Rapid7 Neexpose a Metasploit na samostatné počítače. V tomto případě je možné nainstalovat Rapid7 Metasploit do virtuálního počítače.
  • Nedostatek úplného překladu provozní dokumentace do ruštiny. Návod k použití v angličtině najdete na stránkách výrobce v sekci Metasploit.