Penetračné testovanie. Penetračné testy – metódy Prečo je to potrebné?

Penetračné testovanie(jarg. pentest) - metóda hodnotenia bezpečnosti počítačových systémov alebo sietí pomocou simulácie útoku útočníka. Proces zahŕňa aktívnu analýzu systému z hľadiska potenciálnych zraniteľností, ktoré by mohli spôsobiť poruchu cieľového systému alebo spôsobiť úplné odmietnutie služby. Analýza sa vykonáva z pohľadu potenciálneho útočníka a môže zahŕňať aktívne využívanie systémových zraniteľností.

Objektmi testovania môžu byť buď jednotlivé informačné systémy, napríklad: CMS (systém na správu obsahu), CRM (systém riadenia vzťahov so zákazníkmi), banka internetových klientov, alebo celá infraštruktúra ako celok: perimeter siete, bezdrôtové siete, interné alebo podnikové sieť, ako aj vonkajší obvod.

Výzva na penetračné testovanie- vyhľadajte všetky možné známe zraniteľnosti softvér(softvér), nedostatky politiky hesiel, nedostatky a jemnosti nastavení konfigurácie IS. Počas takéhoto testu tester spustí pseudoútok na firemnú sieť, simuluje akcie skutočných útočníkov alebo útok vykonaný škodlivým softvérom bez priamej účasti samotného testera. Účelom týchto testov je identifikovať slabé miesta v ochrane podnikovej siete pred takýmito útokmi a eliminovať zraniteľnosti nájdené pri pseudoútokoch.

Penetračné testovanie sa zvyčajne delí na BlackBox, WhiteBox a GreyBox:

Čierna krabica- "čierna krabica". Špecialista má len verejne dostupné informácie o účele výskumu, jeho sieti a parametroch. Táto možnosť sa čo najviac približuje skutočnej situácii. Ako počiatočné údaje na testovanie je dodávateľovi poskytnutý iba názov spoločnosti alebo jej web stránky a všetky ostatné informácie, ako sú IP adresy používané spoločnosťou, webové stránky, prístupové body spoločnosti, bude musieť dodávateľ zistiť. kancelárie a pobočky na internet.

WhiteBox– úplný opak BlackBoxu. IN v tomto prípade, je špecialistovi poskytnuté maximum informácií, ktoré sú pre neho potrebné, vrátane administratívneho prístupu na akýkoľvek server. Táto metóda umožňuje získať najúplnejšiu štúdiu o zraniteľnosti objektu. S WhiteBoxom nebude musieť umelec tráviť čas zbieraním informácií, zostavovaním sieťovej mapy a inými úkonmi pred začatím testovania a tiež skráti čas samotného testovania, pretože Niektoré kontroly jednoducho nebude potrebné vykonať. Plus túto metódu v úplnejšom a integrovanejšom prístupe k výskumu. Nevýhodou je, že sa to menej približuje situácii skutočného útoku útočníka.

GrayBox– ide o strednú možnosť medzi WhiteBoxom a BlackBoxom, keď účinkujúci koná podľa voľby BlackBox a pravidelne požaduje informácie o testovanom systéme, aby skrátil čas na výskum alebo efektívnejšie uplatnil svoje úsilie. Táto možnosť je najobľúbenejšia, pretože umožňuje testovanie bez zbytočného plytvania časom na zhromažďovanie informácií a trávenie viac času hľadaním zraniteľností, pričom táto možnosť zostáva pomerne blízko skutočnej situácii konania útočníka.

1. VLASTNOSTI PRENIKANIA DIAĽKOVÉHO POČÍTAČOVÉHO SYSTÉMU.

Akékoľvek objektívne a úplné penetračné testovanie má množstvo funkcií a musí sa vykonávať s prihliadnutím na odporúčania a pravidlá.

Pravidlá a rámec pre testovanie prieniku informácií sú uvedené v metodikách OSSTMM a OWASP. Následne je možné získané údaje ľahko prispôsobiť na vykonanie hodnotenia zhody s akýmikoľvek priemyselnými normami a „svetovými osvedčenými postupmi“, ako sú Cobit, normy série ISO/IEC 2700x, odporúčania CIS/SANS/NIST/atď a štandard PCI DSS.

Na úplné vykonanie takéhoto hodnotenia nebudú stačiť samotné technologické údaje. Úplné posúdenie si vyžaduje rozhovory so zamestnancami rôznych oddelení posudzovanej spoločnosti, analýzu administratívnej dokumentácie a rôznych procesov. informačných technológií(IT) a informačná bezpečnosť (IS) a oveľa viac.

Pokiaľ ide o penetračné testovanie v súlade s požiadavkami Štandardu informačnej bezpečnosti odvetvia platobných kariet, veľmi sa nelíši od konvenčného testovania vykonávaného metódami OSSTMM a OWASP. Okrem toho štandard PCI DSS odporúča dodržiavať pravidlá OWASP pri vykonávaní pentestu (AsV) aj auditu (QSA).

Hlavné rozdiely medzi testovaním PCI DSS a penetračným testovaním v širšom zmysle slova sú nasledovné:

  • Norma neupravuje (a teda nevyžaduje) používanie útokov sociálne inžinierstvo.
  • Všetky vykonané testy by mali čo najviac minimalizovať hrozbu odmietnutia služby (DoS). Testovanie sa preto musí vykonávať metódou „šedej skrinky“ s povinným upozornením pre správcov príslušných systémov.
  • Hlavným účelom takéhoto testovania je pokus o implementáciu
    neoprávnený prístup k údajom platobnej karty (PAN, Meno držiteľa karty a pod.).

Metóda GrayBox vám umožňuje znížiť riziko odmietnutia služby pri vykonávaní takejto práce vo vzťahu k informačným zdrojom fungujúcim 24 hodín denne, 7 dní v týždni.

Vo všeobecnosti musí penetračné testovanie PCI spĺňať nasledujúce kritériá:

  • článok 11.1(b) – Analýza bezpečnosti bezdrôtových sietí
  • odsek 11.2 – Skenovanie informačnej siete z hľadiska zraniteľností (AsV)
  • článok 11.3.1 – Vykonávanie kontrol na úrovni siete (sieťová vrstva
    penetračné testy)
  • článok 11.3.2 – Skúšky penetrácie aplikačnou vrstvou

Určenie hraníc vykonávaného výskumu. V prvom rade je potrebné identifikovať hranice penetračného testovania, určiť a dohodnúť postupnosť úkonov, ktoré sa majú vykonať. V najlepšom prípade môže oddelenie informačnej bezpečnosti získať mapu siete, ktorá schematicky zobrazuje interakciu spracovateľského centra so všeobecnou infraštruktúrou. V najhoršom prípade budete musieť komunikovať s systémový administrátor, ktorý pozná svoje nedostatky a získavanie komplexných údajov o informačnom systéme bude pre jeho neochotu zdieľať svoje údaje o IP zložité. Tak či onak, aby ste mohli vykonať PCI DSS pentest, musíte získať minimálne nasledujúce informácie:

  • segmentácia siete (používateľská, technologická, DMZ, spracovanie atď.);
  • firewallovanie na hraniciach podsiete (ACL/ITU);
  • použité webové aplikácie a DBMS (testovacie aj produktívne);
  • používané bezdrôtové siete;
  • akékoľvek bezpečnostné detaily, ktoré je potrebné vziať do úvahy počas prieskumu (napríklad zablokovanie účtov po N pokusoch o nesprávnu autentifikáciu), funkcie infraštruktúry a všeobecné želania pri vykonávaní testovania.

2. KROKY PRENIKNÉHO TESTOVANIA

Pozrime sa na možné fázy penetračného testovania. V závislosti od dostupných informácií (BlackBox/WhiteBox/GreyBox) sa môže postupnosť akcií líšiť: zhromažďovanie údajov, skenovanie siete, hackovanie systému, malvér, sociálne inžinierstvo.

2.1 Zber údajov.

Zhromažďovanie údajov z otvorené zdroje informácie. Otvorené zdroje sú zdroje informácií, ku ktorým sa pristupuje legálne a legálne. Hľadanie potrebných informácií pomocou otvorených zdrojov si osvojili mnohé civilné a vojenské štruktúry pôsobiace v oblasti spravodajskej a priemyselnej špionáže.

Prístup k potrebným informáciám je možné realizovať na internete rôzne cesty. Môže to byť klikanie na hypertextové odkazy, vyhľadávanie v rôznych adresároch (stránky, blogy atď.), Môžete si prezerať výsledky vyhľadávania. Na určité účely sa to bez prehľadávania špecializovaných databáz nezaobíde.

Informácie môžu poskytovať aj interné adresy URL stránok, e-mailové adresy, telefónne čísla, faxy, server DNS, rozsah adries IP, informácie o smerovaní.

S rozvojom internetu sa služby WHOIS rozšírili. Whois (z anglického „kto je“ - „kto je“) je sieťový protokol založený na protokole TCP. Jeho hlavným účelom je získať informácie o „registrátorovi“ (vlastníkovi domény) a „registrátorovi“ (organizácii, ktorá doménu zaregistrovala), mená DNS servery, dátum registrácie a dátum vypršania platnosti. Záznamy o IP adresách sú zoskupené podľa rozsahov (napríklad 8.8.8.0 - 8.8.8.255) a obsahujú údaje o organizácii, ktorej je tento rozsah delegovaný.

2.2 Sieťové skenovanie.

Sieťové skenovanie možno rozdeliť na komponenty:

1. Skenovanie rozsahu adries IP na určenie „živých“ hostiteľov

2. Skenovanie portov

3. Objavovanie služieb a ich verzií

4. Skenovaním zistite OS

5. Skenovanie zraniteľnosti

1. Skenovanie rozsahu adries IP.

Základnou úlohou pri skúmaní akejkoľvek siete je zredukovať súbor rozsahov IP na zoznam aktívnych hostiteľov. Skenovanie každého portu každej IP adresy je pomalé a zbytočné. Záujem o štúdium určitých hostiteľov je do značnej miery určený účelmi skenovania. Ciele administrátorov zisťovanie spustených hostiteľov v sieti môžu byť splnené jednoduchými ICMP pingmi, ale ľudia, ktorí testujú schopnosť siete odolávať vonkajším útokom, musia použiť rôzne sady dotazov na obídenie brány firewall.

Úloha zisťovania hostiteľov sa niekedy nazýva kontrola ping, ale je oveľa lepšia ako bežné požiadavky ICMP spojené so všadeprítomnými pomocnými programami ping. Uprednostňuje sa skenovanie siete pomocou ľubovoľných kombinácií viacportových požiadaviek TCP SYN/ACK, UDP a ICMP. Účelom všetkých týchto požiadaviek je získať odpovede naznačujúce, že IP adresa je momentálne aktívna (používaná hostiteľom resp sieťové zariadenie). Vo väčšine sietí je v danom čase aktívnych iba malé percento adries IP. To platí najmä pre adresné priestory ako 10.0.0.0/8. Takéto siete majú 16 miliónov IP adries, ale existujú prípady, keď ich používajú spoločnosti, ktoré nemajú viac ako tisíc počítačov. Zisťovanie hostiteľov môže nájsť tieto stroje v tomto obrovskom mori IP adries.

2. Skenovanie portov.

Existuje mnoho rôznych techník skenovania portov a pre konkrétnu úlohu sa vyberie tá vhodná (alebo kombinácia viacerých). Pozrime sa na najpopulárnejšie techniky skenovania:

skenovanie TCP SYN
SYN je predvolený a najobľúbenejší typ skenovania. Dá sa rýchlo spustiť, dokáže skenovať tisíce portov za sekundu cez rýchle pripojenie a nebránia mu obmedzujúce brány firewall.

Rôzne typy skenovania UDP
Zatiaľ čo väčšina internetových služieb využíva TCP protokol,Rozšírené sú aj služby UDP. Tri najpopulárnejšie sú DNS, SNMP a DHCP (použite porty 53, 161/162 a 67/68). Pretože Skenovanie UDP je vo všeobecnosti pomalšie a zložitejšie ako skenovanie TCP, takže mnohí profesionáli v oblasti bezpečnosti tieto porty ignorujú. Toto je chyba, pretože Existujú služby UDP, ktoré využívajú útočníci.

TCP NULL, FIN a Xmas skenovanie
Tieto tri typy skenovania používajú jemnú medzeru v TCP RFC na rozlíšenie medzi otvorenými a uzavretými portami.\

skenovanie TCP ACK
Tento typ skenovania sa veľmi líši od všetkých ostatných v tom, že nedokáže rozpoznať otvorený port. Používa sa na identifikáciu pravidiel brány firewall, určenie, či sú stavové alebo nie, a na určenie portov, ktoré filtrujú.

3. Objavovanie služieb a ich verzií.

Pri skenovaní vzdialeného systému sa môže ukázať, že porty 25/tcp, 80/tcp a 53/udp sú otvorené. Pomocou týchto informácií môžete zistiť, že tieto porty pravdepodobne zodpovedajú poštovému serveru (SMTP), webovému serveru (HTTP) a doménovému serveru (DNS). Tieto informácie sú zvyčajne správne, pretože... drvivá väčšina služieb používa TCP port 25, v skutočnosti poštové servery. Nemali by ste sa však úplne spoliehať na tieto informácie. Ľudia môžu prevádzkovať služby pomocou neštandardných portov a aj to robia.

Po zistení akýchkoľvek portov TCP a/alebo UDP sa spustí postup na ich identifikáciu, aby sa určilo, ktoré aplikácie (služby) ich používajú. Pomocou databázy požiadaviek na kontaktovanie rôznych služieb a zodpovedajúcich výrazov na rozpoznanie a analýzu odpovedí je možné určiť protokoly služby (napr. FTP, SSH, Telnet, HTTP), názov aplikácie (napr. ISC BIND, Apache httpd, Solaris telnetd) , číslo verzie, názov hostiteľa, typ zariadenia (napr. tlačiareň, router), rodina OS (napr. Windows, Linux) a niekedy aj rôzne detaily, ako napríklad či je možné sa pripojiť na X server, verzia SSH protokolu alebo používateľské meno.

4. Skenovaním zistite operačný systém.

OS na vzdialenom systéme je možné určiť na základe analýzy zásobníka TCP/IP. Séria TCP a UDP paketov je odoslaná vzdialenému hostiteľovi a prakticky každý bit v odpovediach je preskúmaný. Po vykonaní mnohých testov, ako je vzorkovanie TCP ISN, podpora volieb TCP, vzorkovanie IP ID a analyzovanie trvania inicializačnej procedúry, sa výsledky porovnajú s databázou obsahujúcou známe sady typických výsledkov pre rôzne OS a ak sa nájdu zhody, možno vyvodiť záver o nainštalovanom OS.

5. Skenovanie zraniteľnosti.

Skenovanie zraniteľnosti je plne alebo čiastočne automatizovaný proces zhromažďovania informácií o dostupnosti sieťového uzla informačnej siete ( osobné počítače, servery, telekomunikačné zariadenia), sieťové služby a aplikácie používané na tomto uzle a ich identifikácia, porty používané týmito službami a aplikáciami, za účelom zistenia existujúcich alebo možných zraniteľností.

2.3 Hacknutie systému.

Úspešnosť implementácie konkrétneho hackovacieho algoritmu v praxi do značnej miery závisí od architektúry a konfigurácie konkrétneho operačného systému, ktorý je cieľom tohto hacku.

Existujú však prístupy, ktoré možno použiť na takmer akýkoľvek operačný systém:

  1. Krádež hesla.
  2. Monitorovanie používateľa pri zadávaní hesla, ktoré mu dáva právo pracovať s operačným systémom.
  3. Získanie hesla zo súboru, v ktorom bolo heslo uložené používateľom.
  4. Hľadajte heslo, ktoré si používatelia často zapisujú na papier.
  5. Krádež externé médiá informácie o hesle (disketa alebo elektronický kľúč, na ktorom je uložené heslo používateľa na vstup do operačného systému).
  6. Kompletné vyhľadávanie všetkých možných možností hesla.
  7. Výber hesla na základe frekvencie výskytu symbolov a bigramov, pomocou osobných slovníkov a najčastejšie používaných hesiel.
  8. Skenovanie pevné disky počítač.
  9. Odvoz odpadu.
  10. Prekročenie oprávnenia (zneužitím chýb v softvéri alebo v administrácii operačného systému výskumník získa oprávnenie, ktoré presahuje oprávnenie, ktoré mu bolo udelené podľa aktuálnej bezpečnostnej politiky).
  11. Spustenie programu ako používateľ s potrebnými oprávneniami alebo ako systémový program (ovládač, služba, démon atď.).
  12. Nahradenie použitej dynamicky načítanej knižnice systémové programy alebo zmenou premenných prostredia, ktoré popisujú cestu k takýmto knižniciam.
  13. Úprava kódu alebo údajov bezpečnostného subsystému samotného operačného systému.
  14. Denial of service (účelom tohto útoku je čiastočné alebo úplné vypnutie operačného systému).
  15. Zachytiť zdroje (riadený program zachytí všetky zdroje dostupné v operačnom systéme a potom vstúpi do nekonečnej slučky).
  16. Bombardovanie požiadavkami (riadený program neustále posiela požiadavky do operačného systému, ktorých odozva vyžaduje zapojenie značných počítačových zdrojov).
  17. Využívanie chýb v softvéri alebo administrácii.

2.4 Škodlivý softvér.

Malvér sa veľmi často používa na získanie prístupu k infikovanému systému. Zvyčajne malvér, ktorý má funkciu zadné dvere zverejnené na zdroji na zdieľanie súborov pod zámienkou legitímneho programu.

Škodlivý softvér je softvér, ktorý je vyvinutý s cieľom získať neoprávnený prístup k počítačovým výpočtovým zdrojom, ako aj k údajom v ňom uloženým. Takéto programy sú určené na to, aby spôsobili škodu vlastníkovi informácií alebo počítača skopírovaním, skreslením, odstránením alebo nahradením informácií.

Trójske kone sú škodlivé programy, ktoré vykonávajú akcie, ktoré nie sú autorizované používateľom. Takéto akcie môžu zahŕňať:

  1. Odstraňujú sa údaje
  2. Blokovanie údajov
  3. Zmena údajov
  4. Kopírovanie údajov
  5. Spomalenie počítačov a počítačových sietí.

Trójske kone sú klasifikované podľa typu akcií, ktoré vykonávajú na počítači.

  1. Zadné vrátka. Trojan backdoor program poskytuje útočníkom príležitosť diaľkové ovládanie infikované počítače. Takéto programy umožňujú autorovi vykonávať na infikovanom počítači akékoľvek akcie, vrátane odosielania, prijímania, otvárania a odstraňovania súborov, zobrazovania údajov a reštartovania počítača. Backdoor trójske kone sa často používajú na spojenie skupiny počítačov obetí do botnetu alebo siete zombie na kriminálne účely.
  2. Zneužíva. Exploits sú programy s údajmi alebo kódom, ktoré využívajú zraniteľnosť v aplikáciách bežiacich na počítači.
  3. Rootkity . Rootkity sú programy určené na skrytie určitých objektov alebo akcií v systéme. Ich hlavným účelom je často zabrániť antivírusovému softvéru v detekcii škodlivého softvéru, aby sa predĺžil operačný čas týchto programov na infikovanom počítači.

2.5 Sociálne inžinierstvo.

Na to, aby malvér skončil na napadnutej IP, sa používa sociálne inžinierstvo. Sociálne inžinierstvo je metóda neoprávneného prístupu k informačným zdrojom, založená na charakteristikách ľudskej psychológie. Hlavným cieľom sociálnych inžinierov je získať prístup k chráneným systémom s cieľom ukradnúť informácie, heslá, údaje o kreditné karty a tak ďalej. Za cieľ útoku nie je zvolený stroj, ale jeho operátor. Preto sú všetky metódy a techniky sociálnych inžinierov založené na využívaní slabých stránok ľudského faktora.

Existuje niekoľko bežných techník a typov útokov, ktoré sociálni inžinieri používajú. Ale spoločným znakom všetkých týchto metód je zavádzanie, s cieľom prinútiť človeka vykonať nejakú činnosť, ktorá mu neprospieva a je pre sociálneho inžiniera potrebná. Na dosiahnutie požadovaného výsledku sociálny inžinier používa množstvo rôznych taktík: vydávanie sa za inú osobu, odpútavanie pozornosti, nafukovanie psychického napätia atď. Konečné ciele klamania môžu byť tiež veľmi rôznorodé.

Techniky sociálneho inžinierstva:

  • Predbežné testovanie. Pretexting je súbor akcií realizovaných podľa konkrétneho, vopred pripraveného scenára (zámienky).
  • Phishing. Phishing (anglicky phishing, od fishing – fishing, fishing) je druh internetového podvodu, ktorého účelom je získať prístup k dôverným užívateľským údajom – prihlasovacím menám a heslám. Účelom phishingu je nezákonné získanie dôverných informácií.
  • Niečo za niečo. Quid o quo (lat. Niečo za niečo- "to na toto") - v anglický jazyk tento výraz sa zvyčajne používa vo význame „quid pro quo“. Sociálny inžinier sa často predstaví ako zamestnanec technická podpora, ktorá hlási vznik technických problémov na pracovisku zamestnanca a ponúka pomoc pri ich odstraňovaní.

Štúdia z roku 2003 vykonaná ako súčasť programu informačnej bezpečnosti ukázala, že 90 % kancelárskych pracovníkov je ochotných zverejniť dôverné informácie, napríklad vaše heslá, pre akúkoľvek službu alebo odmenu.

  • Trójsky kôň. Trójsky kôň je škodlivý program, ktorý útočníci používajú na zhromažďovanie, ničenie alebo upravovanie informácií, narúšanie výkonu počítača alebo používanie používateľských zdrojov na vlastné účely. Táto technika často využíva cieľovú zvedavosť a iné emócie.

Organizácia pseudoútoku.

Na zorganizovanie pseudoútoku na počítačový systém, ktorý používame softvér Súprava nástrojov sociálneho inžinierstva(SET) a Metasploit Rámec(MFS). Tieto nástroje sú štandardne zahrnuté v distribúcii Backtrack 5, navrhnutý na testovanie možnosti hackovania systému a siete. Používame tiež dva virtuálne stroje s nasledujúcimi operačnými systémami:Windows7 a Backtrack 5.

Generácia zadných vrátok. SET použijeme na vytvorenie reverzného TCP backdooru a MFS na vytvorenie handlera na spracovanie paketov z vytvoreného backdooru, ktorý bude udržiavať komunikačný kanál medzi potenciálnym útočníkom a systémom, na ktorom bude backdoor spustený.

Všetky akcie sa vykonávajú v režime konzoly na operačnom systéme Backtrack 5. Vytvorenie užitočného zaťaženia sa dosiahne pomocou nástroja SET, krok 4 Vytvorte a Užitočné zaťaženie a Lister

Vytvorte reverzné užitočné zaťaženie TCP (na vytvorenie spätná väzba) sa vykoná výberom položky 2 Windows ObrátenýTCP Meterpreter a potom bod 16 Backdoored Spustiteľný súbor. Táto operácia dokončí vytvorenie zadného vrátka. Pri jeho vytváraní je uvedené aj číslo portu, cez ktorý bude prebiehať spätná väzba. V priečinku / pentest/ zneužíva/ SET msf.exe sa vygeneruje na základe možností, ktoré sme vybrali.

Nastavenie exploitu. Exploit je navrhnutý tak, aby prijímal TCP požiadavky z vytvoreného backdooru. Jeho konfigurácia sa vykonáva spustením MFS a výberom exploitu obsluhy (počúvača): použite exploit/multi/handler.

V dôsledku toho sa MFS prepne do kontextu obsluhy exploitu. Ďalšou úlohou je nakonfigurovať užitočné zaťaženie pre tento exploit. Keďže zadné vrátka sú orientované (vytvorené) pomocou Revers_TCP Meterpretor, informácie sa vymieňajú prostredníctvom pripojenia TCP: nastaviť/ užitočné zaťaženie okná/ merač/ obrátene_ TCP. Okrem toho je potrebné v možnostiach uviesť Local Host (IP adresa potenciálneho útočníka).

Running handler vás prenesie do kontextu meterpretor, kde budú prezentované relácie, ku ktorým sa môžete pripojiť. Vzhľad relácie nastane po spustení zadného vrátka na vzdialenom počítači, čo sa v niektorých prípadoch v praxi dosahuje prostredníctvom sociálneho inžinierstva.

Na simuláciu tohto procesu sa zadné vrátka spustí na druhom virtuálnom počítači. Potom bude relácia k tomuto systému dostupná v meterpretore, to znamená, že naše zadné vrátka poskytujú komunikačný kanál a my získame kontrolu nad infikovaným počítačom.

Penetračné testovanie je metóda hodnotenia bezpečnosti firemnej IT infraštruktúry prostredníctvom autorizovaného modelovania útokov narušiteľov.

Zistite si cenu testovania

×

Vyplňte formulár spätnej väzby, bude vám zaslaný dotazník na určenie ceny služby

Zachovanie dôverných informácií a reputácie spoločnosti závisí od toho, ako spoľahlivo je IT infraštruktúra chránená pred útočníkmi. Preto je také dôležité overiť si jeho bezpečnosť v praxi. Často aj optimálna sada bezpečnostných nástrojov môže mať nesprávne konfiguračné nastavenia, čo vedie k zraniteľnostiam a zvyšuje pravdepodobnosť implementácie hrozieb.

Práce penetračného testovania sú zamerané na:

Získanie nezávislého a komplexného hodnotenia súčasnej úrovne bezpečnosti.

Získanie nezávislého hodnotenia informovanosti zamestnancov o otázkach bezpečnosti informácií.

Počas práce sa vykonáva externá a interná bezpečnostná analýza a testovanie pomocou metód sociálneho inžinierstva.

Problémy vyriešené pri vykonávaní bezpečnostnej analýzy:

  • Identifikácia slabých miest informačnej bezpečnosti a spôsoby ich využitia.
  • Kontrola možnosti prieniku z externých sietí do lokálnej počítačovej siete.
  • Vypracovanie odporúčaní na zlepšenie úrovne bezpečnosti odstránením zistených zraniteľností.

Ak akcie (napríklad využitie určitých slabých miest) môžu viesť k zlyhaniu prevádzky skúmaných zdrojov, potom sa takáto práca vykoná až po dodatočnom schválení. V prípade potreby, v závislosti od zvoleného pracovného scenára, sa po testovaní vykonajú práce na elimináciu negatívneho vplyvu na zdroje.

Ak sa počas práce na bezpečnostnej analýze rozhodne o potrebe okamžite odstrániť identifikované zraniteľnosti, prijmú sa tieto opatrenia:

  • zaznamenávanie výsledkov zneužitia zraniteľnosti (vo forme snímok obrazovky, záznamu akcií špecialistov, denníkov prevádzky systému atď.)
  • určenie potreby a dohodnutie spôsobov eliminácie zraniteľnosti
  • odstránenie zraniteľnosti

Etapy testovania

Pri vykonávaní bezpečnostnej analýzy sa používajú univerzálne skenery zraniteľností na detekciu zraniteľností v aplikáciách, OS a sieťovej infraštruktúre, ako aj špecializovaný softvér. Práce na penetračnom testovaní sa vykonávajú v troch etapách a zahŕňajú tieto etapy:

Fáza 1 – analýza vonkajšej bezpečnosti:

  • Vypracovanie plánu na vykonanie analýzy vonkajšej bezpečnosti a jeho odsúhlasenie s pracovnou skupinou

2. fáza – analýza vnútornej bezpečnosti:

Práce sa vykonávajú u zákazníka.

  • Vypracovanie plánu analýzy vnútornej bezpečnosti a jeho odsúhlasenie s pracovnou skupinou
  • Analýza výsledkov, príprava správy a jej schválenie pracovnou skupinou

3. fáza – testovanie pomocou metód sociálneho inžinierstva:

Práce sa vykonávajú na diaľku pomocou externých dátových sietí (internet).

  • Vypracovanie plánu testovania pomocou metód sociálneho inžinierstva a jeho odsúhlasenie s pracovnou skupinou
  • Analýza výsledkov, príprava správy a jej schválenie pracovnou skupinou

Vykonávanie externej bezpečnostnej analýzy

Účelom tejto fázy práce je otestovať schopnosť útočníka získať neoprávnený prístup k zdrojom a dôverným informáciám.

Bezpečnostná analýza sa vykonáva pomocou modelu „čiernej skrinky“ (chýbajúci autorizovaný prístup, počiatočné konfiguračné údaje a použité opatrenia na bezpečnosť informácií).

V rámci analýzy vonkajšej bezpečnosti nasledujúce typy Tvorba:

  • zber verejne dostupných informácií o externých zdrojoch prístupných z externých dátových sietí
  • vyhľadávanie zraniteľných miest zdrojov a ich komponentov infraštruktúry pomocou bezpečnostných skenerov a špecializovaného softvéru
  • skriptovanie medzi stránkami
  • falšovanie žiadostí medzi stránkami
  • otvorené presmerovanie
  • nesprávne spracovanie chýb, ktoré poskytuje dodatočné informácie o testovanom systéme

Vykonávanie internej bezpečnostnej analýzy

Účelom tejto fázy práce je otestovať schopnosť útočníka vykonať neoprávnený prístup (ďalej len ASD) k zdrojom a dôverným informáciám.

Bezpečnostná analýza sa vykonáva pomocou modelu „šedej skrinky“ (poskytuje autorizovaný prístup do systémov).

V rámci analýzy vnútornej bezpečnosti sa vykonávajú tieto typy prác:

  • zhromažďovanie údajov o infraštruktúre (sieťové služby, operačné systémy a aplikačný softvér externých zdrojov), identifikácia slabín pomocou špecializovaného softvéru a univerzálne skenery bezpečnosť
  • vyhľadávanie zraniteľností zdrojov Zákazníka a komponentov ich infraštruktúry pomocou bezpečnostných skenerov a špecializovaného softvéru
  • využitie identifikovaných zraniteľností pomocou špecializovaného softvéru a manuálne na určenie relevantnosti identifikovaných zraniteľností a možnosť získať konštrukčnú dokumentáciu komponentov softvérového produktu a dôverné informácie

V procese hľadania zraniteľností sa okrem iného kontroluje prítomnosť týchto hlavných typov zraniteľností:

  • vstrekovanie fragmentov kódu (napríklad vstrekovanie príkazov SQL, vstrekovanie príkazov operačného systému
  • neisto implementované postupy overovania a správy relácií
  • skriptovanie medzi stránkami
  • chyby riadenia prístupu (napríklad priame odkazy na objekty s dôvernými informáciami, chyby zabezpečenia pri prechode cez adresár)
  • nezabezpečená konfigurácia softvéru (napríklad povolenie výpisov adresárov)
  • sprístupnenie dôverných informácií (napríklad poskytnutie osobných údajov používateľovi iných používateľov)
  • chyby obmedzujúce prístup používateľa k určitým funkciám
  • falšovanie žiadostí medzi stránkami
  • nesprávne spracovanie chýb, ktoré poskytuje dodatočné informácie o testovanom systéme
  • používanie OS a softvéru so známymi zraniteľnosťami
  • otvorené presmerovanie
  • spracovanie externých XML entít
  • nesprávne spracovanie chýb, ktoré poskytuje dodatočné informácie o testovanom systéme
  • použitie jednoduché heslá počas overovania

Vykonávanie testovania pomocou metód sociálneho inžinierstva

Účelom tejto etapy práce je posúdiť informovanosť zamestnancov zákazníka v problematike informačnej bezpečnosti.

V rámci testovania sociálneho inžinierstva sa útoky na zamestnancov zákazníkov vykonávajú v nasledujúcich scenároch:

  • Phishing – útok sa uskutočňuje prostredníctvom e-mailu. Príklad útoku: Zamestnancovi je v mene spoločnosti zaslaný odkaz s „novým a veľmi užitočná služba“ za jeho prácu. List obsahuje popis služby a ako presne má konkrétnemu zamestnancovi pomôcť v jeho práci. List vás tiež žiada o kontrolu funkčnosti a či všetko funguje správne. Práca je zameraná na to, aby zamestnanec išiel do tejto služby a pokúsil sa zaregistrovať pomocou poverení domény.
  • Trójsky kôň – útok sa vykonáva prostredníctvom e-mailu. Príklad útoku: Zamestnanec je vyslaný spustiteľný súbor, pričom obsah listu sa môže líšiť v závislosti od pozície zamestnanca: zmluva pre manažéra, zoznam chýb pre programátora atď. Práca je zameraná na to, aby zamestnanec spustil program dňa lokálny počítač a zaznamenať skutočnosť spustenia takéhoto programu.
  • Telefonický útok - útok sa uskutočňuje prostredníctvom telefonického hovoru. Práca je zameraná na získanie dôvery zamestnanca tým, že príde s hodnoverným krycím príbehom a potom sa naučíte dôverné informácie alebo poverenia zamestnanca. Príklad legendy: " Nový zamestnanec tie. podpora vykonáva prvú úlohu nasadenia služby a potrebuje skontrolovať, či funguje správne. Požiadajte zamestnanca o pomoc: prihláste sa samostatne alebo mu povedzte svoje používateľské meno a heslo.“

Analýza výsledkov

Výsledkom práce je správa obsahujúca nasledujúce informácie.

Penetračné testovanie je kombináciou metód, ktoré berú do úvahy rôzne systémové problémy a testujú, analyzujú a poskytujú riešenia. Je založený na štruktúrovanom postupe, ktorý krok za krokom vykonáva penetračné testovanie. Nižšie je uvedených sedem krokov penetračného testovania:

Plánovanie a príprava

Plánovanie a príprava začína definovaním cieľov a zámerov penetračného testovania.

Klient a tester spoločne definujú ciele tak, aby obe strany mali rovnaké ciele a porozumenie. Bežné ciele penetračného testovania sú:

  • Identifikovať slabé miesta a zlepšiť bezpečnosť technických systémov.
  • Zabezpečte IT bezpečnosť externou treťou stranou.
  • Zlepšiť bezpečnosť organizačnej/HR infraštruktúry.

Štúdium

Spravodajstvo zahŕňa analýzu predbežných informácií. Tester veľakrát nemá veľa informácií okrem predbežných informácií, teda IP adresy alebo bloku IP adries. Tester začína analýzou dostupných informácií a v prípade potreby požiada užívateľa o získanie Ďalšie informácie, ako sú popisy systému, plány siete atď. Tento krok je svojím spôsobom pasívny penetračný test. Jediným cieľom je získať úplné a podrobné informácie o systémoch.

Otvorenie

V tomto bode penetračný tester pravdepodobne použije automatizované nástroje na skenovanie cieľových aktív, aby odhalil zraniteľné miesta. Tieto nástroje majú zvyčajne svoje vlastné databázy, ktoré poskytujú informácie o najnovších zraniteľnostiach. Tester však zistí

  • Zisťovanie siete- napríklad otváranie doplnkové systémy, servery a ďalšie zariadenia.
  • Host Discovery- určuje otvorené porty na týchto zariadeniach.
  • Servisný výsluch- polling porty na zistenie skutočných služieb, ktoré na nich bežia.

Informácie a analýza rizík

V tejto fáze tester analyzuje a vyhodnocuje informácie zozbierané pred testovacími fázami, aby dynamicky prenikol do systému. Kvôli veľké číslo systémov a veľkosti infraštruktúry si vyžaduje veľa času. Pri analýze berie tester do úvahy nasledujúce prvky:

  • Špecifické ciele penetračného testu.
  • Potenciálne riziká pre systém.
  • Odhadovaný čas potrebný na posúdenie potenciálnych bezpečnostných chýb pre následné aktívne penetračné testovanie.

Zo zoznamu identifikovaných systémov si však tester môže vybrať testovať len tie, ktoré obsahujú potenciálne zraniteľnosti.

Aktívne pokusy o inváziu

Toto je najdôležitejší krok a musí sa robiť s náležitou starostlivosťou. Tento krok zahŕňa rozsah, v akom potenciálne zraniteľnosti objavené počas fázy objavovania predstavujú skutočné riziká. Tento krok by sa mal vykonať, keď je potrebné skontrolovať potenciálne zraniteľné miesta. V prípade systémov, ktoré majú veľmi vysoké požiadavky na integritu, je potrebné pred vykonaním kritických čistiacich postupov dôkladne zvážiť potenciálne zraniteľné miesta a riziká.

Záverečná analýza

Tento krok sa v prvom rade zaoberá všetkými krokmi, ktoré boli doteraz podniknuté (diskutované vyššie), a posúdením existujúcich zraniteľností v podobe potenciálnych rizík. Okrem toho tester odporúča eliminovať zraniteľné miesta a riziká. V prvom rade musí tester zabezpečiť transparentnosť testov a zistených zraniteľností.

Príprava správy

Príprava správy by mala začať všeobecnými testovacími postupmi a potom analyzovať slabé miesta a riziká. Uprednostniť by sa mali vysoké riziká a kritické zraniteľnosti, po ktorých by malo nasledovať nižšie poradie.

Pri dokumentovaní záverečnej správy je však potrebné zvážiť nasledujúce body:

  • Všeobecný prehľad penetračného testovania.
  • Podrobnosti o každom kroku a informácie zhromaždené počas testovania pera.
  • Podrobné informácie o všetkých zistených zraniteľnostiach a rizikách.
  • Časti čistiacich a upevňovacích systémov.
  • Návrhy pre budúcu bezpečnosť.

Každý majiteľ firmy, IT špecialista a bežný používateľ počítača sa aspoň raz stretol s kybernetickými hrozbami. IN modernom svete sú čoraz mocnejšie a schopné spôsobiť obrovské škody nielen biznisu, ale aj štátu.

Existujú dve kategórie hackerov:

Biele klobúky- pracovať na zaistení bezpečnosti, čeliť nezákonným prienikom.

Čierni hackeri (čierny klobúk)- porušovať zákon, kradnúť osobné údaje, vyprázdniť bankové účty.

Náš tím prevezme úlohu vykonania testov na nájdenie zraniteľností vo vašej podnikovej kancelárskej sieti, na vašich webových stránkach a aplikáciách. A tiež pomocou sociálneho inžinierstva dokážeme identifikovať najslabšie chránené oddelenia vo vašej spoločnosti a dať odporúčania na posilnenie ochrany.

Čo je súčasťou pentestingu (bezpečnostného testu)?

Testovanie bezpečnosti spoločnosti môže zahŕňať:
  • Analýza externej siete a perimetra
  • Pentest (penetračný test)
  • Testovanie internej siete
  • Hľadanie zraniteľností a zneužitia
  • Sociálne inžinierstvo
  • Testovanie firemných webových stránok
  • Testovanie mobilných aplikácií spoločnosti
  • Skúšobná správa a odporúčania

Presný zoznam testov je stanovený vo fáze vyjednávania, po preštudovaní potrieb klienta.

Náklady na penetračné testovanie

Externé testovanie podnikovej siete

Cena na vyžiadanie

Penetračný test (pentest)

Cena na vyžiadanie

Testovanie webových a mobilných aplikácií

Cena na vyžiadanie

Sociálne inžinierstvo

Cena na vyžiadanie

Bezpečnostný test na kľúč

Cena na vyžiadanie

Vyšetrovanie počítačovej kriminality

Cena na vyžiadanie


DÔLEŽITÉ

"Bohužiaľ, najčastejšie spoločnosti začínajú myslieť na informačnú bezpečnosť, keď už utrpeli. Hackerov nezaujíma veľkosť vašej spoločnosti a jej obrat, ale počet napadnutých spoločností."

Chráňte svoju spoločnosť pred kybernetickými hrozbami!

Čo je teda pentest?

Testovanie je vyhľadávanie a penetračné testovanie je jedným z typov najpodrobnejšieho a najefektívnejšieho vyhľadávania maximálne množstvo s rôznou mierou zraniteľnosti bodov a oblastí pre prienik zdrojov a používateľov tretích strán. Takéto prieniky môžu byť vykonané buď so zlým úmyslom alebo nepriamo s cieľom zadať alebo získať určité údaje.


Táto technika môže byť vykonaná samostatne a môže byť zahrnutá do pravidelných alebo jednorazových testovacích systémov na vytvorenie účinných ochranných opatrení proti najširšiemu spektru útokov a prienikov tretích strán.

Etiológia systémovej zraniteľnosti

Strata bezpečnosti môže nastať v rôznych fázach prevádzky akéhokoľvek systému, ale v každom prípade závisí od vplyvu takých faktorov, ako sú:

  • konštrukčná chyba,

  • nesprávny proces konfigurácie pri výbere nefunkčnej konfigurácie kombinácie softvéru a zariadení spojených so systémom,

  • bezpečnostné chyby vo výstupnom systéme siete. Čím vyššia je úroveň zabezpečenia sieťové pripojeniečím nižšia je pravdepodobnosť negatívneho vplyvu a možnosť preniknutia škodlivého vplyvu do systému,

  • ľudský faktor, vyjadrený výskytom zlomyseľnej alebo náhodnej chyby pri návrhu, používaní alebo údržbe siete počas osobného resp. tímová práca s ňou,

  • komunikačná zložka vyjadrená v nechránenom prenose dôverných údajov,

  • neprimerane vysoký stupeň zložitosti systému. Vždy je jednoduchšie získať kontrolu nad stupňom jeho zabezpečenia, ako sledovať kanály úniku údajov z neho. Čo je oveľa jednoduchšie robiť v jednoduchých a funkčných systémoch ako v ich zložitých náprotivkoch,

  • nedostatok vedomostí. Nedostatok primeranej úrovne odbornej prípravy v otázkach bezpečnosti medzi odborníkmi priamo alebo nepriamo súvisiacimi s používaním systému.

Testovanie sa líši od hodnotenia zraniteľnosti

Napriek podobnosti účelu ich použitia. Totiž vyhľadávanie a organizovanie najbezpečnejšie softvérový produkt. Fungujú inak.


Penetračné testovanie sa vykonáva prostredníctvom skutočného monitorovania, ktoré sa vykonáva manuálne alebo pomocou určitých vysoko špecializovaných systémov a nástrojov. Čo sa deje prostredníctvom emulácie škodlivých vplyvov, čo umožňuje identifikovať oblasti zraniteľnosti.


Určenie stupňa zraniteľnosti vychádza zo starostlivého skúmania pracovných postupov s cieľom identifikovať možné medzery, cez ktoré môžu údaje uniknúť počas určitých typov útokov. To pomáha nájsť oblasti náchylné na vplyv hackerov, čo určuje stupeň celkovej bezpečnosti testovaného systému. Počas jeho implementácie sa identifikujú, opravia a odstránia identifikované „slabé stránky“.


Stanovenie stupňa zraniteľnosti je teda zavedený pracovný postup. A penetračné testovanie funguje „na báze ad hoc“ s jediným cieľom čo najsilnejšie ovplyvniť systém, aby sa identifikovali diery v jeho ochrane.

Načo to je

Umožňuje vám nájsť a opraviť medzery v bezpečnostnom systéme programu, ktorý používate. Ide o proaktívnu prácu s cieľom zabrániť možnosti preniknutia negatívnych vplyvov tretích strán bez ohľadu na jej ciele a úroveň implementácie. To pomáha vytvoriť najkompetentnejší systém ochrany pred očakávanými, a nielen existujúcimi hrozbami zvonku.

Takéto monitorovanie umožňuje:

  • nájsť slabé miesta/slabé miesta v systéme skôr, ako budú vystavené vonkajším negatívnym vplyvom a spôsobia únik údajov. Je to skvelá alternatíva k častým aktualizáciám systému. Pretože tieto ovplyvňujú kompatibilitu a rýchlosť prevádzky systému, ktorý bol predtým ladený, bez toho, aby ich bral do úvahy. Je lepšie kontrolovať aktualizácie, ako ich vykonávať nekontrolovane;

  • vyhodnotiť bezpečnostný nástroj uvedený do prevádzky. Umožňuje vývojárom získať realistické posúdenie ich kompetencie, ako aj úrovne súladu s aktuálnymi bezpečnostnými štandardmi. Okrem toho vám penetračné testovanie umožňuje identifikovať obchodné riziká, ako aj ďalšie komponenty ochrany, ktoré sa môžu znížiť počas kompromisu medzi kombinovaným používaním autorizovaných a novo aktivovaných softvérových komponentov. Umožňuje štruktúrovať a uprednostňovať, znižovať a eliminovať mieru zistených rizík a negatívneho dopadu možných hrozieb;
  • identifikovať riziká na zlepšenie existujúcich bezpečnostných noriem.

Proces monitorovania

Penetračné testovanie sa dnes môže vykonávať pomocou mnohých techník, ale hlavné a najvýhodnejšie sú:

Manuálne testovanie sa vykonáva podľa nasledujúceho algoritmu

  • plánovanie alebo starostlivé zhromažďovanie údajov s prihliadnutím na potreby, rozsah použitia, účely nadchádzajúceho monitorovania s prihliadnutím na úroveň existujúcej ochrany. Môžu sa tu uviesť aj špecifické oblasti na sledovanie stupňa ochrany, typ požadovaného/plánovaného vplyvu a ďalšie požiadavky na budúce monitorovanie.

  • spravodajské manipulácie zamerané na vyhľadávanie a kumuláciu prijatých údajov o systéme a cudzích, kombinovaných, ochranných mechanizmoch potrebných na cielenie a špeciálne organizované útoky na určené bloky alebo celý systém. Cieľ: získanie čo najefektívnejšieho testovania. Preto existujú dve odrody: pasívna a aktívna, kde prvá sa vykonáva bez aktívneho vplyvu na systém a druhá je jeho úplným opakom,

  • analýzy zistených výsledkov. Táto fáza vám umožňuje identifikovať najzraniteľnejšie body, ktoré budú použité na ďalšie agresívne prenikanie do systému,

  • využitie získaných výsledkov. Na základe identifikovaných miest „ľahkého prieniku“ ochranných systémov sa vykoná pripravený útok na softvér, a to vo forme vonkajších aj vnútorných útokov. Vonkajšie vplyvy sú hrozbou pre systém zvonku, kde dochádza k emulácii priamych vonkajších hrozieb ovplyvňujúcich systém a špecializovaných pokusov o neoprávnený prístup k údajom systému pred tým chráneného. Vnútorné útoky predstavujú druhý stupeň dopadu, ktorý začína po úspešnom prieniku do systému zvonku. Škála cieľov ich ďalšieho pôsobenia je široká a pestrá. Hlavným je kompromis systému, ktorým prenikli,

  • výsledky prevádzky umožňujú identifikovať ciele každej identifikovanej hrozby a určiť jej potenciál pre interné podnikové procesy systému ako celku a najmä jeho jednotlivých komponentov,
  • záverom je blok dokumentácie vykonanej práce a dosiahnutých výsledkov, popisujúci potenciálne hrozby a mieru ich negatívneho vplyvu pri dosahovaní cieľov dopadu.

    • Testovanie pomocou automatizovaných nástrojov je nielen efektívne, ale aj veľmi užitočné pri používaní vysoko špecializovaných nástrojov. Je vhodný na použitie, čas je minimálny a jeho účinnosť umožňuje vytvárať „krištáľovo čisté“ závery o vykonanej práci.


    Zoznam najpopulárnejších nástrojov zahŕňa: Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af. Kolekcie systémov Linux ponúkajú veľa zaujímavých a funkčných vecí.


    Pre prácu si vyberte nástroje, ktoré spĺňajú určité potreby, napríklad:

    • praktickosť spustenia, používania a ďalšej údržby,

    • jednoduchosť skenovania,

    • úroveň automatizácie pri identifikácii zraniteľností,

    • stupeň dostupnosti testovania predtým objavených oblastí slabých pre vonkajšie útoky,

    • stupeň schopnosti vytvárať podrobné a jednoduché reportovacie dokumenty o vykonanej práci a dosiahnutých výsledkoch.

    Kombinácia vyššie uvedených metód dohromady. Ide o optimálnu metódu penetračného testovania, pretože dokáže spojiť výhody oboch metód a stať sa čo najrýchlejšou a najpodrobnejšou.

    Typy penetračných testov

    Rozdelenie sa robí v závislosti od použitých nástrojov a monitorovacích objektov:


    • sociálne alebo ľudské, kde sa spájajú ľudia, ktorí môžu na diaľku alebo lokálne prijímať potrebné informácie a jasne ich spracovať,

    • softvérová aplikácia používaná na identifikáciu bezpečnostných chýb. Súčasne sa využíva viacero možností webových ponúk a špecializovaných služieb využívanej služby alebo zdrojov tretích strán,

    • sieťový zdroj, ktorý vám umožňuje identifikovať možnosť neoprávneného prístupu hackerov alebo prieniku neoprávneného používateľa,

    • klientska časť, používaná v prac špeciálne aplikácie nainštalovaný na webovej stránke alebo aplikácii klienta,

    • vzdialený prístup sa vykonáva prostredníctvom testovania VPN alebo podobného objektu, ktorý umožňuje správny prístup do tohto systému,

    • bezdrôtové pripojenie, má za cieľ testovať bezdrôtové aplikácie, služby a ich nástroje.

    Klasifikácia metód monitorovania sa vykonáva aj s prihliadnutím na typ prístupu k jej implementácii. Čo vám umožňuje zdôrazniť:

    • biela, kde má tester prístup k údajom o funkciách a nástrojoch testovaného systému. Čo robí jeho prácu čo najefektívnejšou a najproduktívnejšou. Pretože vlastníctvo takýchto informácií vám umožňuje porozumieť zložitosti a vlastnostiam testovaného systému, a preto vykonávať testovanie s maximálnym ponorením,

    • čierna umožňuje prístup k základným alebo vyšším informáciám o systéme. Tester sa cíti skôr ako hacker než ako zamestnanec pôsobiaci v rámci systému. Vysoký stupeň Zložitosť tejto metódy si vyžaduje čas a dôkladné znalosti, ako aj skúsenosti s jej implementáciou. Preto existuje vysoká pravdepodobnosť chýbajúceho alebo neúplného testovania,

    • šedý alebo obmedzený prístup k systémovým informáciám dostatočný na vytvorenie simulovaného externého útoku.

    Limity penetračného testovania

    Existuje mnoho obmedzení rozsahu takéhoto vplyvu, ale medzi hlavné patria:

    • krátke časové obdobie s vysokými počiatočnými nákladmi na tento postup,

    • obmedzenie počtu testov za jednotku času,

    • možnosť zlyhania prieniku na strane systému,

    • vysoký stupeň zraniteľnosti prijatých údajov.

    Záver

    Moderní hackeri majú neustále aktualizovaný súbor programov a účinných nástrojov na vykonávanie účinných útokov. Preto často vstupujú do záujmových systémov s priamym úmyslom ohroziť sieť alebo využiť jej zdroje. V tomto prípade je monitoring narušenia najúčinnejší ako nástroj na odhaľovanie zraniteľností v akýchkoľvek bezpečnostných systémoch. A umožňuje vám to minimalizovať potenciál externých hrozieb pre softvér ako celok.


Základnými nástrojmi na kontrolu bezpečnosti systému sú nástroje na automatický zber systémových dát a penetračné testovanie. Navrhujeme zvážiť princíp fungovania takýchto nástrojov na príklade produktu Rapid7 Metasploit od Rapid7, jedného z popredných výrobcov analytických riešení pre informačnú bezpečnosť, ktorý je vysoko hodnotený vplyvnými výskumnými a poradenskými spoločnosťami vrátane Gartner a Forrester.

Úvod

Penetračné testovanie (pentest) je jednou z najúčinnejších metód hodnotenia kvality bezpečnostného systému. Uskutočňuje sa s cieľom identifikovať slabé miesta v IT infraštruktúre, preukázať možnosť zneužitia zraniteľností a tiež pripraviť odporúčania na ich odstránenie. Testovacie postupy sa vykonávajú na podnet majiteľa informačný systém a sú zamerané na predchádzanie incidentom informačnej bezpečnosti, často sprevádzaným finančnými a reputačnými stratami, nepríjemnými vysvetleniami s klientmi a zástupcami partnerských organizácií, ako aj inými nežiaducimi následkami.

V Ruskej federácii sú významným faktorom určujúcim potrebu vykonať penetračné testovanie požiadavky regulačných orgánov. Tie považujú kontrolu účinnosti systému ochrany za mimoriadne dôležité opatrenie a príslušné ustanovenia sú zahrnuté v regulačných a metodických dokumentoch. V prvom rade je v tejto súvislosti vhodné spomenúť regulačné dokumenty, ktoré pokrývajú značný počet informačných systémov – príkazy FSTEC Ruska č.17 a 21.

Tieto dokumenty definujú ochranné opatrenie vo forme „testovania systému informačnej bezpečnosti pokusom o neoprávnený prístup (ovplyvnenie) do informačného systému, obídenie jeho systému informačnej bezpečnosti“ v štádiu certifikácie. Certifikácia informačných systémov, ktorá zahŕňa kontrolu účinnosti bezpečnostného systému, je žiadaná aj pre informačné systémy spracúvajúce štátne tajomstvo.

V medzinárodnom meradle je vhodné si všimnúť priemyselný bezpečnostný štandard platobných kariet PCI DSS (Payment Card Industry Data Security Standard). Súlad s ustanoveniami štandardu PCI DSS je povinný pre všetky organizácie zapojené do spracovania platobných kariet Visa a MasterCard: obchodníkov, spracovateľské centrá, nadobúdateľov, vydavateľov a poskytovateľov služieb, ako aj všetky ostatné organizácie, ktoré uchovávajú, spracúvajú alebo prenášajú držiteľa platobných kariet. dátové karty a citlivé autentifikačné údaje. Ustanovenia normy zabezpečujú analýzu zraniteľnosti a penetračné testovanie vo vnútri aj mimo siete informačného systému. Externé a interné penetračné testy by sa mali vykonávať aspoň raz ročne a po akýchkoľvek významných úpravách alebo aktualizáciách infraštruktúry/aplikácií.

Penetračné testovanie (pentest) je možné vykonávať v rámci pokročilej prípravy špecialistov informačnej bezpečnosti a získavania praktických zručností študentmi, ktorí študujú v odboroch súvisiacich s informačnou bezpečnosťou, ako aj na testovanie vývojármi nástrojov informačnej bezpečnosti ich vlastných produktov.

Je zrejmé, že pre všetky vyššie uvedené účely je najžiadanejšie riešenie integrovaného manažmentu hrozieb, ktoré pokrýva bezpečnosť siete, bezpečnosti webových aplikácií, bezpečnosti databáz a stratégií penetračného testovania a obsahuje funkcionalitu dostatočnú tak na splnenie požiadaviek domácich a medzinárodných predpisov, ako aj na použitie v školiacom procese. Medzi takéto riešenia patrí Rapid7 Metasploit od spoločnosti Rapid7, ktorá bola založená v roku 2000 a je jedným z popredných výrobcov produktov na analýzu a organizáciu systémov informačnej bezpečnosti v prostrediach IT. Dôležitou výhodou softvéru Rapid7 je schopnosť poskytnúť prehľad o stave zabezpečenia aktív a používateľov v akomkoľvek prostredí, vrátane virtuálneho a mobilného, ​​ako aj verejných a súkromných cloudov.

Na vyhodnotenie riešenia Rapid7 Metasploit môžete použiť riešenie od rovnakého výrobcu – virtuálny stroj Metasploitable s demo verziou Ubuntu Linux. Virtuálny stroj je kompatibilný s VMWare, VirtualBox a ďalšími bežnými virtualizačnými platformami.

Dôležitou pomôckou je, že Rapid7 Metasploit je kompatibilný so skenerom zraniteľností Rapid7 Neexpose, môže iniciovať jeho spustenie a tiež využiť jeho výsledky.

Pozrime sa na všeobecný postup práce s Rapid7 Metasploit.

Ako pracovať s Rapid7 Metasploit

Vo všeobecnosti práca s Rapid7 Metasploit pozostáva z nasledujúcich krokov:

  1. Vytvorenie projektu. Projekt obsahuje pracovný priestor, ktorý sa používa na vytvorenie penetračného testu a konfiguráciu úloh, ktoré sa majú vykonať. Každý penetračný test prebieha z vlastného projektu.
  2. Zber informácií. V tejto fáze Rapid7 Metasploit zhromažďuje informácie o cieľová sieť: nainštalovaný OS, otvorené porty, bežiaci hostitelia a procesy. V tejto fáze možno použiť aj skener zraniteľnosti Rapid7 Neexpose. Počas skenovania sa všetky prijaté dáta automaticky uložia do projektu.
  3. Používanie exploitov. Útok možno vykonať manuálne alebo pomocou databázy exploitov. Používajú sa sieťové údaje získané v kroku 2.
  4. Akcie vykonané na napadnutom systéme. Po získaní prístupu sa používa exploit payload, pomocou ktorého sa iniciujú interaktívne relácie na zbieranie ďalších informácií a taktiež je možné použiť post-exploitation moduly na automatické zbieranie hesiel uložených v operačnom systéme a aplikáciách, screenshoty, obrázky z webové kamery, nahrávanie stlačenia klávesov, zbieranie konfiguračné súbory, spúšťanie aplikácií atď.

Porovnanie edícií Rapid7 Metasploit

Rapid7 Metasploit je dostupný v niekoľkých edíciách, ktoré sa líšia rozsahom poskytovaných funkcií a typom licencie na použitie. V súčasnosti sú k dispozícii nasledujúce edície produktov:

  • Rámec
  • Spoločenstva
  • expresné

Tabuľka poskytuje informácie o tom, ktoré cieľové funkcie sú implementované v každom vydaní produktu. Pre pohodlie pomocou rôznych farieb sú cieľové funkcie rozdelené do skupín podľa ich hlavného účelu:

  • Zbierajte údaje o charakteristikách komponentov a slabých miestach siete.
  • Penetračné testovanie.
  • Vykonajte phishingové úlohy.
  • Testovanie webových aplikácií.
  • Generovanie správ.
  • Kontrola.

Tabuľka 1. Porovnanie vydaní Rapid7 Metasploit

Charakteristický Pro expresné Spoločenstva
Import skenovaných údajov
(import údajov skenovania)
Skenovanie s detekciou
(Discovery scan)
Integrácia so systémom správy zraniteľností Neexpose
(Integrácia skenovania Neexpose)
Exportovať údaje
(export údajov)
Manuálne spustenie exploitov
(Manuálne využitie)
webové rozhranie
(webové rozhranie)
Správa relácií
(Správa relácie)
Správa poverení
(Správa poverení)
Prienik cez pevný bod
(Proxy pivot)
Moduly spustené po kompromise
(moduly po exploatácii)
Vymazanie relácie
(Vyčistenie relácie)
Spôsob výberu
(Hrubou silou)
Zhromažďovanie dôkazov
(Zbierka dôkazov)
Zapisovanie kontroly
(Audítorská správa)
Hlásenie o činnosti
(Správa o činnosti)
Hlásenie napadnutých a zraniteľných hostiteľov
(Správa ohrození a zraniteľní hostitelia)
Hlásenie poverení
(Prehľad poverení)
Podávanie správ o výkone služby
(Prehľad služieb)
Opätovné použitie poverení
(Opätovné použitie poverení)
Pokus o obídenie antivírusu
(Antivírusový únik)
Pokúste sa obísť systémy detekcie a prevencie narušenia
(Únik IPS/IDS)
Reštartovanie relácie
(Opätovné spustenie relácie)
Technologický proces kompromisu
(Pracovný postup využívania)
Hranie úloh
(Prehratie úlohy)
Označovanie údajov
(označenie údajov)
Hlásenie o zhode PCI DSS
(PCI správa)
Hlásenie o dodržiavaní pravidiel FISMA
(Správa FISMA)
"Majster" pre rýchle penetračné testovanie
(Rýchly sprievodca PenTestom)
"Sprievodca" na kontrolu zraniteľností
(Sprievodca overením zraniteľnosti)
Integrácia so systémom skenovania kvality kódu Sonar
(Integrácia projektu Sonar)
„Majster“ pre phishing
(Sprievodca phishingom)
Sociotechnická analýza
(sociálne inžinierstvo)
"Sprievodcu" na testovanie webových aplikácií
(Sprievodca testovaním webovej aplikácie)
Testovanie webových aplikácií
(Testovanie webovej aplikácie)
Preniknutie cez silný bod pomocou tunelovania VPN
(otočenie VPN)
Generátor užitočného zaťaženia
(Generátor užitočného zaťaženia)
Makrá spustené po kompromise
(Makrá po zneužití)
Pretrvávajúce relácie
(Trvalé relácie)
Meta moduly
(Metamoduly)
Tímová práca
(Tímová spolupráca)
Reťazce úloh
(reťazce úloh)
Zálohovanie a obnovenie
(Zálohovanie a obnovenie)
Vlastné prehľady
(Vlastné prehľady)
Sociotechnické spravodajstvo
(Social Engineering Report)
Hlásenie o hodnotení webových aplikácií
(Hodnotiaca správa webovej aplikácie)

Edícia Metasploit Framework stojí mimo, pretože slúži ako základ pre vytváranie komerčných produktov. Toto je projekt s open source, ktorá poskytuje prístup k databáze exploitov pre rôzne aplikácie, operačné systémy a platformy. Správa sa vykonáva cez rozhranie príkazového riadku. Používateľ Metasploit Framework môže vytvárať a pridávať nové exploity do databázy alebo používať existujúce ako dodatočné nástroje pri vykonávaní penetračných testov.

Zvyšné edície sú komerčné, navyše implementujú správu cez webové rozhranie a v závislosti od edície sú pridané určité funkcie. V zásade sú tieto dodatočné funkcie zamerané na automatizáciu bežných testovacích úloh: analýza zraniteľnosti, sociálne inžinierstvo, generovanie užitočného zaťaženia, útoky hrubou silou.

závery

Rapid7 Metasploit má široký sortiment funkčnosť. Riešenie môže fungovať buď cez webové rozhranie alebo rozhranie príkazového riadku - možnosť je určená na žiadosť užívateľa. Úplná sada funkcií je však dostupná iba pri práci s webovým rozhraním. Rapid7 Metasploit podporuje operačné systémy Rodina Windows a Linux.

Niekoľko ďalších charakteristických vlastností Rapid7 Metasploit:

  • Možnosť výberu edície, ktorá vyhovuje potrebám konkrétneho prípadu.
  • Schopnosť využívať výsledky analýzy zraniteľnosti z riešení tretích strán.
  • Možnosť školenia na špeciálne navrhnutom zraniteľnom systéme.
  • Integrácia produktu (v edícii Framework) s distribúciami Linuxu:
    • Kali Linux
    • Backtrack linux (ukončené)
    • Pentoo
    • BlackArch
    • Backbox

Rapid7 Metasploit má niekoľko obmedzení na prevádzkovej úrovni, ktoré stojí za zváženie:

  • Inštalácia a následné správne fungovanie produktu je možné až po vypnutí firewallu a antivírusu.
  • Odporúča sa nainštalovať Rapid7 Neexpose a Metasploit na samostatné počítače. V tomto prípade je možné nainštalovať Rapid7 Metasploit do virtuálneho počítača.
  • Chýba úplný preklad prevádzkovej dokumentácie do ruštiny. Návod na použitie v angličtine nájdete na webovej stránke výrobcu v časti Metasploit.