Testiranje penetracije je kombinacija metoda koje uzimaju u obzir različite sistemske probleme i testiranja, analiziraju i pružaju rješenja. Zasnovan je na strukturiranoj proceduri koja izvodi testiranje penetracije korak po korak. Ispod je sedam koraka testiranja penetracije:

Planiranje i priprema

Planiranje i priprema počinje definisanjem ciljeva i zadataka penetracionog testiranja.

Klijent i tester zajednički definiraju ciljeve tako da obje strane imaju iste ciljeve i razumijevanje. Uobičajeni ciljevi testiranja penetracije su:

• Identifikujte ranjivosti i poboljšajte bezbednost tehničkih sistema.
• Osigurajte IT sigurnost od strane eksterne treće strane.
• Poboljšati sigurnost organizacijske/HR infrastrukture.

Studija

Obavještajni podaci uključuju analizu preliminarnih informacija. Često tester nema mnogo informacija osim preliminarnih informacija, odnosno IP adrese ili bloka IP adresa. Tester počinje analizom dostupnih informacija i, ako je potrebno, zahtjeva od korisnika da ih dobije Dodatne informacije, kao što su opisi sistema, planovi mreže, itd. Ovaj korak je svojevrsni test pasivne penetracije. Jedini cilj je dobiti potpune i detaljne informacije o sistemima.

Otvaranje

U ovom trenutku, tester penetracije će vjerovatno koristiti automatizirane alate za skeniranje ciljane imovine kako bi otkrio ranjivosti. Ovi alati obično imaju vlastite baze podataka koje pružaju informacije o najnovijim ranjivostima. Međutim, tester detektuje

• Otkrivanje mreže- na primjer, otvaranje dodatni sistemi, servere i druge uređaje.
• Host Discovery- definiše otvoreni portovi na ovim uređajima.
• Service Interrogation- prozivanje portova za otkrivanje stvarnih servisa koji se na njima izvode.

Informacije i analiza rizika

U ovoj fazi, tester analizira i procjenjuje informacije prikupljene prije faza testiranja kako bi dinamički prodro u sistem. Zbog velikog broja sistema i veličine infrastrukture to traje dosta vremena. Prilikom analize, tester uzima u obzir sljedeće elemente:

• Specifični ciljevi testa penetracije.
• Potencijalni rizici za sistem.
• Procijenjeno vrijeme potrebno za procjenu potencijalnih sigurnosnih nedostataka za naknadno aktivno testiranje penetracije.

Međutim, sa liste identifikovanih sistema, tester može izabrati da testira samo one koji sadrže potencijalne ranjivosti.

Aktivni pokušaji invazije

Ovo je najvažniji korak i mora se obaviti s dužnom pažnjom. Ovaj korak podrazumijeva obim u kojem su potencijalne ranjivosti otkrivene tokom faze otkrivanja koje predstavljaju stvarne rizike. Ovaj korak treba izvršiti kada je potrebno provjeriti potencijalne ranjivosti. Za one sisteme koji imaju vrlo visoke zahtjeve za integritetom, potencijalne ranjivosti i rizici moraju se pažljivo razmotriti prije nego što se izvrše kritične procedure čišćenja.

Konačna analiza

Ovaj korak prvo sagledava sve preduzete korake (o kojima je bilo reči) do ovog trenutka i procenu ranjivosti prisutnih u obliku potencijalnih rizika. Osim toga, tester preporučuje uklanjanje ranjivosti i rizika. Prije svega, tester mora osigurati transparentnost testova i otkrivenih ranjivosti.

Priprema izvještaja

Priprema izvještaja treba početi s općim procedurama testiranja, a zatim analizirati ranjivosti i rizike. Visoki rizici i kritične ranjivosti treba da budu prioritet, a zatim niži red.

Međutim, prilikom dokumentovanja konačnog izvještaja treba uzeti u obzir sljedeće točke:

• Opšti pregled testiranja penetracije.
• detaljne informacije o svakom koraku i informacijama prikupljenim tokom testiranja olovkom.
• Detaljne informacije o svim otkrivenim ranjivostima i rizicima.
• Dijelovi za sisteme za čišćenje i pričvršćivanje.
• Prijedlozi za buduću sigurnost.

Svaki vlasnik preduzeća, IT stručnjak i običan korisnik računara barem jednom se susreo sa sajber prijetnjama. IN savremeni svet postaju sve moćniji i sposobniji da nanesu ogromnu štetu ne samo biznisu već i državi.

Postoje dvije kategorije hakera:

Bijeli šeširi- rad na osiguranju sigurnosti, suzbijanju nezakonitih upada.

Crni hakeri (Crni šešir)- krše zakon, kradu lične podatke, prazne bankovne račune.

Naš tim će preuzeti zadatak provođenja testova za pronalaženje ranjivosti u vašoj poslovnoj mreži, na vašim web stranicama i aplikacijama. I takođe uz pomoć socijalni inženjering Moći ćemo identificirati najslabije zaštićena odjeljenja u vašoj kompaniji i dati preporuke kako pojačati zaštitu.

Šta je uključeno u pentestiranje (sigurnosni test)?

Sigurnosno testiranje kompanije može uključivati:

• Analiza eksterne mreže i perimetra
• Pentest (test penetracije)
• Interno testiranje mreže
• Potraga za ranjivostima i eksploatacijom
• Društveni inženjering
• Testiranje web stranica kompanije
• Testiranje mobilne aplikacije kompanije
• Izvještaj o ispitivanju i preporuke

Tačna lista testova se utvrđuje u fazi pregovora, nakon proučavanja potreba klijenta.

Troškovi ispitivanja penetracije

Eksterno testiranje korporativne mreže

Cijena na upit

Ispitivanje penetracije (pentest)

Cijena na upit

Testiranje web i mobilnih aplikacija

Cijena na upit

Društveni inženjering

Cijena na upit

Sigurnosni test po sistemu ključ u ruke

Cijena na upit

Cybercrime Investigation

Cijena na upit

BITAN

„Nažalost, kompanije najčešće počnu razmišljati o tome sigurnost informacija kada su već patili. Hakere nije briga za veličinu vaše kompanije i njen promet, nego za broj hakovanih kompanija.”

Zaštitite svoju kompaniju od sajber prijetnji!

Dakle, šta je pentest?

Testiranje je pretraga, a testiranje penetracije je jedna od varijanti najdublje i najefikasnije potrage za maksimalnim brojem tačaka i područja s različitim stupnjevima ranjivosti za prodiranje resursa i korisnika trećih strana. Takvi upadi se mogu izvršiti zlonamjerno ili indirektno radi unosa ili dobivanja određenih podataka.

Ova tehnika se može izvoditi odvojeno i biti uključena u redovne ili jednokratne sisteme testiranja kako bi se stvorile efikasne mjere zaštite od najšireg spektra napada i upada trećih strana.

Etiologija ranjivosti sistema

Gubitak sigurnosti može nastati u različitim fazama rada bilo kojeg sistema, ali u svakom slučaju zavisi od uticaja faktora kao što su:

• greška u dizajnu,


• neispravan proces konfiguracije pri odabiru niskofunkcionalne konfiguracije kombinacije softvera i opreme povezane sa sistemom,


• sigurnosne greške u mrežnom izlaznom sistemu. Što je viši nivo sigurnosti mrežna veza, što je manja verovatnoća negativnog uticaja i mogućnost prodora zlonamernog uticaja u sistem,


• ljudski faktor, izražen u nastanku zlonamjerne ili slučajne greške u dizajnu, korištenju ili održavanju mreže tokom ličnog ili timskog rada s njom,


• komunikacijska komponenta, izražena u nezaštićenom prijenosu povjerljivih podataka,


• neopravdano visok stepen složenosti sistema. Uvijek je lakše uspostaviti kontrolu nad stepenom njegove sigurnosti nego pratiti kanale curenja podataka iz njega. Ono što je mnogo lakše učiniti u jednostavnim i funkcionalnim sistemima nego u njihovim složenim kolegama,


• nedostatak znanja. Nedostatak odgovarajućeg nivoa stručne obuke u oblasti bezbednosti među stručnjacima direktno ili indirektno vezanim za korišćenje sistema.

Testiranje se razlikuje od procjene ranjivosti

Unatoč sličnosti svrhe njihove upotrebe. Naime, traženje i organiziranje najsigurnijeg softverskog proizvoda. Oni rade drugačije.

Ispitivanje penetracije se provodi putem stvarnog nadzora, koji se provodi kako ručno, tako i korištenjem određenih visokospecijaliziranih sistema i alata. Ono što se radi putem emulacije zlonamjernih utjecaja, omogućavajući identifikaciju područja ranjivosti.

Utvrđivanje stepena ranjivosti dolazi od pažljivog ispitivanja tokova posla kako bi se identifikovale moguće praznine kroz koje podaci mogu pobjeći tokom određenih vrsta napada. Ovo pomaže da se pronađu područja osjetljiva na uticaj hakera, što određuje stepen ukupne sigurnosti sistema koji se testira. Tokom njegove implementacije identifikovane „slabosti“ se identifikuju, ispravljaju i otklanjaju.

Dakle, utvrđivanje stepena ranjivosti je ustaljeni tok posla. A testiranje penetracije radi “prema situaciji”. zajednički cilj uticati na sistem što je jače moguće kako bi se identifikovale nedostatke u njegovoj zaštiti.

čemu služi

Omogućava vam da pronađete i popravite nedostatke u sigurnosnom sistemu programa koji koristite. Ovo je proaktivan rad na sprečavanju mogućnosti prodora negativnih uticaja trećih strana, bez obzira na njegove ciljeve i nivoe implementacije. Ovo pomaže u stvaranju najkompetentnijeg sistema zaštite od očekivanih, a ne samo postojećih prijetnji izvana.

Takav nadzor omogućava:

• pronađu slabosti/ranjivosti u sistemu prije nego što budu izloženi vanjskim negativnim utjecajima i dovedu do curenja podataka. Ovo je odlična alternativa česta ažuriranja sistemima. Zato što ovo drugo utiče na kompatibilnost i brzinu rada sistema koji je prethodno otklonjen bez uzimanja u obzir. Bolje je kontrolirati ažuriranja nego ih izvoditi nekontrolirano;


• procijeniti sigurnosni alat koji je pušten u rad. Omogućava programerima da dobiju realnu procjenu svoje kompetencije, kao i nivoa usklađenosti sa trenutnim sigurnosnim standardima. Pored toga, testiranje penetracije vam omogućava da identifikujete poslovne rizike, kao i druge komponente zaštite, koje se mogu smanjiti tokom kompromisa između kombinovane upotrebe ovlašćenih i novoaktiviranih softverskih komponenti. Omogućuje strukturiranje i određivanje prioriteta, smanjenje i eliminisanje stepena otkrivenih rizika i negativnog uticaja mogućih pretnji;
• identificirati rizike za poboljšanje postojećih sigurnosnih standarda.

Proces praćenja

Ispitivanje penetracije danas se može provesti korištenjem mnogih tehnika, ali glavne i najpoželjnije su:

Ručno testiranje se provodi prema sljedećem algoritmu

• planiranje ili pažljivo prikupljanje podataka uzimajući u obzir potrebe, obim korišćenja, svrhe predstojećeg praćenja, uzimajući u obzir nivo postojeće zaštite. Ovdje se također mogu navesti specifične oblasti za praćenje stepena zaštite, vrsta željenog/planiranog uticaja i drugi zahtjevi za budući monitoring.


• obavještajne manipulacije usmjerene na pretraživanje i kumuliranje primljenih podataka o sistemu i trećim, kombinovanim, zaštitnim mehanizmima neophodnim za ciljane i posebno organizirane napade na određene blokove ili cijeli sistem. Cilj: dobiti najefikasnije testiranje. Otuda postoje dvije varijante: pasivna i aktivna, gdje se prva odvija bez aktivnog utjecaja na sistem, a druga je njegova potpuna suprotnost,


• analiza identifikovanih rezultata. Ova faza vam omogućava da identifikujete najranjivije tačke koje će se koristiti za dalje agresivno prodiranje u sistem,


• korišćenje dobijenih rezultata. Na osnovu identifikovanih mesta „lakog prodora“ u sisteme zaštite, vrši se pripremljeni napad na softver, kako u vidu eksternih tako i internih napada. Eksterni uticaji predstavljaju pretnju sistemu izvana, gde se emuliraju direktne spoljne pretnje koje utiču na sistem i specijalizovani pokušaji neovlašćenog pristupa podacima sistema zaštićenog od toga. Unutrašnji napadi predstavljaju drugu fazu udara, koja počinje nakon uspješnog prodora u sistem izvana. Raspon ciljeva njihovog daljeg uticaja je širok i raznolik. Glavni je kompromis sistema u koji su prodrli,


• rezultati rada omogućavaju identifikaciju ciljeva svake identificirane prijetnje i utvrđivanje njenog potencijala za interne poslovne procese sistema u cjelini i njegovih pojedinačnih komponenti posebno,
• zaključak je blok dokumentacije o obavljenom radu i dobijenim rezultatima, koji opisuje potencijalne prijetnje i stepen njihovog negativnog uticaja na postizanje ciljeva uticaja.



Testiranje sa automatizovanim alatima nije samo efikasno, već je i veoma korisno kada se koriste visoko specijalizovani alati. Pogodan je za upotrebu, potrebno je vrijeme minimalno, a njegova efikasnost vam omogućava da napravite „kristalno jasne“ zaključke o obavljenom poslu.




Lista najpopularnijih alata uključuje: Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af. Kolekcije Linux sistema nude mnogo zanimljivih i funkcionalnih stvari.




Za rad odaberite alate koji zadovoljavaju određene potrebe, na primjer:

• praktičnost pokretanja, upotrebe i daljeg održavanja,


• jednostavnost skeniranja,


• nivo automatizacije prilikom identifikovanja ranjivosti,


• stepen dostupnosti testiranja ranije otkrivenih područja slabih za vanjske napade,


• stepen sposobnosti izrade detaljnih i jednostavnih izvještajnih dokumenata o obavljenom poslu i postignutim rezultatima.



Kombinacija gore navedenih metoda zajedno. Ovo je optimalna metoda ispitivanja penetracije jer može kombinovati prednosti obje metode i postati što brža i detaljnija.

Vrste testova penetracije

Podjela se vrši ovisno o korištenim alatima i objektima praćenja:



• društveni ili ljudski, gdje se povezuju ljudi koji mogu daljinski ili lokalno primiti potrebne informacije i jasno ih obraditi,


• softverska aplikacija koja se koristi za identifikaciju sigurnosnih nedostataka. Istovremeno se koristi nekoliko opcija za web ponude i specijalizirane usluge korištene usluge ili izvora trećih strana,


• mrežni resurs koji vam omogućava da identificirate mogućnost neovlaštenog pristupa hakera ili prodora neovlaštenog korisnika,


• klijentski dio, korišten u radu posebne aplikacije instaliran na web stranici ili aplikaciji klijenta,


• daljinski pristup izvršeno VPN testiranjem ili sličnim objektom koji omogućava ispravan pristup ovom sistemu,


• bežične veze, ima za cilj testiranje bežičnih aplikacija, usluga i njihovih alata.



Klasifikacija metoda praćenja se takođe vrši uzimajući u obzir vrstu pristupa njenoj implementaciji. Šta vam omogućava da istaknete:

• bijeli, gdje tester ima pristup podacima o funkcijama i alatima sistema koji se testira. Ono što čini njegov rad što efikasnijim i produktivnijim. Budući da vam posedovanje takvih informacija omogućava da razumete zamršenosti i karakteristike sistema koji se testira, a samim tim i da izvršite testiranje sa maksimalnom uranjanjem,


• crna daje pristup osnovnim informacijama ili informacijama visokog nivoa o sistemu. Tester se više osjeća kao haker nego kao zaposlenik koji radi unutar sistema. Visok stepen intenziteta rada ovu metodu zahtijeva vrijeme i temeljno znanje, kao i iskustvo u njegovoj implementaciji. Stoga postoji velika vjerovatnoća izostanka ili nepotpunog testiranja,


• siv ili ograničen pristup sistemskim informacijama dovoljan za stvaranje simuliranog eksternog napada.



Granice ispitivanja penetracije

Postoje mnoga ograničenja u rasponu takvog utjecaja, ali glavna su:

• kratak vremenski period sa visokim početnim troškovima ove procedure,


• ograničenje broja testova po jedinici vremena,


• mogućnost kvara penetracije na dijelu sistema,


• visok stepen ranjivosti primljenih podataka.



Zaključak

Moderni hakeri sa stalno ažuriranim skupom programa i efektivni alati za izvođenje efikasnih napada. Stoga često ulaze u sisteme od interesa s direktnom namjerom da kompromituju mrežu ili iskoriste njene resurse. Praćenje upada u ovom slučaju je najefikasnije kao alat za otkrivanje ranjivosti u bilo kojim sigurnosnim sistemima. I omogućava vam da minimizirate potencijal vanjskih prijetnji softveru u cjelini.

Posljednjih nekoliko godina bile su bogate događajima koji su naglo povećali interesovanje javnosti za temu hakerskih napada. Skandal koji uključuje hakovanje sistema američke Demokratske stranke, onesposobljavanje sistema energetske infrastrukture Ministarstva finansija i trezora Ukrajine, ransomware viruse koji ne samo da šifriraju datoteke, već i blokiraju rad industrijske i medicinske opreme , MIRAL, džinovski botnet iz kućni aparati, koji je ostavio pola SAD i Liberije bez komunikacija, napadači masovno guše banke kao vukovi bespomoćnih ovaca... Čak je i SWIFT na udaru! Hakeri iz filmskih štrebera postali su dio stvarnosti milijardi ljudi.

Sasvim je prirodno da poslovanje danas prvenstveno ulaže resurse u praktičnu sigurnost, za razliku od formalnog ispunjavanja regulatornih zahtjeva uz minimalna sredstva. Takođe je prirodno da želi da proveri koliko efikasno ugrađeni sigurnosni sistem štiti od onlajn ajkula.

Ovog puta odlučili smo se fokusirati isključivo na praktične aspekte informacione sigurnosti (IS) vezane za kompjuterske napade i direktnu zaštitu od njih. Za hakiranje koje vrše „bijeli šeširi“, tj. stručnjaci koji legalno oponašaju radnje napadača koriste termin „test penetracije“ (pentest). Ovaj pojam krije nekoliko oblasti istraživanja sigurnosti, a svako od njih ima svoje stručnjake. U ovom članku ćemo razumjeti šta je pentest, zašto je potreban i gdje je granica između hakerskog napada i testiranja penetracije.

Pentest je u suštini jedan od tipova revizije bezbednosti informacija. I to je njegova glavna razlika od pravog hakovanja. Haker traži najkraći put za kontrolu sistema žrtve. Ako se na perimetru pronađe rupa, napadač se fokusira na konsolidaciju i razvoj napada prema unutra. A pentester kome je naređeno da izvrši testiranje eksterne mreže mora pažljivo ispitati host za hostom, čak i ako je već pronađena gomila rupa. Ako su hostovi istog tipa (na primjer, 1000 identičnih radnih stanica), istraživač, naravno, može napraviti kontrolni uzorak, ali je neprihvatljivo preskočiti fundamentalno različite sisteme. Ovo je vjerovatno najlakši način da kupac prepozna pentest lošeg kvaliteta.

Pentest ne zamjenjuje potpunu reviziju sigurnosti informacija. Karakteriše ga usko fokusiran pogled na sisteme koji se proučavaju. Pentest se u suštini bavi posledicama, a ne uzrocima nedostataka u informacionoj bezbednosti. Zašto ga uopšte izvoditi? Kada industrija proizvodi novi model vojne opreme, inženjeri pažljivo proračunavaju svojstva oklopa i karakteristike naoružanja, ali se tokom vojnog prijema oprema i dalje izvlači na poligon, puca na nju, diže u zrak itd. Eksperiment je kriterijum istine. Pentest nam omogućava da shvatimo da li su naši procesi sigurnosti informacija izgrađeni onako kako mislimo, da li su naši sigurnosni sistemi pouzdani, da li je konfiguracija na serverima ispravna, da li razumijemo put kojim će ići pravi haker. Stoga se može steći utisak da je pentestiranje neophodno za kompanije koje su već uložile velika sredstva u sigurnost informacija. U teoriji je to tačno, ali u praksi je često sasvim drugačije.

Smislio sam sljedeću pentest formulu:

Istraživanje je najočitiji dio pentesta. Baš kao u filmovima: čudni momci u kapuljačama uništavaju IT odbranu noću. U stvarnosti je sve često nešto prozaičnije, ali ovu sliku omogućava pentesterima da se ne pridržavaju kodeksa korporativnog oblačenja.

Izvještavanje obično nije omiljeni dio posla testera penetracije, ali je kritično važno. Naručilac rada mora dobiti detaljan opis svih uspješnih i neuspješnih pokušaja penetracije, jasan opis ranjivosti i, što je vrlo važno, preporuke za njihovo otklanjanje. Za posljednji dio, racionalno je uključiti specijalizirane stručnjake za informatičku sigurnost, jer znati kako to razbiti uopće ne znači znati kako to ispravno i sigurno ispraviti u stvarnosti korporativne IT infrastrukture.

I posljednja komponenta, za koju se često organizira cijeli pentest, je emisija. Takva revizija je red veličine superiornija od bilo koje druge u pogledu jasnoće, posebno za neprofesionalce. Ovo Najbolji način demonstrirati nedostatke informacione sigurnosti menadžmentu kompanije u obliku dostupnom nespecijalistima. Kratak (par stranica) Sažetak sa skeniranjem pasoša generalnog direktora, naslovna strana povjerljivi izvještaj i baza kupaca mogu donijeti više koristi za sigurnost informacija kompanije nego cijeli izvještaj od 200 stranica koji slijedi. Zbog toga pentestove često naručuju kompanije koje se ranije nisu bavile sigurnošću informacija, a biznis, a često i IT, ne shvataju ozbiljnost postojećih rizika.

Parametri testa

Pentesti se mogu svrstati u najviše Različiti putevi. Fokusiraćemo se samo na one koji imaju praktičnu vrijednost kada sami konfigurirate pentest.

Cilj napada koji je postavio kupac može se značajno razlikovati od pentesta do pentesta. “Samo nas hakirajte” obično znači preuzimanje kontrole nad IT infrastrukturom (prava administratora domene, mrežna oprema), ugrožavanje poslovnih sistema i povjerljivih informacija. A tu su i usko ciljani pentestovi. Na primer, kao deo sertifikacije za bezbednosne zahteve PCI DSS kartica, svrha godišnjeg obaveznog pentestiranja je da se kompromituju podaci o kartici. Ovdje, već prvog dana rada, mreža banke može biti potpuno zarobljena, ali ako ne padne posljednji bastion sa tajnim podacima, organizacija će uspješno proći test.

Model znanja o sistemu određuje početnu poziciju testera penetracije. Od potpune informacije o sistemu ( Bijela kutija) dok potpuno ne izostane (crna kutija). Često postoji i srednja opcija (Grey box), kada, na primjer, pentester imitira radnje neprivilegiranog korisnika koji ima neke podatke o sistemu. To može biti običan službenik, partnerska kompanija, klijent s pristupom Personal Area i tako dalje. Bijela kutija je više revizija nego klasični pentest. Koristi se kada je potrebno detaljno proučiti sigurnost u uskom području. Na primjer, novi korisnički portal se testira. Istraživaču se pružaju sve informacije o sistemu, često izvorni kod. Ovo pomaže da se sistem detaljno prouči, ali teško da simulira stvarne napade. Korisnici pentestiranja crne kutije žele da dobiju potpunu simulaciju napada od strane hakera koji nema insajderske informacije o sistemu.

Model znanja snažno se preklapa sa konceptom modela uljeza. Ko nas napada: eksterni haker, insajder, administrator? Ova podjela je vrlo proizvoljna. Kompromis radna stanica Sa tehničke tačke gledišta, običan korisnik ili izvođač odmah pretvara eksternog hakera u unutrašnjeg uljeza.

Nivo svijesti stručnjaka za informacionu sigurnost određuje ko zna za posao koji se obavlja i u kojim detaljima. Često se, osim opreme, testira i osoblje, pa rad koordinira informatička sigurnost ili IT direktor, a administratori smatraju da se bore protiv pravih hakera, ako, naravno, i primjete napad. Takve sajber vježbe omogućavaju procjenu ne samo prisutnosti ranjivosti u sistemima, već i zrelosti procesa informacione sigurnosti, nivoa interakcije između odjela itd. Upravo suprotno je oponašanje napadača kako bi se uvježbali odbrambeni sistemi. U ovom slučaju pentester radi na malom prostoru, a administratori snimaju reakciju sigurnosnih alata i IT sistema, prilagođavaju postavke, pripremaju pravila za SIEM itd. Na primjer, simulira se situacija kada je haker već prodro u zatvoreni segment. Kako će eskalirati svoje privilegije na sisteme? Pentester radi jedan po jedan na svim njemu poznatim vektorima napada kako bi osigurao najpotpuniju obuku sigurnosnih sistema.

Vrste napada

Postoji onoliko klasifikacija tipova napada koliko i pentestera. U nastavku ću dati klasifikaciju osnovnih napada koje koristimo. Naravno, najpotpuniji pentest je napad u svim mogućim pravcima. Ali ograničenja budžeta, vremena, obima i pentest zadataka tjeraju vas da odaberete.

Pentest eksterne infrastrukture - analiza perimetra mreže sa Interneta. Pentester pokušava kompromitirati dostupne mrežne usluge i, ako je moguće, razviti napad unutar mreže. Mnogi smatraju da je ovo imitacija pravog napada čiji je cilj prodiranje u mrežu kompanije izvana. Zapravo, danas napadači prevazilaze perimetar mreže u 80-90% slučajeva koristeći metode društvenog inženjeringa. Nema potrebe da se provaljuje u zidine tvrđave ako se ispod njih nalazi divan tunel. Međutim, i ovdje često postoje rupe. Na primjer, nedavno smo obavili posao za veliku fabriku aviona, tokom kojeg je, čak iu fazi automatske analize, skener pogodio lozinku za sistem daljinski upravljač APCS. Nemar izvođača koji je zaboravio onemogućiti daljinski pristup omogućio je hakeru da poveća pritisak u cjevovodima sa tehničkim fluidima za red veličine. Sa svime što to podrazumijeva, bukvalno i figurativno.

Pentest je kao pregled kod zubara: bolje ga je provoditi redovno kako bi se spriječili problemi u ranim fazama.

Shadow IT

Penetracije se često dešavaju korišćenjem sistema koji su izvan radara IT-a. Svi serveri na perimetru su ažurirani, ali su zaboravili na IP telefoniju ili sistem video nadzora. A haker je već unutra. Za takvu infrastrukturu koja je ispala iz vidokruga administratora postoji poseban termin - Shadow IT. Gartner procjenjuje da će do 2020. godine do trećine svih hakova uključivati ​​Shadow IT. Po našem mišljenju, ovo je sasvim realna procjena.

Na primjer, jednog dana je naš pentester pronašao neažurirane sisteme call centra na savršeno zaštićenom perimetru banke, preko kojih su svi glavni bankovni AS sistemi potpuno kompromitovani za 2 dana. Ispostavilo se da za njih nije bila zadužena IT služba, već telefonski operateri. U drugom slučaju, ulazna tačka za pentest bila je mreža recepcionera, potpuno izolovana od korporativne. Zamislite iznenađenje korisnika kada je, nekoliko dana kasnije, pentester prijavio da je mreža potpuno zarobljena. Uspio je da hakuje neažurirani štampač, postavi ljusku na njega i dobije pristup VLAN-u za upravljanje štampačem. Nakon što ih je sve kompromitovao, pentester je dobio pristup svim poslovnim segmentima kompanije.

Pentest interne infrastrukture simulira radnje insajdera ili zaraženog čvora unutar mreže. Mreža mora biti izgrađena na način da kompromitovanje pojedinih radnih stanica ili servera ne dovede do potpunog sloma odbrane. Naime, u više od polovine slučajeva u našoj praksi ne prođe više od jednog radnog dana od prava „pristup mrežnoj utičnici“ do „administratora domene“.

Mreža kompanije može biti veoma velika, tako da u nekim slučajevima korisnik treba jasno definisati ciljeve napada za pentester. Na primjer, pristup SAP-u i finansijskim dokumentima označenim kao “Povjerljivo”. Ovo će omogućiti pentesteru da efikasnije provodi vrijeme i simulira pravi hakerski napad.

Web resursi predstavljaju poseban svijet sa stanovišta pentestiranja, sa ogromnim spektrom različitih tehnologija i specifičnih napada. Jasno je da se web može shvatiti kao sve što ima pristup mreži. Ovdje mislimo na različite web stranice, portale i specifične API-je dostupne s mreže. Praksa pokazuje da u prosjeku za kompaniju analiza cjelokupnog mrežnog perimetra traje manje vremena od jedne web stranice, pogotovo ako ima neke interaktivne elemente, lični nalog itd. Ovo područje doživljava pravi procvat, prvenstveno zbog razvoja elektronskog poslovanja banaka i masovnog ulaska maloprodaje na internet.

Glavni rezultati napada na web resurs obično su kompromitovanje podataka iz DBMS-a i mogućnost napada na klijente (na primjer, različite vrste XSS-a nalaze se na web stranicama svake druge banke). Nešto rjeđe, kompromitovanje web servera omogućava vam da prodrete u samu mrežu kompanije, ali često, ako su podaci koje tražite već kompromitovani, to možda neće biti potrebno napadaču.

Prilikom analize weba važno je provjeriti ne samo tehnički dio, već i samu logiku rada i implementacije poslovnih funkcija. Još uvijek ponekad možete dobiti popust od 99% u online trgovini ili koristiti nečiju drugu bonus poeni, malo modifikujući red zahteva prema serveru u adresnoj traci.

Napadi na web mogu se vršiti i unutar mreže, jer sigurnost jeste interni resursi obično se ne razmišlja o tome, ali u stvarnosti većina hakera prvo napada infrastrukturu, jer je to najkraći put do administratora domena. Oni preuzimaju web kada ništa drugo ne radi ili kada treba da uđu u izolovane segmente mreže.

Rastući interes za testiranje otpornosti na DDoS posebno je primjetan u posljednjih nekoliko godina. U štampi se stalno pojavljuju informacije o velikim napadima, ali stvar nije ograničena samo na njih. U segmentu online maloprodaje, na primjer, u vrijeme najveće prodaje (prije praznika), napadi se dešavaju gotovo kontinuirano. Šta učiniti sa primitivnim napadima koji imaju za cilj iscrpljivanje komunikacionog kanala ili resursa servera slanjem ogromnih količina saobraćaja, generalno je jasno. Zanimljivije je proučavati otpornost resursa na napade na nivou aplikacije. Čak i jedan klijent koji generiše relativno mali broj specifičnih zahtjeva za web stranicu može je srušiti. Na primjer, specifični upiti u polju za pretraživanje stranice mogu potpuno uništiti pozadinu.

Društveni inženjering, tj. Korištenje ljudske nepažnje, nepažnje ili neosposobljenosti za hakiranje postalo je najpopularniji način prodiranja u mrežu kompanije danas.

Štaviše, postoji mišljenje da od ovog otpada nema nikakve koristi. Ovaj termin kombinuje ogroman broj tehnika, uključujući slanje lažnih poruka poštom, telefonom i ličnom komunikacijom za pristup objektu ili sistemima, razbacivanje fleš diskova sa zlonamernim prilozima u blizini kancelarije kompanije žrtve i još mnogo toga.

Napadi na Wi-Fi se greškom pripisuju internom pentestiranju. Ako vaš pametni telefon ne hvata korporativni Wi-Fi ispred ulaza, to ne garantuje da napadači neće moći doći do njega. Usmjerena antena sa ebaya koja košta 100 dolara omogućila nam je da obavljamo radove s udaljenosti veće od jednog kilometra od pristupne točke. U pentestiranju, Wi-Fi se ne smatra uvijek tačkom prodora u mrežu. Češće se koristi za napad na korisnike. Na primjer, pentester se parkira na ulazu u preduzeće prije početka radnog dana i postavlja mrežu s istim imenom (SSID) kao korporativni Wi-Fi. Uređaji u torbama i džepovima zaposlenih pokušavaju da se pridruže poznatoj mreži i prenesu... domensku prijavu i lozinku za autentifikaciju. Pentester zatim koristi ova curenja za pristup e-pošti korisnika, VPN serverima itd.

Analiza mobilnih aplikacija je pojednostavljena za napadača činjenicom da se mogu lako preuzeti iz trgovine i detaljno ispitati u sandboxu, vraćajući izvorni kod. Za obične web resurse čovjek može samo sanjati o takvom luksuzu. Zbog toga je ovaj vektor napada toliko popularan danas. Mobilni klijenti Danas su vrlo česti ne samo među bankama i stanovništvom. Puštaju ih posvuda, a sigurnost je posljednja stvar o kojoj razmišljaju.

Uobičajeno, proučavanje mobilne aplikacije može se podijeliti u 3 komponente: analiza oporavljenog izvornog koda za sigurnosne rupe, proučavanje aplikacije u sandboxu i analiza metoda interakcije između aplikacije i servera (sadržaj paketa, API , ranjivosti samog servera). Nedavno smo imali slučaj da je API serverske strane aplikacije za mobilno bankarstvo radio na način da je bilo moguće generirati paket koji je uzrokovao prijenos proizvoljnog iznosa novca sa bilo kojeg bankovnog računa na bilo koji drugi račun. I to nije bilo istraživanje prije lansiranja aplikacije – već je dugo bila u proizvodnji. Mnoge lažne šeme danas se provode i putem mobilnih aplikacija, jer se borba protiv prijevara zaboravlja čak i češće nego informaciona sigurnost.

Nije sasvim ispravno analizu izvornog koda smatrati pentestom, posebno ako korisnik predaje izvorne kodove na istraživanje u otvorenom obliku. Ovo je više revizija sigurnosti aplikacije bijele kutije. Međutim, ovaj posao se često izvodi zajedno sa pentestiranjem kako bi se osigurao viši nivo otkrivanja ranjivosti, pa je ovdje vrijedno spomenuti. Pentest vam omogućava da potvrdite ili opovrgnete nedostatke pronađene tokom analize koda (na kraju krajeva, u specifičnoj infrastrukturi, ne mogu se stvarno iskoristiti svi sigurnosni problemi). Ovo značajno smanjuje broj lažnih pozitivnih rezultata koji muče analizu kodova, posebno automatizovane. Istovremeno, kao rezultat analize koda, često se pronađu rupe o kojima pentester nije pogodio.

Prema našem iskustvu, najčešće se naručuje analiza koda mobilnih aplikacija i web servisa, jer su oni najpodložniji napadima.

Pentest je kao pregled kod zubara: bolje ga je provoditi redovno kako bi se spriječili problemi u ranim fazama

Pentest ograničenja

Glavna ograničenja koja razlikuju pentest od pravog napada, što otežava bijelim šeširima, su krivični kodeks i etika. Na primjer, pentester najčešće ne može napadati sisteme partnera korisnika, kućne računare zaposlenih ili infrastrukturu telekom operatera, ne koristi zastrašivanje, prijetnje, ucjene, podmićivanje i druge vrlo efikasne metode kriminalaca u društvenom inženjeringu. Utoliko su uvjerljiviji rezultati uspješnog prodora u okviru „čistog“ pentesta. Ako vaš pentester krši zakon kao dio svog posla, razmislite deset puta o tome da li biste trebali dozvoliti takvoj osobi blizu vaših ključnih sistema.

Konačno

Pentest, kao i medicinski pregled, većina standarda preporučuje da se provodi najmanje jednom godišnje. Istovremeno, dobra je ideja periodično mijenjati stručnjake koji obavljaju posao kako bi se izbjeglo zamagljivanje pogleda i procjenjivanje sigurnosti iz različitih uglova. Na kraju krajeva, svaki specijalista ili tim razvija neku specijalizaciju u jednom ili drugom stepenu.

Pentestiranje je vrijeme, trošak i stres za stručnjake za sigurnost, ali je teško pronaći vizualniji i realističniji način za procjenu sigurnosti IT infrastrukture. U svakom slučaju, bolje je da rupu pronađe specijalista po ugovoru nego haker. Uostalom, prvo se često završava za službu informacione sigurnosti izdvajanjem dodatnih sredstava za sigurnost, a drugo - potragom za novim poslom.

Testiranje penetracije je metoda procjene sigurnosti IT infrastrukture kompanije putem ovlaštenog modeliranja napada od strane uljeza.

Saznajte cijenu testiranja

×

Ispunite obrazac za povratne informacije, bit će vam poslan upitnik za utvrđivanje cijene usluge

Očuvanje povjerljivih informacija i reputacija kompanije zavise od toga koliko je pouzdano IT infrastruktura zaštićena od napadača. Stoga je veoma važno provjeriti njegovu sigurnost u praksi. Često čak i optimalni skup sigurnosnih alata može imati pogrešne postavke konfiguracije, što dovodi do ranjivosti i povećava vjerovatnoću implementacije prijetnji.

Radovi na ispitivanju penetracije imaju za cilj:

Dobijanje nezavisne i sveobuhvatne procene trenutnog nivoa bezbednosti.

Dobijanje nezavisne procene svesti zaposlenih o pitanjima bezbednosti informacija.

U toku rada se sprovode eksterne i interne bezbednosne analize i testiranja metodama socijalnog inženjeringa.

Problemi riješeni prilikom provođenja sigurnosne analize:

• Identifikacija ranjivosti informacione sigurnosti i metoda njihove eksploatacije.
• Provjera mogućnosti prodora iz eksternih mreža u lokalnu računarsku mrežu.
• Izrada preporuka za poboljšanje nivoa sigurnosti eliminacijom identifikovanih ranjivosti.

Ako radnje (na primjer, iskorištavanje određenih ranjivosti) mogu dovesti do neuspjeha u radu resursa koji se proučavaju, tada se takav rad izvodi tek nakon dodatnog odobrenja. Ako je potrebno, ovisno o odabranom scenariju rada, nakon testiranja se radi na otklanjanju negativnog utjecaja na resurse.

Ako se tokom rada na sigurnosnoj analizi donese odluka o potrebi hitnog uklanjanja identifikovanih ranjivosti, tada se poduzimaju sljedeće radnje:

• snimanje rezultata eksploatacije ranjivosti (u obliku snimaka ekrana, snimanja specijalističkih radnji, dnevnika rada sistema, itd.)
• utvrđivanje potrebe i dogovaranje načina za otklanjanje ranjivosti
• eliminisanje ranjivosti

Faze testiranja

Prilikom obavljanja poslova sigurnosne analize koriste se univerzalni skeneri ranjivosti za otkrivanje ranjivosti u aplikacijama, OS i mrežnoj infrastrukturi, kao i specijalizovanom softveru. Radovi na ispitivanju penetracije odvijaju se u tri faze i uključuju sljedeće faze:

Faza 1 – analiza eksterne sigurnosti:

• Izrada plana za sprovođenje eksterne bezbednosne analize i usaglašavanje sa radnom grupom

Faza 2 – analiza unutrašnje sigurnosti:

Radovi se izvode na lokaciji kupca.

• Izrada plana unutrašnje bezbednosne analize i usaglašavanje sa radnom grupom
• Analiza rezultata, priprema izvještaja i njegovo odobrenje od strane radne grupe

Faza 3 – testiranje metodama socijalnog inženjeringa:

Rad se obavlja na daljinu korištenjem eksternih mreža podataka (Internet).

• Izrada plana testiranja koristeći metode socijalnog inženjeringa i usaglašavanje sa radnom grupom
• Analiza rezultata, priprema izvještaja i njegovo odobrenje od strane radne grupe

Sprovođenje vanjske sigurnosne analize

Svrha ove faze rada je testiranje sposobnosti napadača da dobije neovlašteni pristup resursima i povjerljivim informacijama.

Sigurnosna analiza se provodi korištenjem modela “crne kutije” (nedostatak ovlaštenog pristupa, početnih konfiguracijskih podataka i korištenih mjera sigurnosti informacija).

U okviru eksterne bezbednosne analize obavljaju se sledeće vrste poslova:

• prikupljanje javno dostupnih informacija o eksternim resursima dostupnim iz eksternih mreža podataka
• traženje ranjivosti resursa i njihovih infrastrukturnih komponenti pomoću sigurnosnih skenera i specijalizovanog softvera

• cross-site scripting
• krivotvorenje zahtjeva na više lokacija
• otvoreno preusmjeravanje
• pogrešno rukovanje greškama koje pruža dodatne informacije o sistemu koji se testira

Sprovođenje analize unutrašnje sigurnosti

Svrha ove faze rada je testiranje sposobnosti napadača da izvrši neovlašteni pristup (u daljem tekstu ASD) resursima i povjerljivim informacijama.

Sigurnosna analiza se vrši korišćenjem modela „sive kutije“ (obezbeđivanje autorizovanog pristupa sistemima).

U okviru analize interne bezbednosti obavljaju se sledeće vrste poslova:

• prikupljanje podataka o infrastrukturi (mrežne usluge, operativni sistemi i aplikativni softver eksternih resursa), identifikovanje ranjivosti pomoću specijalizovanog softvera i univerzalni skeneri sigurnost
• traženje ranjivosti resursa Korisnika i njihovih infrastrukturnih komponenti korištenjem sigurnosnih skenera i specijaliziranog softvera
• eksploataciju identifikovanih ranjivosti korišćenjem specijalizovanog softvera i ručno za utvrđivanje relevantnosti identifikovanih ranjivosti i mogućnost pribavljanja projektne dokumentacije za komponente softverskog proizvoda i poverljivih informacija

U procesu traženja ranjivosti provjerava se prisustvo, između ostalog, sljedećih glavnih tipova ranjivosti:

• ubrizgavanje fragmenata koda (na primjer, injekcija SQL izrazi, implementacija naredbi operativnog sistema
• nesigurno implementirane procedure autentifikacije i upravljanja sesijama
• cross-site scripting
• greške u kontroli pristupa (na primjer, direktne veze na objekte s povjerljivim informacijama, ranjivosti pri obilasku direktorija)
• nesigurna softverska konfiguracija (na primjer, omogućavanje popisa direktorija)
• otkrivanje povjerljivih informacija (na primjer, davanje korisniku ličnih podataka drugih korisnika)
• greške koje ograničavaju pristup korisnika određenim funkcijama
• krivotvorenje zahtjeva na više lokacija
• pogrešno rukovanje greškama koje pruža dodatne informacije o sistemu koji se testira
• korištenje OS-a i softvera s poznatim ranjivostima
• otvoreno preusmjeravanje
• obrada eksternih XML entiteta
• pogrešno rukovanje greškama koje pruža dodatne informacije o sistemu koji se testira
• upotreba jednostavne lozinke tokom autentifikacije

Provođenje testiranja korištenjem metoda socijalnog inženjeringa

Svrha ove faze rada je procjena svijesti zaposlenih korisnika o pitanjima sigurnosti informacija.

U sklopu testiranja socijalnog inženjeringa, napadi se izvode na zaposlenike kupaca u sljedećim scenarijima:

• Phishing - napad se izvodi putem Email. Primjer napada: Zaposlenom se šalje link u ime kompanije sa „novom i veoma korisnom uslugom“ za njegov rad. Pismo sadrži opis usluge i kako tačno treba da pomogne određenom zaposleniku u radu. Također, u pismu se traži da provjerite funkcionalnost i da li sve radi kako treba. Rad ima za cilj da navede zaposlenog da ode na ovaj servis i pokuša da se registruje koristeći akreditive domene.
• Trojanski konj - napad se vrši putem e-pošte. Primjer napada: Poslan je zaposlenik izvršnu datoteku, dok sadržaj pisma može biti različit u zavisnosti od pozicije zaposlenog: ugovor za menadžera, spisak grešaka za programera itd. Rad ima za cilj da osigura da zaposlenik pokrene program na lokalni računar i zabilježiti činjenicu pokretanja takvog programa.
• Telefonski napad - napad se izvodi putem telefonski poziv. Rad ima za cilj zadobivanje povjerenja zaposlenika tako što će se osmisliti uvjerljiva naslovna priča, a zatim se saznaju povjerljive informacije ili vjerodajnice zaposlenika. Primjer legende: „Novi tehnički radnik. podrška obavlja prvi zadatak postavljanja usluge i mora provjeriti da li ispravno radi. Zamoli zaposlenika za pomoć: prijavite se samostalno ili mu recite svoje korisničko ime i lozinku.”

Analiza rezultata

Rezultat rada je izvještaj koji sadrži sljedeće informacije.

Osnovni alati koji se koriste za provjeru sigurnosti sistema su alati za automatsko prikupljanje sistemskih podataka i testiranje penetracije. Predlažemo da razmotrimo princip rada takvih alata na primjeru proizvoda Rapid7 Metasploit kompanije Rapid7, jednog od vodećih proizvođača analitičkih rješenja za sigurnost informacija, koji je visoko ocijenjen od strane utjecajnih istraživačkih i konsultantskih kompanija, uključujući Gartner i Forrester.

Uvod

Ispitivanje penetracije (pentest) je jedna od najefikasnijih metoda za procjenu kvaliteta sigurnosnog sistema. Provodi se sa ciljem identifikacije ranjivosti u IT infrastrukturi, demonstracije mogućnosti iskorišćavanja ranjivosti, kao i pripreme preporuka za njihovo otklanjanje. Postupci ispitivanja se provode na inicijativu vlasnika informacioni sistem a usmjereni su na sprječavanje incidenata u informacionoj sigurnosti, često praćenih finansijskim i reputacijskim gubicima, neprijatnim objašnjenjima sa klijentima i predstavnicima partnerskih organizacija, kao i drugim nepoželjnim posljedicama.

IN Ruska Federacija Značajan faktor koji određuje potrebu za provođenjem penetracijskog testiranja su regulatorni zahtjevi. Potonji smatraju provjeru efikasnosti sistema zaštite izuzetno važnom mjerom, a relevantne odredbe su sadržane u regulatornim i metodološkim dokumentima. Prije svega, u tom smislu, prikladno je spomenuti regulatorne dokumente koji pokrivaju značajan broj informacionih sistema - naredbe FSTEC Rusije br. 17 i 21.

Ovi dokumenti definišu mjeru zaštite u vidu „testiranja sistema informacione sigurnosti pokušajem neovlaštenog pristupa (uticaja) informacionom sistemu, zaobilazeći njegov sistem informacione sigurnosti” u fazi sertifikacije. Za informacione sisteme koji obrađuju državne tajne traže se i sertifikacija informacionih sistema, koja podrazumeva proveru efikasnosti sistema bezbednosti.

Na međunarodnom nivou, preporučljivo je napomenuti standard sigurnosti podataka industrije platnih kartica PCI DSS (Payment Card Industry Data Security Standard). Usklađenost sa odredbama PCI DSS standarda je obavezna za sve organizacije uključene u obradu Visa i MasterCard platnih kartica: trgovce, procesne centre, akvizitere, izdavaoce i pružaoce usluga, kao i sve druge organizacije koje čuvaju, obrađuju ili prenose vlasnika. podatkovne kartice i osjetljivi podaci za autentifikaciju. Odredbe standarda predviđaju analizu ranjivosti i testiranje penetracije unutar i izvan mreže informacionog sistema. Eksterne i unutrašnje testove penetracije treba provoditi najmanje jednom godišnje i nakon bilo kakvih značajnih modifikacija ili nadogradnji infrastrukture/aplikacija.

Testiranje penetracije (pentest) može se izvoditi u sklopu napredne obuke za stručnjake za informatičku sigurnost i sticanje praktičnih vještina od strane studenata koji se školuju na specijalnostima vezanim za sigurnost informacija, kao i za testiranje od strane programera alata za informatičku sigurnost vlastitih proizvoda.

Očigledno, za sve ove namjene, najtraženije je integrirano rješenje za upravljanje prijetnjama koje pokriva mrežnu sigurnost, sigurnost web aplikacija, sigurnost baze podataka i strategije testiranja penetracije, te sadrži funkcionalnost dovoljnu da zadovolji zahtjeve domaćih i međunarodnih propisa, i koristiti u procesu učenja. Takva rješenja uključuju Rapid7 Metasploit proizvođača Rapid7, koji je osnovan 2000. godine i jedan je od vodećih proizvođača proizvoda za analizu i organizaciju sistema sigurnosti informacija u IT okruženjima. Važna prednost softver Rapid7 pruža uvid u bezbednosni položaj sredstava i korisnika u bilo kom okruženju, uključujući virtuelno i mobilno, kao i javne i privatne oblake.

Za procjenu Rapid7 Metasploit rješenja, možete koristiti rješenje istog proizvođača - opremljenu demo ranjivu Metasploitable virtuelnu mašinu Ubuntu Linux. Virtuelna mašina Kompatibilan sa VMWare, VirtualBox i drugim uobičajenim platformama za virtuelizaciju.

Važna pomoć je to što je Rapid7 Metasploit kompatibilan sa Rapid7 Nexpose skenerom ranjivosti, može pokrenuti njegovo pokretanje, a također koristiti rezultate potonjeg.

Pogledajmo opštu proceduru za rad sa Rapid7 Metasploit-om.

Kako raditi sa Rapid7 Metasploitom

IN opšti pogled Rad sa Rapid7 Metasploitom sastoji se od sljedećih koraka:

1. Kreiranje projekta. Projekat sadrži radni prostor koji se koristi za kreiranje penetracijskog testa i konfiguraciju zadataka koji će se izvršiti. Svaki penetracijski test se izvodi iz vlastitog projekta.
2. Prikupljanje informacija. U ovoj fazi, Rapid7 Metasploit prikuplja informacije o ciljnoj mreži: instaliranoj OS, otvorene portove, pokretanje hostova i procesa. U ovoj fazi može se koristiti i skener ranjivosti Rapid7 Nexpose. Tokom skeniranja, svi primljeni podaci se automatski pohranjuju u projekat.
3. Korišćenje eksploata. Napad se može izvesti ručno ili korištenjem baze podataka o eksploataciji. Ovo koristi podatke mreže dobijene u koraku 2.
4. Radnje preduzete na kompromitovanom sistemu. Nakon dobijanja pristupa koristi se korisni teret za eksploataciju, uz pomoć kojeg se pokreću interaktivne sesije za prikupljanje dodatnih informacija, a moguće je i korištenje post-eksploatacijskih modula za automatsko prikupljanje lozinki pohranjenih u operativnom sistemu i aplikacijama, screenshotovima, slikama sa web kamere, snimanje pritisaka na tipke, skupljanje konfiguracijske datoteke, pokretanje aplikacija itd.

Poređenje izdanja Rapid7 Metasploit

Rapid7 Metasploit je dostupan u nekoliko izdanja, koja se razlikuju po obimu pruženih funkcija i vrsti licence za korištenje. Trenutno su dostupna sljedeća izdanja proizvoda:

• Framework
• Zajednica
• Express

Tabela pruža informacije o tome koje su ciljne funkcije implementirane u svakom izdanju proizvoda. Radi praktičnosti, koristeći različite boje, ciljne funkcije su podijeljene u grupe prema njihovoj glavnoj namjeni:

• Prikupite podatke o karakteristikama komponenti i ranjivosti mreže.
• Ispitivanje penetracije.
• Izvršite phishing zadatke.
• Testiranje web aplikacija.
• Generisanje izveštaja.
• Kontrola.

Tabela 1. Poređenje izdanja Rapid7 Metasploita

Karakteristično	Pro	Express	Zajednica
Uvoz podataka skeniranja (Uvoz podataka skeniranja)	✔	✔	✔
Skeniranje sa detekcijom (Discovery Scan)	✔	✔	✔
Integracija sa Nexpose sistemom za upravljanje ranjivostima (Integracija Nexpose skeniranja)	✔	✔	✔
Izvezi podatke (izvoz podataka)	✔	✔	✔
Ručno pokretanje eksploata (ručna eksploatacija)	✔	✔	✔
Web interfejs (Web interfejs)	✔	✔	✔
Upravljanje sesijama (Upravljanje sesijom)	✔	✔	✔
Upravljanje vjerodajnicama (Upravljanje vjerodajnicama)	✔	✔	✔
Prodor kroz jaku tačku (proxy pivot)	✔	✔	✔
Moduli se izvršavaju nakon kompromisa (moduli nakon eksploatacije)	✔	✔	✔
Brisanje sesije (čišćenje sesije)	✔	✔	✔
Metoda odabira (bruteforce)	✔	✔
Prikupljanje dokaza (prikupljanje dokaza)	✔	✔
Zapisivanje inspekcije (Revizijski izvještaj)	✔	✔
Izvještavanje o aktivnostima (Izvještaj o aktivnostima)	✔	✔
Prijavljivanje kompromitovanih i ranjivih domaćina (Izvještaj o ugroženim i ranjivim domaćinima)	✔	✔
Izvještavanje o vjerodajnicama (Izvještaj o vjerodajnicama)	✔	✔
Izvještavanje o učinku usluge (Izvještaj o uslugama)	✔	✔
Ponovno korištenje vjerodajnica (Ponovna upotreba akreditiva)	✔	✔
Pokušaj zaobilaženja antivirusa (Anti-virus izbjegavanje)	✔	✔
Pokušaj zaobići sisteme za otkrivanje i prevenciju upada (IPS/IDS izbjegavanje)	✔	✔
Ponovno pokretanje sesije (ponavljanje sesije)	✔	✔
Tehnološki proces kompromisa (tok rada eksploatacije)	✔	✔
Igranje zadataka (Repriza zadatka)	✔	✔
Data Labeling (Označavanje podataka)	✔
PCI DSS Izvještavanje o usklađenosti (PCI izvještaj)	✔
FISMA izvještavanje o usklađenosti (FISMA izvještaj)	✔
"Master" za brzo ispitivanje penetracije (Čarobnjak za brzi PenTest)	✔
"Čarobnjak" za provjeru ranjivosti (Čarobnjak za provjeru provjere ranjivosti)	✔
Integracija sa Sonar sistemom za skeniranje kvaliteta koda (Integracija projekta Sonara)	✔
"Master" za phishing (Čarobnjak za krađu identiteta)	✔
Sociotehnička analiza (Društveni inženjering)	✔
"Čarobnjak" za testiranje web aplikacija (Čarobnjak za testiranje web aplikacija)	✔
Testiranje web aplikacija (testiranje web aplikacije)	✔
Penetracija kroz jaku tačku koristeći VPN tuneliranje (VPN okretanje)	✔
Generator tereta (generator korisnog opterećenja)	✔
Makroi izvršeni nakon kompromisa (Makroi nakon eksploatacije)	✔
Uporne sesije (Uporne sesije)	✔
Meta moduli (MetaModuli)	✔
Timski rad (timska saradnja)	✔
Lanci zadataka (lanci zadataka)	✔
Backup and Restore (Napravi sigurnosnu kopiju i vrati)	✔
Prilagođeno izvještavanje (Prilagođeno izvještavanje)	✔
Sociotehničko izvještavanje (Izvještaj o društvenom inženjeringu)	✔
Izvještavanje o procjeni web aplikacija (Izvještaj o procjeni web aplikacije)	✔

Izdanje Metasploit Framework se izdvaja po tome što služi kao osnova za kreiranje komercijalnih proizvoda. To je projekat otvorenog koda koji omogućava pristup bazi podataka o eksploataciji za različite aplikacije, operativne sisteme i platforme. Kontrola se vrši preko interfejsa komandna linija. Korisnik Metasploit Frameworka može kreirati i dodavati nove exploitove bazi podataka ili koristiti postojeće kao dodatne alate prilikom izvođenja testova penetracije.

Preostala izdanja su komercijalna, dodatno implementiraju upravljanje preko web sučelja, a ovisno o izdanju dodane su i određene funkcije. Uglavnom ove dodatne funkcije imaju za cilj automatizaciju uobičajenih zadataka testiranja: analiza ranjivosti, sociotehnika, generisanje korisnog opterećenja, napadi grubom silom.

zaključci

Rapid7 Metasploit ima širok raspon funkcionalnost. Rješenje može raditi ili preko web sučelja ili sučelja komandne linije - opcija se određuje na zahtjev korisnika. Međutim, cijeli skup funkcija dostupan je samo kada se radi pomoću web sučelja. Rapid7 Metasploit podržava operativne sisteme Windows porodica i Linux.

Još nekoliko karakterističnih karakteristika Rapid7 Metasploita:

• Mogućnost odabira izdanja koje odgovara potrebama konkretnog slučaja.
• Mogućnost korištenja rezultata analize ranjivosti iz rješenja trećih strana.
• Mogućnost obuke na posebno dizajniranom ranjivom sistemu.
• Integracija proizvoda (u Framework izdanju) sa Linux distribucijama:
  • Kali Linux
  • Povratak na Linux (ukinut)
  • Pentoo
  • BlackArch
  • Backbox

Rapid7 Metasploit ima nekoliko ograničenja operativnog nivoa koja vrijedi razmotriti:

• Instalacija i naknadni ispravan rad proizvoda mogući su samo nakon onemogućavanja zaštitnog zida i antivirusnog programa.
• Preporučuje se da instalirate Rapid7 Nexpose i Metasploit na odvojenim alatima kompjuterska tehnologija. U ovom slučaju, moguće je instalirati Rapid7 Metasploit u virtuelnu mašinu.
• Nedostatak potpunog prijevoda operativne dokumentacije na ruski jezik. Sa uključenim uputstvom za upotrebu engleski jezik možete pronaći na web stranici proizvođača u odjeljku Metasploit.