Penetracijsko testiranje kombinacija je metoda koje uzimaju u obzir različite probleme sustava te testiraju, analiziraju i daju rješenja. Temelji se na strukturiranom postupku koji korak po korak izvodi testiranje prodora. Ispod je sedam koraka penetracijskog testiranja:

Planiranje i priprema

Planiranje i priprema počinje definiranjem ciljeva i ciljeva penetracijskog testiranja.

Klijent i tester zajednički definiraju ciljeve tako da obje strane imaju iste ciljeve i razumijevanje. Uobičajeni ciljevi testiranja prodora su:

• Identificirajte ranjivosti i poboljšajte sigurnost tehničkih sustava.
• Osigurajte IT sigurnost od vanjske treće strane.
• Poboljšajte sigurnost organizacijske/HR infrastrukture.

Studija

Obavještajni podaci uključuju analizu preliminarnih informacija. Mnogo puta ispitivač nema puno informacija osim preliminarnih informacija, odnosno IP adrese ili bloka IP adresa. Ispitivač započinje analizom dostupnih informacija i, ako je potrebno, traži od korisnika da ih dobije dodatne informacije, kao što su opisi sustava, mrežni planovi itd. Ovaj korak je neka vrsta pasivnog penetracijskog testa. Jedini cilj je dobiti potpune i detaljne informacije o sustavima.

Otvor

U ovom trenutku, ispitivač prodora vjerojatno će koristiti automatizirane alate za skeniranje ciljnih sredstava kako bi otkrio ranjivosti. Ovi alati obično imaju vlastite baze podataka koje pružaju informacije o najnovijim ranjivostima. Međutim, tester otkriva

• Otkrivanje mreže- na primjer, otvaranje dodatni sustavi, poslužitelji i drugi uređaji.
• Otkrivanje domaćina- definira otvorene luke na ovim uređajima.
• Servisno ispitivanje- priključci za glasanje kako bi se otkrili stvarni servisi koji se na njima izvode.

Informacije i analiza rizika

U ovoj fazi ispitivač analizira i procjenjuje informacije prikupljene prije faza testiranja kako bi dinamički prodro u sustav. Zbog velikog broja sustava i veličine infrastrukture to traje dugo. Prilikom analize ispitivač uzima u obzir sljedeće elemente:

• Specifični ciljevi penetracijskog testa.
• Potencijalni rizici za sustav.
• Procijenjeno vrijeme potrebno za procjenu potencijalnih sigurnosnih nedostataka za naknadno aktivno testiranje prodora.

Međutim, s popisa identificiranih sustava, tester može odabrati testiranje samo onih koji sadrže potencijalne ranjivosti.

Aktivni pokušaji invazije

Ovo je najvažniji korak i mora se obaviti s dužnom pažnjom. Ovaj korak podrazumijeva opseg u kojem potencijalne ranjivosti otkrivene tijekom faze otkrivanja predstavljaju stvarne rizike. Ovaj korak treba izvesti kada je potrebno provjeriti potencijalne ranjivosti. Za one sustave koji imaju vrlo visoke zahtjeve za integritetom, potencijalne ranjivosti i rizici moraju se pažljivo razmotriti prije izvođenja kritičnih postupaka čišćenja.

Konačna analiza

Ovaj korak prvo razmatra sve poduzete korake (o kojima se gore govorilo) do ovog trenutka i procjenu ranjivosti prisutnih u obliku potencijalnih rizika. Osim toga, tester preporučuje uklanjanje ranjivosti i rizika. Prije svega, tester mora osigurati transparentnost testova i otkrivenih ranjivosti.

Izrada izvještaja

Priprema izvješća trebala bi započeti općim postupcima testiranja, a zatim analizirati ranjivosti i rizike. Visoki rizici i kritične ranjivosti trebaju biti prioritet, a zatim niži red.

Međutim, prilikom dokumentiranja konačnog izvješća treba uzeti u obzir sljedeće točke:

• Opći pregled penetracijskog testiranja.
• detaljne informacije o svakom koraku i informacijama prikupljenim tijekom testiranja olovke.
• Detaljne informacije o svim otkrivenim ranjivostima i rizicima.
• Dijelovi sustava za čišćenje i pričvršćivanje.
• Prijedlozi za buduću sigurnost.

Svaki vlasnik tvrtke, informatičar i obični korisnik računala barem se jednom susreo s cyber prijetnjama. U moderni svijet postaju sve moćniji i sposobni nanijeti golemu štetu ne samo poslovanju nego i državi.

Postoje dvije kategorije hakera:

Bijele kape- raditi na osiguranju sigurnosti, suzbijanju nezakonitih upada.

Crni hakeri (Crni šešir)- kršiti zakon, krasti osobne podatke, prazniti bankovne račune.

Naš tim će preuzeti zadatak provođenja testova kako bi pronašli ranjivosti u vašoj korporativnoj uredskoj mreži, na vašim web stranicama i aplikacijama. I također uz pomoć socijalni inženjering Moći ćemo identificirati najlošije zaštićene odjele u vašoj tvrtki i dati preporuke kako pojačati zaštitu.

Što je uključeno u pentesting (sigurnosni test)?

Sigurnosno testiranje tvrtke može uključivati:

• Analiza vanjske mreže i perimetra
• Pentest (test prodora)
• Interno testiranje mreže
• Potraga za ranjivostima i iskorištavanjem
• Socijalni inženjering
• Testiranje web stranica poduzeća
• Testiranje mobilne aplikacije tvrtke
• Izvješće o ispitivanju i preporuke

Točan popis testova utvrđuje se u fazi pregovora, nakon proučavanja potreba klijenta.

Cijena penetracijskog testiranja

Eksterno ispitivanje korporativne mreže

Cijena na upit

Test penetracije (pentest)

Cijena na upit

Testiranje web i mobilnih aplikacija

Cijena na upit

Socijalni inženjering

Cijena na upit

Sigurnosni test ključ u ruke

Cijena na upit

Istraga kibernetičkog kriminala

Cijena na upit

VAŽNO

„Nažalost, najčešće tvrtke počinju razmišljati o tome sigurnost informacija kad su već patili. Hakere ne zanima veličina vaše tvrtke i njen promet, već broj hakiranih tvrtki.”

Zaštitite svoju tvrtku od cyber prijetnji!

Dakle, što je pentest?

Testiranje je pretraživanje, a testiranje penetracije jedna je od varijanti najdubljeg i najučinkovitijeg pretraživanja maksimalnog broja točaka i područja s različitim stupnjevima ranjivosti za prodor resursa i korisnika trećih strana. Takvi upadi mogu se izvršiti zlonamjerno ili neizravno radi ulaska ili dobivanja određenih podataka.

Ova se tehnika može provoditi zasebno i uključiti u redovite ili jednokratne testne sustave za stvaranje učinkovitih zaštitnih mjera protiv najšireg raspona napada i upada trećih strana.

Etiologija ranjivosti sustava

Gubitak sigurnosti može se dogoditi u različitim fazama rada bilo kojeg sustava, ali u svakom slučaju ovisi o utjecaju čimbenika kao što su:

• greška u dizajnu,


• pogrešan postupak konfiguracije pri odabiru niskofunkcionalne konfiguracije kombinacije softvera i opreme povezane sa sustavom,


• sigurnosni propusti u mrežnom izlaznom sustavu. Što je viša razina sigurnosti Mrežna veza, manja je vjerojatnost negativnog utjecaja i mogućnost prodora zlonamjernog utjecaja u sustav,


• ljudski faktor, izražen u pojavi zlonamjerne ili slučajne pogreške u projektiranju, korištenju ili održavanju mreže tijekom osobnog ili timskog rada s njom,


• komunikacijska komponenta, izražena u nezaštićenom prijenosu povjerljivih podataka,


• neopravdano visok stupanj složenosti sustava. Uvijek je lakše uspostaviti kontrolu nad stupnjem njegove sigurnosti nego pratiti kanale curenja podataka iz njega. Ono što je mnogo lakše učiniti u jednostavnim i funkcionalnim sustavima nego u njihovim složenim parnjacima,


• nedostatak znanja. Nedostatak odgovarajuće razine stručne osposobljenosti za sigurnosna pitanja među stručnjacima koji su izravno ili neizravno povezani s korištenjem sustava.

Testiranje se razlikuje od procjene ranjivosti

Unatoč sličnosti namjene njihove uporabe. Naime, traženje i organiziranje najsigurnijeg softverskog proizvoda. Oni rade drugačije.

Penetracijsko testiranje provodi se putem stvarnog nadzora, koji se provodi ručno i pomoću određenih visoko specijaliziranih sustava i alata. Što se radi kroz emulaciju zlonamjernih utjecaja, omogućujući identificiranje područja ranjivosti.

Utvrđivanje stupnja ranjivosti dolazi od pažljivog ispitivanja tijeka rada kako bi se identificirale moguće praznine kroz koje podaci mogu pobjeći tijekom određenih vrsta napada. To pomaže u pronalaženju područja ranjivih na hakerski utjecaj, što određuje stupanj ukupne sigurnosti sustava koji se testira. Tijekom njegove provedbe identificiraju se, ispravljaju i otklanjaju uočene „slabosti“.

Stoga je određivanje stupnja ranjivosti ustaljeni tijek rada. A testiranje penetracije radi "prema situaciji" s zajednički cilj utjecati na sustav što je snažnije moguće kako bi se utvrdile praznine u njegovoj zaštiti.

Čemu služi

Omogućuje vam da pronađete i popravite nedostatke u sigurnosnom sustavu programa koji koristite. Riječ je o proaktivnom radu na sprječavanju mogućnosti prodora negativnih utjecaja trećih strana, neovisno o njegovim ciljevima i stupnjevima provedbe. To pomaže u stvaranju najsposobnijeg sustava zaštite od očekivanih, a ne samo postojećih prijetnji izvana.

Takvo praćenje omogućuje:

• pronaći slabosti/ranjivosti u sustavu prije nego što budu izloženi vanjskim negativnim utjecajima i dovedu do curenja podataka. Ovo je izvrsna alternativa česta ažuriranja sustava. Budući da potonji utječu na kompatibilnost i brzinu rada sustava koji je prethodno otklonjen, a da ih ne uzima u obzir. Bolje je kontrolirati ažuriranja nego ih provoditi nekontrolirano;


• procijeniti sigurnosni alat stavljen u rad. Omogućuje programerima da dobiju realnu procjenu svoje kompetencije, kao i razinu usklađenosti s trenutnim sigurnosnim standardima. Osim toga, penetracijsko testiranje omogućuje vam prepoznavanje poslovnih rizika, kao i drugih komponenti zaštite, koji se mogu smanjiti tijekom kompromisa između kombinirane uporabe ovlaštenih i novoaktiviranih softverskih komponenti. Omogućuje strukturiranje i određivanje prioriteta, smanjujući i eliminirajući stupanj otkrivenih rizika i negativan utjecaj mogućih prijetnji;
• identificirati rizike za poboljšanje postojećih sigurnosnih standarda.

Proces praćenja

Penetracijsko testiranje danas se može provesti pomoću mnogih tehnika, ali glavne i najpoželjnije su:

Ručno testiranje provodi se prema sljedećem algoritmu

• planiranje ili pažljivo prikupljanje podataka vodeći računa o potrebama, opsegu korištenja, namjeni nadolazećeg praćenja, vodeći računa o stupnju postojeće zaštite. Ovdje se također mogu navesti posebna područja za praćenje stupnja zaštite, vrsta željenog/planiranog utjecaja i drugi zahtjevi za budući nadzor.


• obavještajne manipulacije usmjerene na pretraživanje i kumuliranje primljenih podataka o sustavu i tuđim, kombiniranim, zaštitnim mehanizmima potrebnim za ciljanje i posebno organizirane napade na određene blokove ili cijeli sustav. Cilj: postizanje najučinkovitijeg testiranja. Dakle, postoje dvije varijante: pasivna i aktivna, pri čemu se prva odvija bez aktivnog utjecaja na sustav, a druga je njezina potpuna suprotnost,


• analiza utvrđenih rezultata. Ova faza vam omogućuje da identificirate najranjivije točke koje će se koristiti za daljnje agresivno prodiranje u sustav,


• korištenje dobivenih rezultata. Na temelju identificiranih mjesta „lakog prodora“ u sustave zaštite provodi se pripremljeni napad na softver, kako vanjskim tako i unutarnjim napadima. Vanjski utjecaji su prijetnje sustavu izvana, pri čemu se emuliraju izravne vanjske prijetnje koje utječu na sustav i specijalizirani pokušaji neovlaštenog pristupa podacima sustava zaštićenog od toga. Interni napadi predstavljaju drugu fazu udara koja počinje nakon uspješnog prodora u sustav izvana. Raspon ciljeva za njihov daljnji utjecaj je širok i raznolik. Glavna je kompromitacija sustava u koji su prodrli,


• rezultati rada omogućuju identifikaciju ciljeva svake identificirane prijetnje i određivanje njenog potencijala za unutarnje poslovne procese sustava u cjelini, a posebno njegovih pojedinačnih komponenti,
• zaključak je blok dokumentacije obavljenog rada i dobivenih rezultata, koji opisuje potencijalne prijetnje i opseg njihovog negativnog utjecaja pri postizanju ciljeva utjecaja.



Testiranje automatiziranim alatima nije samo učinkovito, već je i vrlo korisno kada se koriste visoko specijalizirani alati. Prikladan je za korištenje, potrebno vrijeme je minimalno, a njegova učinkovitost omogućuje stvaranje "kristalno jasnih" zaključaka o obavljenom poslu.




Popis najpopularnijih alata uključuje: Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af. Kolekcije sustava Linux nude puno zanimljivih i funkcionalnih stvari.




Za rad odaberite alate koji zadovoljavaju određene potrebe, na primjer:

• praktičnost pokretanja, korištenja i daljnjeg održavanja,


• jednostavnost skeniranja,


• stupanj automatizacije pri prepoznavanju ranjivosti,


• stupanj dostupnosti testiranja prethodno otkrivenih područja slabih za vanjske napade,


• stupanj sposobnosti izrade detaljnih i jednostavnih izvještajnih dokumenata o obavljenom radu i postignutim rezultatima.



Kombinacija gore navedenih metoda zajedno. Ovo je optimalna metoda testiranja prodora jer može kombinirati prednosti obje metode i postati što brža i detaljnija.

Vrste penetracijskih testova

Podjela se vrši ovisno o korištenim alatima i objektima praćenja:



• društveni ili ljudski, gdje se povezuju ljudi koji mogu daljinski ili lokalno dobiti potrebne informacije i jasno ih obraditi,


• softverska aplikacija koja se koristi za prepoznavanje sigurnosnih nedostataka. Istovremeno se koristi nekoliko opcija web ponuda i specijaliziranih usluga korištene usluge ili izvora trećih strana,


• mrežni resurs koji vam omogućuje prepoznavanje mogućnosti neovlaštenog hakerskog pristupa ili prodora neovlaštenog korisnika,


• klijentski dio, koji se koristi u radu posebne aplikacije instaliran na web stranici ili aplikaciji klijenta,


• daljinski pristup provedeno VPN testiranjem ili sličnim objektom koji omogućuje pravilan pristup ovom sustavu,


• bežična veza, ima za cilj testirati bežične aplikacije, usluge i njihove alate.



Klasifikacija metoda praćenja također se provodi uzimajući u obzir vrstu pristupa njegovoj provedbi. Što vam omogućuje da istaknete:

• bijelo, gdje ispitivač ima pristup podacima o funkcijama i alatima sustava koji se testira. Ono što njegov rad čini što učinkovitijim i produktivnijim. Budući da vam posjedovanje takvih informacija omogućuje razumijevanje zamršenosti i značajki sustava koji se testira, te stoga provodite testiranje uz maksimalno uranjanje,


• crna daje pristup osnovnim informacijama ili informacijama visoke razine o sustavu. Ispitivač se više osjeća kao haker nego kao zaposlenik koji radi unutar sustava. Visok stupanj intenziteta rada ovu metodu zahtijeva vrijeme i temeljito znanje, kao i iskustvo u provedbi. Stoga postoji velika vjerojatnost izostanka ili nepotpunog testiranja,


• sivi ili ograničeni pristup informacijama o sustavu dovoljan za stvaranje simuliranog vanjskog napada.



Ograničenja testiranja prodora

Postoje mnoga ograničenja u rasponu takvog utjecaja, ali glavna su:

• kratko vrijeme uz visoku početnu cijenu ovog postupka,


• ograničenje broja testova po jedinici vremena,


• mogućnost kvara u prodoru na dijelu sustava,


• visok stupanj ranjivosti primljenih podataka.



Zaključak

Moderni hakeri sa stalno ažuriranim skupom programa i učinkoviti alati za izvođenje učinkovitih napada. Stoga često ulaze u sustave od interesa s izravnom namjerom kompromitiranja mreže ili iskorištavanja njezinih resursa. Praćenje upada u ovom je slučaju najučinkovitije kao alat za otkrivanje ranjivosti u bilo kojem sigurnosnom sustavu. I omogućuje vam da minimizirate potencijal vanjskih prijetnji softveru u cjelini.

Posljednjih nekoliko godina bilo je bogato događanjima koja su naglo povećala interes javnosti za temu hakerskih napada. Skandal koji uključuje hakiranje sustava Demokratske stranke SAD-a, onesposobljavanje sustava energetske infrastrukture Ministarstva financija i trezora Ukrajine, ransomware viruse koji ne samo da šifriraju datoteke, već i blokiraju rad industrijske i medicinske opreme , MIRAL, divovski botnet iz kućanskih uređaja, koji je pola SAD-a i Liberije ostavio bez komunikacija, napadači masovno gutaju banke kao vukovi bespomoćne ovce... Čak je i SWIFT na udaru! Hakeri od filmskih štrebera postali su dio stvarnosti milijardi ljudi.

Sasvim je prirodno da poslovanje danas prvenstveno ulaže resurse u praktičnu sigurnost, za razliku od formalnog ispunjavanja regulatornih zahtjeva uz minimalna sredstva. A prirodno je i da želi provjeriti koliko učinkovito ugrađeni sigurnosni sustav štiti od mrežnih morskih pasa.

Ovoga puta odlučili smo se fokusirati isključivo na praktične aspekte informacijske sigurnosti (IS) vezane uz računalne napade i izravnu zaštitu od njih. Za hakiranje koje izvode “bijeli šeširi”, tj. stručnjaci koji legalno oponašaju radnje napadača koriste izraz "test prodora" (pentest). Ovaj pojam krije nekoliko područja sigurnosnih istraživanja, a svako od njih ima svoje stručnjake. U ovom ćemo članku razumjeti što je pentest, zašto je potreban i gdje je granica između hakerskog napada i penetracijskog testiranja.

Pentest je u biti jedna od vrsta revizije informacijske sigurnosti. I to je njegova glavna razlika od pravog hakiranja. Haker traži najkraći put za kontrolu žrtvinih sustava. Ako se na perimetru pronađe rupa, napadač se fokusira na konsolidaciju i razvoj napada prema unutra. A pentester kojemu je naređeno da izvrši testiranje vanjske mreže mora pomno ispitati host za hostom, čak i ako je već pronađena cijela hrpa rupa. Ako su hostovi iste vrste (na primjer, 1000 identičnih radnih stanica), istraživač, naravno, može napraviti kontrolni uzorak, ali je neprihvatljivo preskočiti fundamentalno različite sustave. Ovo je vjerojatno najlakši način za kupca da identificira pentest niske kvalitete.

Pentest ne zamjenjuje potpunu reviziju informacijske sigurnosti. Karakterizira ga usko usmjeren pogled na sustave koji se proučavaju. Pentest se u biti bavi posljedicama, a ne uzrocima, nedostataka informacijske sigurnosti. Zašto ga uopće provoditi? Kada industrija proizvede novi model vojne opreme, inženjeri pažljivo izračunavaju svojstva oklopa i karakteristike oružja, ali tijekom vojnog prijema oprema se i dalje izbacuje na poligon, puca na nju, diže u zrak itd. Eksperiment je kriterij istine. Pentest nam omogućuje da shvatimo jesu li naši procesi informacijske sigurnosti izgrađeni tako dobro kao što mislimo, jesu li naši sigurnosni sustavi pouzdani, je li konfiguracija na poslužiteljima ispravna, razumijemo li put kojim će krenuti pravi haker. Stoga se može steći dojam da je pentesting neophodan za tvrtke koje su već mnogo uložile u informacijsku sigurnost. U teoriji je to točno, ali u praksi je često sasvim drugačije.

Došao sam do sljedeće pentest formule:

Istraživanje je najočitiji dio pentesta. Baš kao u filmovima: čudni tipovi u majicama s kapuljačama noću uništavaju IT obranu. U stvarnosti je često sve nešto prozaičnije, ali ova slika dopušta pentesterima da se ne pridržavaju poslovnog pravila odijevanja.

Izvještavanje obično nije omiljeni dio posla testera penetracije, ali je kritično važno. Kupac posla mora dobiti detaljan opis svih uspješnih i neuspješnih pokušaja prodora, jasan opis ranjivosti i, što je vrlo važno, preporuke za njihovo uklanjanje. Za posljednji dio, racionalno je uključiti specijalizirane stručnjake za informacijsku sigurnost, jer znati kako ga razbiti uopće ne znači znati kako ga ispravno i sigurno ispraviti u realnosti korporativne IT infrastrukture.

I posljednja komponenta, zbog koje se često organizira cijeli pentest, je show. Takva revizija je red veličine superiornija od bilo koje druge u smislu jasnoće, posebno za neprofesionalce. Ovaj Najbolji način pokazati nedostatke informacijske sigurnosti menadžmentu tvrtke u obliku dostupnom nestručnjacima. Kratak (nekoliko stranica) Izvršni sažetak sa skeniranom putovnicom CEO-a, Naslovnica povjerljivo izvješće i baza kupaca mogu donijeti više koristi za informacijsku sigurnost tvrtke nego cijelo izvješće od 200 stranica koje slijedi. Zbog toga penteste često naručuju tvrtke koje se prije nisu baš bavile informacijskom sigurnošću, a poslovanje, a često i IT, ne shvaćaju ozbiljnost postojećih rizika.

Parametri ispitivanja

Penteste se mogu svrstati u većinu različiti putevi. Usredotočit ćemo se samo na one koji imaju praktičnu vrijednost kada sami konfigurirate pentest.

Cilj napada koji postavlja kupac može se uvelike razlikovati od pentesta do pentesta. “Samo nas hakirajte” obično znači preuzimanje kontrole nad IT infrastrukturom (prava administratora domene, mrežna oprema), ugrožavanje poslovnih sustava i povjerljivih informacija. A tu su i usko ciljani pentesti. Na primjer, kao dio certifikacije za PCI DSS zahtjeve za sigurnost podataka kartice, svrha godišnjeg obveznog pentesta je kompromitirati podatke kartice. Ovdje, već prvog dana rada, mreža banke može biti potpuno zarobljena, ali ako posljednji bastion s tajnim podacima ne padne, organizacija će uspješno proći test.

Model znanja o sustavu određuje početnu poziciju ispitivača prodora. Iz potpuna informacija o sustavu ( Bijela kutija) dok potpuno ne nestane (Crna kutija). Često postoji i srednja opcija (Grey box), kada npr. pentester oponaša radnje neprivilegiranog korisnika koji ima neke podatke o sustavu. To može biti obični službenik, partnerska tvrtka, klijent s pristupom Osobni prostor i tako dalje. White box je više revizija nego klasični pentest. Koristi se kada je potrebno detaljno proučiti sigurnost na nekom uskom području. Na primjer, testira se novi portal za korisnike. Istraživač dobiva sve informacije o sustavu, često izvorni kod. Ovo pomaže u detaljnom proučavanju sustava, ali jedva da simulira prave napade. Korisnici pentesta crne kutije žele dobiti potpunu simulaciju napada hakera koji nema insajderske informacije o sustavu.

Model znanja snažno se preklapa s konceptom modela uljeza. Tko nas napada: vanjski haker, insajder, administrator? Ova podjela je vrlo proizvoljna. Kompromis radna stanica S tehničke točke gledišta, običan korisnik ili izvođač u trenutku pretvara vanjskog hakera u internog uljeza.

Razina svijesti stručnjaka za informacijsku sigurnost određuje tko zna o poslu koji se obavlja iu kojim detaljima. Često se osim opreme testira i osoblje, pa rad koordinira direktor informacijske sigurnosti ili informatike, a administratori vjeruju da se bore s pravim hakerima, ako, naravno, i primijete napad. Takve cyber vježbe omogućuju procjenu ne samo prisutnosti ranjivosti u sustavima, već i zrelosti procesa informacijske sigurnosti, razine interakcije između odjela itd. Upravo suprotno je imitirati radnje napadača kako bi se uvježbali obrambeni sustavi. U ovom slučaju pentester radi na malom prostoru, a administratori bilježe reakciju sigurnosnih alata i IT sustava, podešavaju postavke, pripremaju pravila za SIEM itd. Na primjer, simulira se situacija kada je haker već prodro u zatvoreni segment. Kako će eskalirati svoje privilegije na sustavima? Pentester radi jedan po jedan na svim vektorima napada koji su mu poznati kako bi osigurao najpotpuniju obuku sigurnosnih sustava.

Vrste napada

Postoji onoliko klasifikacija vrsta napada koliko i pentestera. U nastavku ću dati klasifikaciju osnovnih napada koje koristimo. Naravno, najpotpuniji pentest je napad u svim mogućim smjerovima. Ali ograničenja proračuna, vremena, opsega i pentest zadataka tjeraju vas da odaberete.

Pentest vanjske infrastrukture - analiza perimetra mreže s Interneta. Pentester pokušava kompromitirati dostupne mrežne usluge i, ako je moguće, razviti napad unutar mreže. Mnogi vjeruju da se radi o imitaciji pravog napada s ciljem prodiranja u mrežu tvrtke izvana. U stvari, napadači danas prevladavaju mrežni perimetar u 80-90% slučajeva koristeći metode društvenog inženjeringa. Nema potrebe probijati se u zidine tvrđave ako se ispod njih nalazi prekrasan tunel. No, i tu često ima rupa. Na primjer, nedavno smo obavili posao za veliku tvornicu zrakoplova, tijekom kojeg je, čak iu fazi automatske analize, skener pogodio lozinku za sustav daljinski upravljač APCS. Nemar izvođača koji je zaboravio onemogućiti daljinski pristup omogućio je hakeru da poveća pritisak u cjevovodima s tehničkim tekućinama za red veličine. Sa svime što to podrazumijeva, doslovno i figurativno.

Pentest je poput pregleda kod stomatologa: bolje ga je provoditi redovito kako biste spriječili probleme u ranim fazama.

Shadow IT

Do prodora se često dolazi korištenjem sustava koji su izvan IT-ovog radara. Svi serveri na perimetru su ažurirani, ali su zaboravili na IP telefoniju ili sustav videonadzora. A haker je već unutra. Za takvu infrastrukturu koja je ispala iz vidokruga administratora postoji poseban termin - Shadow IT. Gartner procjenjuje da će do 2020. do trećina svih hakiranja uključivati ​​Shadow IT. Po našem mišljenju, to je sasvim realna procjena.

Na primjer, jednog dana naš pentester pronašao je neažurirane sustave pozivnog centra na savršeno zaštićenom perimetru banke, preko kojih su svi glavni bankovni AS sustavi bili potpuno ugroženi u 2 dana. Ispostavilo se da za njih nije odgovorna informatika, nego telefonisti. U drugom slučaju, ulazna točka za pentest bila je mreža recepcionara, potpuno izolirana od one korporativne. Zamislite iznenađenje korisnika kada je, nekoliko dana kasnije, pentester izvijestio da je mreža potpuno zarobljena. Uspio je hakirati neažurirani pisač, učitati ljusku na njega i dobiti pristup VLAN-u za upravljanje pisačem. Nakon što ih je sve kompromitirao, pentester je dobio pristup svim uredskim segmentima tvrtke.

Pentest interne infrastrukture simulira radnje insajdera ili zaraženog čvora unutar mreže. Mreža mora biti izgrađena na način da kompromitacija pojedinih radnih stanica ili poslužitelja ne dovede do potpunog sloma obrane. Naime, u više od polovice slučajeva u našoj praksi od prava “pristup mrežnoj utičnici” do “administratora domene” ne prođe više od jednog radnog dana.

Mreža tvrtke može biti vrlo velika, pa bi u nekim slučajevima korisnik trebao jasno definirati ciljeve napada za pentester. Na primjer, pristup SAP-ovim i financijskim dokumentima s oznakom "Povjerljivo". To će pentesteru omogućiti da svoje vrijeme provodi učinkovitije i simulira pravi prilagođeni hakerski napad.

Web resursi predstavljaju zaseban svijet sa stajališta pentestinga, s velikim rasponom različitih tehnologija i specifičnih napada. Jasno je da se web može shvatiti kao sve što ima pristup mreži. Ovdje mislimo na razne web stranice, portale i specifične API-je kojima se može pristupiti s mreže. Praksa pokazuje da poduzeću u prosjeku analiza cjelokupnog perimetra mreže oduzima manje vremena nego jedna web stranica, pogotovo ako ima neke interaktivne elemente, osobni račun i sl. Ovo područje doživljava pravi procvat, prvenstveno zbog razvoja e-poslovanja banaka i masovnog ulaska maloprodaje na Internet.

Glavni rezultati napada na web izvor obično su kompromitacija podataka iz DBMS-a i mogućnost napada na klijente (na primjer, različite vrste XSS-a nalaze se na web stranicama svake druge banke). Nešto rjeđe, kompromitiranje web poslužitelja omogućuje vam prodor u samu mrežu tvrtke, ali često, ako su podaci koje tražite već ugroženi, napadaču to možda neće biti potrebno.

Prilikom analize weba važno je provjeriti ne samo tehnički dio, već i samu logiku rada i implementacije poslovnih funkcija. Još uvijek ponekad možete dobiti 99% popusta u online trgovini ili koristiti tuđu bonus bodovi, lagano mijenjajući redak zahtjeva poslužitelju u adresnoj traci.

Napadi na web mogu se izvesti i unutar mreže, jer je sigurnost interni resursi obično se o tome ne razmišlja, ali u stvarnosti većina hakera prvo napada infrastrukturu, jer je to najkraći put do administratora domene. Oni preuzimaju web kada ništa drugo ne radi ili kada trebaju ući u izolirane segmente mreže.

Rastući interes za testiranje otpornosti na DDoS posebno je primjetan u posljednjih nekoliko godina. Informacije o velikim napadima stalno se pojavljuju u tisku, ali stvar nije ograničena na njih. U segmentu online maloprodaje, primjerice, tijekom špica rasprodaja (pred blagdane) napadi se događaju gotovo neprekidno. Što učiniti s primitivnim napadima koji imaju za cilj iscrpiti komunikacijski kanal ili resurse poslužitelja slanjem ogromne količine prometa općenito je jasno. Zanimljivije je proučavati otpornost resursa na napade na razini aplikacije. Čak i jedan klijent koji generira relativno mali broj specifičnih zahtjeva za web mjesto može ga srušiti. Na primjer, specifični upiti u polju za pretraživanje web-mjesta mogu potpuno uništiti pozadinu.

Društveni inženjering, tj. Korištenje ljudske nepažnje, nepažnje ili nedostatka obuke za hakiranje danas je postalo najpopularniji način prodiranja u mrežu tvrtke.

Štoviše, postoji mišljenje da nema koristi od ovog otpada. Ovaj pojam kombinira veliki broj tehnika, uključujući slanje lažnih poruka poštom, telefonom i osobnom komunikacijom kako bi se dobio pristup objektu ili sustavima, raspršivanje flash diskova sa zlonamjernim privicima u blizini ureda tvrtke žrtve i još mnogo toga.

Napadi na Wi-Fi pogrešno se pripisuju internom pentestingu. Ako vaš pametni telefon ne uhvati poslovni Wi-Fi izvan ulaza, to ne jamči da napadači neće moći doći do njega. Usmjerena antena s ebaya od 100 dolara omogućila nam je obavljanje radova s ​​udaljenosti veće od jednog kilometra od pristupne točke. U pentestiranju, Wi-Fi se ne smatra uvijek točkom prodora u mrežu. Češće se koristi za napad na korisnike. Na primjer, pentester se parkira na ulazu u poduzeće prije početka radnog dana i postavlja mrežu s istim imenom (SSID) kao i korporativni Wi-Fi. Uređaji u torbama i džepovima zaposlenika pokušavaju se pridružiti poznatoj mreži i prenijeti... prijavu i lozinku domene za autentifikaciju. Pentester zatim koristi ta curenja za pristup korisničkoj e-pošti, VPN poslužiteljima itd.

Analiza mobilnih aplikacija napadaču je pojednostavljena činjenicom da ih je moguće jednostavno preuzeti iz trgovine i detaljno pregledati u sandboxu, vraćajući izvorni kod. Za obične web resurse, čovjek može samo sanjati o takvom luksuzu. Zbog toga je ovaj vektor napada danas toliko popularan. Mobilni klijenti Danas su vrlo česti ne samo među bankama i maloprodajom. Puštaju ih na sve strane, a sigurnost je zadnja stvar o kojoj razmišljaju.

Uobičajeno, proučavanje mobilne aplikacije može se podijeliti u 3 komponente: analiza oporavljenog izvornog koda za sigurnosne rupe, proučavanje aplikacije u sandboxu i analiza metoda interakcije između aplikacije i poslužitelja (sadržaj paketa, API , ranjivosti samog poslužitelja). Nedavno smo imali slučaj gdje je API poslužiteljske strane aplikacije za mobilno bankarstvo radio na takav način da je bilo moguće generirati paket koji je uzrokovao prijenos proizvoljnog iznosa novca s bilo kojeg bankovnog računa na bilo koji drugi račun. I to nije bilo istraživanje prije lansiranja aplikacije – već je dugo bila u produkciji. Mnoge prijevarne sheme danas se također provode pomoću mobilnih aplikacija, budući da se borba protiv prijevara zaboravlja čak i češće od informacijske sigurnosti.

Analizu izvornog koda nije sasvim ispravno smatrati pentestom, osobito ako korisnik predaje izvorne kodove na istraživanje u otvorenom obliku. Ovo je više revizija sigurnosti aplikacije bijele kutije. Međutim, ovaj se posao često provodi u kombinaciji s pentestingom kako bi se osigurala viša razina otkrivanja ranjivosti, pa ga ovdje vrijedi spomenuti. Pentest vam omogućuje da potvrdite ili opovrgnete nedostatke pronađene tijekom analize koda (uostalom, u specifičnoj infrastrukturi ne mogu se iskoristiti svi sigurnosni problemi). Ovo značajno smanjuje broj lažno pozitivnih rezultata koji smetaju analizi koda, posebno automatiziranoj. Istodobno, kao rezultat analize koda, često se pronađu rupe o kojima pentester nije pogodio.

Prema našem iskustvu, najčešće se naručuje analiza koda mobilnih aplikacija i web servisa koji su najosjetljiviji na napade.

Pentest je poput pregleda kod stomatologa: bolje ga je provoditi redovito kako biste spriječili probleme u ranim fazama

Pentest ograničenja

Glavna ograničenja koja razlikuju pentest od pravog napada, što otežava bijelim šeširima, su kazneni zakonik i etika. Primjerice, pentester najčešće ne može napasti sustave partnera korisnika, kućna računala zaposlenika ili infrastrukturu telekom operatera, ne koristi se zastrašivanjem, prijetnjama, ucjenama, podmićivanjem i drugim vrlo učinkovitim metodama kriminalaca u društvenom inženjeringu. Utoliko su uvjerljiviji rezultati uspješnog prodora u okviru “čistog” pentesta. Ako vaš pentester krši zakon kao dio svog posla, razmislite deset puta o tome trebate li dopustiti takvu osobu blizu svojih ključnih sustava.

Konačno

Većina standarda preporuča Pentest, kao i liječnički pregled, barem jednom godišnje. Istodobno, dobro je povremeno mijenjati stručnjake koji izvode radove kako bi se izbjeglo zamagljivanje pogleda i procijenila sigurnost iz različitih kutova. Uostalom, svaki stručnjak ili tim razvija neku specijalizaciju do jednog ili drugog stupnja.

Pentesting je vrijeme, trošak i stres za sigurnosne stručnjake, ali teško je pronaći vizualniji i realističniji način za procjenu sigurnosti IT infrastrukture. U svakom slučaju, bolje je da rupu pronađe ugovorni stručnjak nego haker. Uostalom, prvi često završava za službu informacijske sigurnosti s dodjelom dodatnih sredstava za sigurnost, a drugi - potraga za novim poslom.

Penetracijsko testiranje je metoda procjene sigurnosti IT infrastrukture tvrtke putem ovlaštenog modeliranja napada uljeza.

Saznajte cijenu testiranja

×

Ispunite obrazac za povratne informacije, bit će vam poslan upitnik za određivanje cijene usluge

Očuvanje povjerljivih informacija i ugled tvrtke ovise o tome koliko je pouzdano IT infrastruktura zaštićena od napadača. Stoga je vrlo važno provjeriti njegovu sigurnost u praksi. Često čak i optimalan skup sigurnosnih alata može imati netočne konfiguracijske postavke, što dovodi do ranjivosti i povećava vjerojatnost implementacije prijetnji.

Rad na penetracijskom testiranju ima za cilj:

Dobivanje neovisne i sveobuhvatne procjene trenutne razine sigurnosti.

Dobivanje neovisne procjene svijesti zaposlenika o pitanjima informacijske sigurnosti.

Tijekom rada provode se vanjske i unutarnje sigurnosne analize i testiranja metodama društvenog inženjeringa.

Problemi riješeni prilikom provođenja sigurnosne analize:

• Identifikacija ranjivosti informacijske sigurnosti i metode njihova iskorištavanja.
• Provjera mogućnosti prodora iz vanjskih mreža u lokalnu računalnu mrežu.
• Izrada preporuka za poboljšanje razine sigurnosti eliminacijom identificiranih ranjivosti.

Ako radnje (na primjer, iskorištavanje određenih ranjivosti) mogu dovesti do kvara u radu resursa koji se proučavaju, tada se takav rad provodi samo nakon dodatnog odobrenja. Po potrebi, ovisno o odabranom scenariju rada, nakon testiranja provode se radovi na uklanjanju negativnog utjecaja na resurse.

Ako se tijekom sigurnosne analize donese odluka o potrebi hitnog uklanjanja identificiranih ranjivosti, tada se poduzimaju sljedeće radnje:

• snimanje rezultata iskorištavanja ranjivosti (u obliku screenshotova, snimanja specijalističkih radnji, dnevnika rada sustava itd.)
• utvrđivanje potrebe i dogovor o načinima uklanjanja ranjivosti
• otklanjanje ranjivosti

Faze ispitivanja

Prilikom izvođenja sigurnosnih analiza koriste se univerzalni skeneri ranjivosti za otkrivanje ranjivosti u aplikacijama, OS-u i mrežnoj infrastrukturi, kao i specijaliziranom softveru. Radovi na penetracijskom testiranju provode se u tri faze i uključuju sljedeće faze:

Faza 1 – vanjska sigurnosna analiza:

• Izrada plana provođenja vanjske sigurnosne analize i usuglašavanje s radnom skupinom

Faza 2 – analiza interne sigurnosti:

Radovi se izvode na licu mjesta kod naručitelja.

• Izrada plana analize interne sigurnosti i usuglašavanje s radnom skupinom
• Analiza rezultata, izrada izvješća i njegovo odobravanje od strane radne skupine

Faza 3 – testiranje metodama socijalnog inženjeringa:

Rad se odvija na daljinu korištenjem vanjskih podatkovnih mreža (Internet).

• Izrada plana testiranja metodama socijalnog inženjeringa i usuglašavanje s radnom skupinom
• Analiza rezultata, izrada izvješća i njegovo odobravanje od strane radne skupine

Provođenje vanjske sigurnosne analize

Svrha ove faze rada je testirati sposobnost napadača da neovlašteno pristupi resursima i povjerljivim informacijama.

Sigurnosna analiza provodi se korištenjem modela “crne kutije” (nedostatak ovlaštenog pristupa, početni podaci o konfiguraciji i korištene mjere zaštite informacija).

U sklopu vanjske sigurnosne analize obavljaju se sljedeće vrste poslova:

• prikupljanje javno dostupnih informacija o vanjskim resursima dostupnim iz vanjskih podatkovnih mreža
• traženje ranjivosti resursa i njihovih infrastrukturnih komponenti pomoću sigurnosnih skenera i specijaliziranog softvera

• skriptiranje na više stranica
• cross-site request forgery
• otvoreno preusmjeravanje
• netočno rukovanje pogreškama koje pruža dodatne informacije o sustavu koji se testira

Provođenje analize interne sigurnosti

Svrha ove faze rada je testirati sposobnost napadača da izvrši neovlašteni pristup (u daljnjem tekstu ASD) resursima i povjerljivim informacijama.

Sigurnosna analiza provodi se po modelu “sive kutije” (omogućuje autorizirani pristup sustavima).

U sklopu analize interne sigurnosti obavljaju se sljedeće vrste poslova:

• prikupljanje podataka o infrastrukturi (mrežne usluge, operacijski sustavi i aplikacijski softver vanjskih resursa), prepoznavanje ranjivosti pomoću specijaliziranog softvera i univerzalni skeneri sigurnosti
• traženje ranjivosti resursa Korisnika i njegovih infrastrukturnih komponenti korištenjem sigurnosnih skenera i specijaliziranog softvera
• iskorištavanje identificiranih ranjivosti korištenjem specijaliziranog softvera i ručno za utvrđivanje relevantnosti identificiranih ranjivosti i mogućnost dobivanja projektne dokumentacije za komponente softverskog proizvoda i povjerljive informacije

U procesu traženja ranjivosti, između ostalog, provjerava se prisutnost sljedećih glavnih vrsta ranjivosti:

• ubacivanje fragmenata koda (na primjer, ubacivanje SQL izjave, implementacija naredbi operacijskog sustava
• nesigurno implementirane procedure provjere autentičnosti i upravljanja sesijom
• skriptiranje na više stranica
• pogreške u kontroli pristupa (na primjer, izravne veze na objekte s povjerljivim informacijama, ranjivosti u obilaženju direktorija)
• nesigurna konfiguracija softvera (na primjer, omogućavanje popisa imenika)
• otkrivanje povjerljivih informacija (primjerice davanje korisniku osobnih podataka drugih korisnika)
• pogreške koje ograničavaju korisnički pristup određenim funkcijama
• cross-site request forgery
• netočno rukovanje pogreškama koje pruža dodatne informacije o sustavu koji se testira
• korištenje OS-a i softvera s poznatim ranjivostima
• otvoreno preusmjeravanje
• obrada vanjskih XML entiteta
• netočno rukovanje pogreškama koje pruža dodatne informacije o sustavu koji se testira
• korištenje jednostavne lozinke tijekom provjere autentičnosti

Provođenje testiranja metodama socijalnog inženjeringa

Svrha ove faze rada je procijeniti svijest zaposlenika korisnika o pitanjima informacijske sigurnosti.

Kao dio testiranja društvenog inženjeringa, napadi se provode na zaposlenike korisnika u sljedećim scenarijima:

• Phishing - napad se provodi putem E-mail. Primjer napada: Zaposleniku je u ime tvrtke poslan link s “novom i vrlo korisnom uslugom” za njegov rad. Pismo sadrži opis usluge i kako točno treba pomoći određenom zaposleniku u njegovom radu. Također, u pismu se traži da provjerite funkcionalnost i radi li sve ispravno. Rad je usmjeren na to da zaposlenik ode na ovu uslugu i pokuša se registrirati pomoću vjerodajnica domene.
• Trojanski konj - napad se izvodi putem e-pošte. Primjer napada: Zaposlenik je poslan izvršna datoteka, dok sadržaj pisma može biti različit ovisno o poziciji zaposlenika: ugovor za voditelja, popis grešaka za programera itd. Rad je usmjeren na to da zaposlenik pokrene program na lokalno računalo te zabilježiti činjenicu pokretanja takvog programa.
• Telefonski napad - napad se izvodi putem telefonski poziv. Rad je usmjeren na stjecanje povjerenja zaposlenika smišljanjem uvjerljive priče za naslovnicu, a zatim pronalaženjem povjerljivih informacija ili vjerodajnica zaposlenika. Primjer legende: „Novi tehnički zaposlenik. podrška obavlja prvi zadatak postavljanja usluge i treba provjeriti radi li ispravno. Traži od zaposlenika pomoć: prijavite se samostalno ili mu recite svoje korisničko ime i lozinku.”

Analiza rezultata

Rezultat rada je izvješće koje sadrži sljedeće podatke.

Osnovni alati koji se koriste za provjeru sigurnosti sustava su alati za automatsko prikupljanje podataka o sustavu i penetracijsko testiranje. Predlažemo razmotriti princip rada takvih alata na primjeru proizvoda Rapid7 Metasploit tvrtke Rapid7, jednog od vodećih proizvođača analitičkih rješenja za informacijsku sigurnost, koji je visoko ocijenjen od strane utjecajnih istraživačkih i konzultantskih tvrtki, uključujući Gartner i Forrester.

Uvod

Penetration test (pentest) jedna je od najučinkovitijih metoda za procjenu kvalitete sigurnosnog sustava. Provodi se s ciljem identifikacije ranjivosti u IT infrastrukturi, demonstracije mogućnosti iskorištavanja ranjivosti, te pripreme preporuka za njihovo otklanjanje. Postupci ispitivanja provode se na inicijativu vlasnika informacijski sistem a usmjereni su na sprječavanje incidenata informacijske sigurnosti, često popraćenih financijskim i reputacijskim gubicima, neugodnim objašnjenjima s klijentima i predstavnicima partnerskih organizacija, kao i drugim neželjenim posljedicama.

U Ruska Federacija Značajan čimbenik koji određuje potrebu provođenja penetracijskog testiranja su regulatorni zahtjevi. Potonji smatraju provjeru učinkovitosti sustava zaštite iznimno važnom mjerom, a relevantne odredbe uključene su u regulatorne i metodološke dokumente. Prije svega, u tom smislu, prikladno je spomenuti regulatorne dokumente koji pokrivaju značajan broj informacijskih sustava - naredbe FSTEC-a Rusije br. 17 i 21.

Ovi dokumenti definiraju mjeru zaštite u obliku „testiranja sustava informacijske sigurnosti pokušajem neovlaštenog pristupa (utjecaja) na informacijski sustav, zaobilazeći njegov sustav informacijske sigurnosti” u fazi certifikacije. Za informacijske sustave koji obrađuju državnu tajnu tražena je i certifikacija informacijskih sustava koja podrazumijeva provjeru učinkovitosti sigurnosnog sustava.

Na međunarodnoj razini preporučljivo je spomenuti standard sigurnosti podataka industrije platnih kartica PCI DSS (Payment Card Industry Data Security Standard). Usklađenost s odredbama standarda PCI DSS obvezna je za sve organizacije uključene u procesiranje Visa i MasterCard platnih kartica: trgovce, procesne centre, akvizitere, izdavatelje i pružatelje usluga, kao i sve druge organizacije koje pohranjuju, obrađuju ili prenose nositelja podatkovne kartice i osjetljive podatke za provjeru autentičnosti. Odredbe standarda predviđaju analizu ranjivosti i testiranje prodora unutar i izvan mreže informacijskog sustava. Vanjske i unutarnje penetracijske testove treba provoditi najmanje jednom godišnje i nakon bilo kakvih značajnih izmjena ili nadogradnji infrastrukture/aplikacija.

Penetracijsko testiranje (pentest) može se provoditi u sklopu napredne izobrazbe stručnjaka za informacijsku sigurnost i stjecanja praktičnih vještina studenata koji studiraju u specijalnostima povezanima s informacijskom sigurnošću, kao i za testiranje vlastitih proizvoda od strane razvijača alata za informacijsku sigurnost.

Očito, za sve ove svrhe najviše se traži integrirano rješenje za upravljanje prijetnjama koje pokriva mrežnu sigurnost, sigurnost web aplikacija, sigurnost baze podataka i strategije penetracijskog testiranja, a sadrži funkcionalnost dovoljnu kako za usklađivanje sa zahtjevima domaćih i međunarodnih propisa, i korištenje u procesu učenja. Takva rješenja uključuju Rapid7 Metasploit tvrtke Rapid7, koja je osnovana 2000. godine i jedna je od vodećih proizvođača proizvoda za analizu i organiziranje sustava informacijske sigurnosti u IT okruženjima. Važna prednost softver Rapid7 pruža uvid u sigurnosno stanje imovine i korisnika u bilo kojem okruženju, uključujući virtualno i mobilno, kao i javne i privatne oblake.

Za procjenu rješenja Rapid7 Metasploit možete upotrijebiti rješenje istog proizvođača - demo ranjivi Metasploitable virtualni stroj opremljen Ubuntu Linux. Virtualni stroj Kompatibilan s VMWare, VirtualBox i drugim uobičajenim virtualizacijskim platformama.

Važna pomoć je to što je Rapid7 Metasploit kompatibilan sa Rapid7 Nexpose skenerom ranjivosti, može pokrenuti njegovo pokretanje, a također koristiti rezultate potonjeg.

Pogledajmo opći postupak za rad s Rapid7 Metasploitom.

Kako raditi s Rapid7 Metasploitom

U opći pogled Rad s Rapid7 Metasploitom sastoji se od sljedećih koraka:

1. Izrada projekta. Projekt sadrži radni prostor koji se koristi za izradu penetracijskog testa i konfiguraciju zadataka koje treba izvršiti. Svaki penetracijski test izvodi se iz vlastitog projekta.
2. Prikupljanje informacija. U ovoj fazi Rapid7 Metasploit prikuplja informacije o ciljnoj mreži: instaliranoj OS, otvoreni portovi, pokrenuti hostovi i procesi. Rapid7 Nexpose skener ranjivosti također se može koristiti u ovoj fazi. Tijekom skeniranja svi primljeni podaci automatski se spremaju u projekt.
3. Korištenje podviga. Napad se može izvesti ručno ili korištenjem baze podataka za iskorištavanje. Ovo koristi mrežne podatke dobivene u 2. koraku.
4. Radnje poduzete na kompromitiranom sustavu. Nakon dobivanja pristupa koristi se exploit payload uz pomoć kojeg se pokreću interaktivne sesije za prikupljanje dodatnih informacija, a također je moguće koristiti post-exploitation module za automatsko prikupljanje lozinki pohranjenih u operativnom sustavu i aplikacijama, snimki zaslona, ​​slika iz web kamere, snimanje tipki, sakupljanje konfiguracijske datoteke, pokretanje aplikacija itd.

Usporedba Rapid7 Metasploit izdanja

Rapid7 Metasploit dostupan je u nekoliko izdanja, koja se razlikuju po opsegu ponuđenih funkcija i vrsti licence za korištenje. Trenutno su dostupna sljedeća izdanja proizvoda:

• Okvir
• Zajednica
• Izraziti

Tablica pruža informacije o tome koje su ciljne funkcije implementirane u svakom izdanju proizvoda. Radi praktičnosti, koristeći različite boje, ciljne funkcije podijeljene su u skupine prema njihovoj glavnoj namjeni:

• Prikupiti podatke o karakteristikama komponenti i ranjivostima mreže.
• Ispitivanje prodora.
• Izvršite phishing zadatke.
• Testiranje web aplikacija.
• Generiranje izvješća.
• Kontrolirati.

Tablica 1. Usporedba Rapid7 Metasploit izdanja

Karakteristično	profesionalac	Izraziti	Zajednica
Uvoz podataka skeniranja (Uvoz podataka skeniranja)	✔	✔	✔
Skeniranje s detekcijom (Skeniranje otkrića)	✔	✔	✔
Integracija s Nexpose sustavom za upravljanje ranjivostima (Nexpose integracija skeniranja)	✔	✔	✔
Izvoz podataka (Izvoz podataka)	✔	✔	✔
Ručno pokretanje exploita (Ručna eksploatacija)	✔	✔	✔
Web sučelje (Web sučelje)	✔	✔	✔
Upravljanje sesijom (Upravljanje sesijom)	✔	✔	✔
Upravljanje vjerodajnicama (Upravljanje vjerodajnicama)	✔	✔	✔
Prodor kroz jaku točku (Proxy pivot)	✔	✔	✔
Moduli izvršeni nakon kompromisa (Moduli nakon eksploatacije)	✔	✔	✔
Brisanje sesije (čišćenje sesije)	✔	✔	✔
Metoda odabira (Sirova snaga)	✔	✔
Prikupljanje dokaza (Zbirka dokaza)	✔	✔
Zapisivanje pregleda (Revizijsko izvješće)	✔	✔
Izvještavanje o aktivnostima (Izvješće o aktivnostima)	✔	✔
Izvještavanje o kompromitiranim i ranjivim hostovima (Izvješće o kompromitiranim i ranjivim hostovima)	✔	✔
Izvještavanje vjerodajnica (Izvješće o vjerodajnicama)	✔	✔
Izvještavanje o izvedbi usluge (Izvješće o uslugama)	✔	✔
Ponovno korištenje vjerodajnica (Ponovna upotreba vjerodajnica)	✔	✔
Pokušaj zaobilaženja antivirusa (Antivirusna evazija)	✔	✔
Pokušaj zaobići sustave za otkrivanje i sprječavanje upada (IPS/IDS izbjegavanje)	✔	✔
Ponovno pokretanje sesije (Repriza sjednice)	✔	✔
Tehnološki proces kompromisa (Tijek rada eksploatacije)	✔	✔
Igranje zadataka (Ponavljanje zadatka)	✔	✔
Označavanje podataka (Podaci označavanja)	✔
Izvještavanje o usklađenosti s PCI DSS-om (PCI izvješće)	✔
Izvješćivanje o sukladnosti s FISMA-om (izvješće FISMA)	✔
"Master" za brzo testiranje penetracije (Čarobnjak za brzi pentest)	✔
"Čarobnjak" za provjeru ranjivosti (Čarobnjak za provjeru ranjivosti)	✔
Integracija sa sustavom za skeniranje kvalitete koda Sonar (Integracija projekta Sonar)	✔
"Master" za krađu identiteta (Čarobnjak za krađu identiteta)	✔
Sociotehnička analiza (Socijalni inženjering)	✔
"Čarobnjak" za testiranje web aplikacija (Čarobnjak za testiranje web-aplikacije)	✔
Testiranje web aplikacija (testiranje web aplikacije)	✔
Prodor kroz jaku točku pomoću VPN tuneliranja (VPN okretanje)	✔
Generator korisnog opterećenja (generator korisnog tereta)	✔
Makronaredbe su izvršene nakon kompromisa (Makronaredbe nakon eksploatacije)	✔
Trajne sesije (Trajne sesije)	✔
Meta moduli (MetaModuli)	✔
Timski rad (Timska suradnja)	✔
Lanci zadataka (Lanci zadataka)	✔
Sigurnosno kopiranje i vraćanje (Sigurnosno kopiranje i vraćanje)	✔
Prilagođeno izvješćivanje (Prilagođeno izvješćivanje)	✔
Sociotehničko izvješćivanje (Izvješće o društvenom inženjeringu)	✔
Izvješćivanje o ocjeni web aplikacije (Izvješće o ocjeni web aplikacije)	✔

Izdanje Metasploit Framework izdvaja se jer služi kao osnova za kreiranje komercijalnih proizvoda. Riječ je o projektu otvorenog koda koji omogućuje pristup bazi podataka exploita za različite aplikacije, operativne sustave i platforme. Kontrola se provodi putem sučelja naredbeni redak. Korisnik Metasploit Frameworka može kreirati i dodavati nove exploite u bazu podataka ili koristiti postojeće kao dodatne alate prilikom izvođenja penetracijskih testova.

Ostala izdanja su komercijalna, dodatno implementiraju upravljanje putem web sučelja, a ovisno o izdanju dodaju se određene funkcije. Uglavnom ove dodatne funkcije usmjereni su na automatizaciju uobičajenih zadataka testiranja: analiza ranjivosti, sociotehnika, generiranje korisnog opterećenja, napadi grubom silom.

zaključke

Rapid7 Metasploit ima širok raspon funkcionalnost. Rješenje može raditi ili putem web sučelja ili sučelja naredbene linije – opcija se određuje na zahtjev korisnika. Međutim, cijeli skup funkcija dostupan je samo pri radu s web sučeljem. Rapid7 Metasploit podržava operativne sustave Windows obitelj i Linux.

Još nekoliko karakterističnih karakteristika Rapid7 Metasploita:

• Mogućnost odabira izdanja koje odgovara potrebama pojedinog slučaja.
• Mogućnost korištenja rezultata analize ranjivosti iz rješenja trećih strana.
• Mogućnost obuke na posebno dizajniranom ranjivom sustavu.
• Integracija proizvoda (u izdanju Framework) s Linux distribucijama:
  • Kali Linux
  • Backtrack linux (ukinut)
  • Pentoo
  • BlackArch
  • Backbox

Rapid7 Metasploit ima nekoliko ograničenja operativne razine koja vrijedi razmotriti:

• Instalacija i kasniji ispravan rad proizvoda moguć je samo nakon isključivanja vatrozida i antivirusa.
• Preporuča se instalirati Rapid7 Nexpose i Metasploit na zasebne alate računalna tehnologija. U tom slučaju moguće je instalirati Rapid7 Metasploit u virtualno računalo.
• Nedostatak punog prijevoda operativne dokumentacije na ruski jezik. S uključenim priručnikom za uporabu Engleski jezik možete pronaći na web stranici proizvođača u odjeljku Metasploit.