Iespiešanās pārbaude ir metožu kombinācija, kas ņem vērā dažādas sistēmas problēmas un pārbauda, ​​analizē un piedāvā risinājumus. Tās pamatā ir strukturēta procedūra, kas soli pa solim veic iespiešanās pārbaudi. Tālāk ir norādītas septiņas iespiešanās pārbaudes darbības.

Plānošana un sagatavošana

Plānošana un sagatavošana sākas ar iespiešanās pārbaudes mērķu un uzdevumu definēšanu.

Klients un testētājs kopīgi definē mērķus, lai abām pusēm būtu vienādi mērķi un izpratne. Kopējie iespiešanās pārbaudes mērķi ir:

• Identificēt ievainojamības un uzlabot tehnisko sistēmu drošību.
• Nodrošiniet ārējas trešās puses IT drošību.
• Uzlabot organizatoriskās/HR infrastruktūras drošību.

Pētījums

Izlūkošana ietver sākotnējās informācijas analīzi. Daudzas reizes testētājam nav daudz informācijas, izņemot sākotnējo informāciju, tas ir, IP adresi vai IP adrešu bloku. Testētājs sāk ar pieejamās informācijas analīzi un, ja nepieciešams, lietotāja pieprasījumus iegūt Papildus informācija, piemēram, sistēmu apraksti, tīkla plāni utt. Šis solis ir sava veida pasīva iespiešanās pārbaude. Vienīgais mērķis ir iegūt pilnīgu un detalizētu informāciju par sistēmām.

Atvēršana

Šajā brīdī iespiešanās pārbaudītājs, iespējams, izmantos automatizētus rīkus, lai skenētu mērķa līdzekļus, lai atklātu ievainojamības. Šiem rīkiem parasti ir savas datu bāzes, kas sniedz informāciju par jaunākajām ievainojamībām. Tomēr testeris atklāj

• Tīkla atklāšana- piemēram, atvēršana papildu sistēmas, serveriem un citām ierīcēm.
• Saimnieka atklāšana- nosaka atvērtās ostasšajās ierīcēs.
• Dienesta nopratināšana- aptaujas porti, lai atklātu faktiskos pakalpojumus, kas tajos darbojas.

Informācija un riska analīze

Šajā fāzē testētājs analizē un novērtē informāciju, kas savākta pirms testēšanas posmiem, lai dinamiski iekļūtu sistēmā. Lielā sistēmu skaita un infrastruktūras lieluma dēļ tas aizņem ilgu laiku. Analizējot, testētājs ņem vērā šādus elementus:

• Iespiešanās testa konkrētie mērķi.
• Iespējamie sistēmas riski.
• Aprēķinātais laiks, kas nepieciešams, lai novērtētu iespējamās drošības nepilnības turpmākajai aktīvajai iespiešanās pārbaudei.

Tomēr no identificēto sistēmu saraksta testētājs var izvēlēties pārbaudīt tikai tās, kurās ir iespējamas ievainojamības.

Aktīvi iebrukuma mēģinājumi

Šis ir vissvarīgākais solis, un tas jādara ar pienācīgu rūpību. Šis solis ir saistīts ar to, cik lielā mērā atklāšanas fāzē ir atklātas iespējamās ievainojamības, kas rada reālus riskus. Šī darbība jāveic, ja jāpārbauda iespējamās ievainojamības. Sistēmām, kurām ir ļoti augstas integritātes prasības, pirms kritisko tīrīšanas procedūru veikšanas rūpīgi jāapsver iespējamās ievainojamības un riski.

Galīgā analīze

Šajā solī, pirmkārt, tiek aplūkoti visi līdz šim veiktie (apspriestie iepriekš) pasākumi un novērtētas ievainojamības potenciālo risku veidā. Turklāt testētājs iesaka novērst ievainojamības un riskus. Pirmkārt, testētājam ir jānodrošina testu un atklāto ievainojamību caurspīdīgums.

Ziņojuma sagatavošana

Ziņojuma sagatavošana jāsāk ar vispārējām testēšanas procedūrām un pēc tam jāanalizē ievainojamības un riski. Prioritāte ir jāpiešķir lieliem riskiem un kritiskām ievainojamībām, kam seko zemāka secība.

Tomēr, dokumentējot gala ziņojumu, jāņem vērā šādi punkti:

• Vispārīgs iespiešanās pārbaudes pārskats.
• Detalizēta informācija par katru soli un pildspalvas testēšanas laikā savākto informāciju.
• Detalizēta informācija par visām atklātajām ievainojamībām un riskiem.
• Tīrīšanas un nostiprināšanas sistēmu daļas.
• Priekšlikumi nākotnes drošībai.

Katrs uzņēmuma īpašnieks, IT speciālists un parasts datoru lietotājs vismaz vienu reizi ir saskāries ar kiberdraudiem. IN mūsdienu pasaule tie kļūst arvien spēcīgāki un spēj nodarīt milzīgus zaudējumus ne tikai biznesam, bet arī valstij.

Ir divas hakeru kategorijas:

Baltas cepures- strādāt, lai nodrošinātu drošību, novērstu nelikumīgu ielaušanos.

Melnie hakeri (Melnā cepure)- pārkāpt likumu, zagt personas datus, tukši bankas konti.

Mūsu komanda uzņemsies uzdevumu veikt testus, lai atrastu ievainojamības jūsu uzņēmuma biroju tīklā, jūsu vietnēs un lietojumprogrammās. Un arī ar palīdzību sociālā inženierija Mēs spēsim identificēt jūsu uzņēmumā vissliktāk aizsargātās nodaļas un sniegt ieteikumus, kā pastiprināt aizsardzību.

Kas ir iekļauts pentestēšanā (drošības testā)?

Uzņēmuma drošības pārbaude var ietvert:

• Ārējo tīklu un perimetra analīze
• Pentest (iekļūšanas tests)
• Iekšējā tīkla pārbaude
• Meklēt ievainojamības un izmantošanu
• Sociālā inženierija
• Uzņēmuma vietņu pārbaude
• Testēšana mobilās lietojumprogrammas kompānijas
• Pārbaudes ziņojums un ieteikumi

Precīzs testu saraksts tiek noteikts sarunu posmā, pēc klienta vajadzību izpētes.

Iespiešanās pārbaudes izmaksas

Ārējā korporatīvā tīkla pārbaude

Cena pēc pieprasījuma

Iespiešanās pārbaude (pentests)

Cena pēc pieprasījuma

Tīmekļa un mobilo lietojumprogrammu testēšana

Cena pēc pieprasījuma

Sociālā inženierija

Cena pēc pieprasījuma

Pabeigtās drošības pārbaude

Cena pēc pieprasījuma

Kibernoziegumu izmeklēšana

Cena pēc pieprasījuma

SVARĪGS

«Diemžēl visbiežāk uzņēmumi sāk aizdomāties informācijas drošība kad viņi jau ir cietuši. Hakeriem nerūp jūsu uzņēmuma lielums un apgrozījums, viņiem rūp uzlauzto uzņēmumu skaits.

Aizsargājiet savu uzņēmumu no kiberdraudiem!

Tātad, kas ir pentests?

Testēšana ir meklēšana, un iespiešanās pārbaude ir viena no padziļinātākajām un efektīvākajām iespējām meklēt maksimālo punktu skaitu un apgabalus ar dažādu ievainojamības pakāpi trešo pušu resursu un lietotāju iekļūšanai. Šāda ielaušanās var tikt veikta vai nu ļaunprātīgi, vai netieši, lai ievadītu vai iegūtu noteiktus datus.

Šo paņēmienu var veikt atsevišķi un iekļaut regulārās vai vienreizējās pārbaudes sistēmās, lai izveidotu efektīvus aizsardzības pasākumus pret visplašāko trešo pušu uzbrukumu un ielaušanās klāstu.

Sistēmas ievainojamības etioloģija

Drošības zudums var rasties dažādos jebkuras sistēmas darbības posmos, taču jebkurā gadījumā tas ir atkarīgs no tādu faktoru ietekmes kā:

• dizaina kļūda,


• nepareizs konfigurācijas process, izvēloties zemu funkcionālu ar sistēmu saistītās programmatūras un aprīkojuma kombinācijas konfigurāciju,


• drošības trūkumi tīkla izvades sistēmā. Jo augstāks drošības līmenis tīkla savienojums, jo mazāka ir negatīvas ietekmes iespējamība un ļaunprātīgas ietekmes iekļūšanas iespēja sistēmā,


• cilvēciskais faktors, kas izpaužas kā ļaunprātīga vai nejauša kļūda tīkla projektēšanā, lietošanā vai uzturēšanā personīgā vai komandas darba laikā ar to,


• komunikācijas komponents, kas izteikts konfidenciālu datu neaizsargātā pārsūtīšanā,


• nepamatoti augsta sistēmas sarežģītības pakāpe. Vienmēr ir vieglāk noteikt kontroli pār tā drošības pakāpi, nekā izsekot datu noplūdes kanāliem no tā. Kas ir daudz vieglāk izdarāms vienkāršās un funkcionālās sistēmās nekā to sarežģītajās sistēmās,


• zināšanu trūkums. Atbilstoša līmeņa profesionālās sagatavotības trūkums drošības jautājumos starp speciālistiem, kas tieši vai netieši saistīti ar sistēmas lietošanu.

Testēšana atšķiras no ievainojamības novērtēšanas

Neskatoties uz to izmantošanas mērķa līdzību. Proti, visdrošākā programmatūras produkta meklēšana un organizēšana. Viņi strādā savādāk.

Iespiešanās pārbaude tiek veikta ar reālu uzraudzību, kas tiek veikta gan manuāli, gan izmantojot noteiktas ļoti specializētas sistēmas un rīkus. Kas tiek darīts, emulējot ļaunprātīgu ietekmi, ļaujot identificēt ievainojamības jomas.

Ievainojamības pakāpes noteikšana notiek, rūpīgi pārbaudot darbplūsmas, lai noteiktu iespējamās nepilnības, caur kurām dati var izkļūt noteiktu veidu uzbrukumu laikā. Tas palīdz atrast zonas, kuras ir neaizsargātas pret hakeru ietekmi, kas nosaka pārbaudāmās sistēmas vispārējās drošības pakāpi. Tās īstenošanas laikā tiek identificētas, izlabotas un novērstas identificētās “vājās vietas”.

Tādējādi ievainojamības pakāpes noteikšana ir izveidota darbplūsma. Un iespiešanās pārbaude darbojas “atbilstoši situācijai” ar kopīgs mērķis cik vien iespējams spēcīgi ietekmēt sistēmu, lai identificētu nepilnības tās aizsardzībā.

Kam tas paredzēts

Tas ļauj atrast un novērst nepilnības izmantotās programmas drošības sistēmā. Tas ir proaktīvs darbs, lai novērstu negatīvas trešo pušu ietekmes iespiešanos neatkarīgi no tā mērķiem un īstenošanas līmeņiem. Tas palīdz izveidot viskompetentāko aizsardzības sistēmu pret sagaidāmiem un ne tikai esošajiem draudiem no ārpuses.

Šāda uzraudzība ļauj:

• atrast sistēmas vājās vietas/ievainojamības, pirms tās tiek pakļautas ārējai negatīvai ietekmei un izraisīt datu noplūdi. Šī ir lieliska alternatīva bieži atjauninājumi sistēmas. Tā kā pēdējie ietekmē iepriekš atkļūdotas sistēmas saderību un darbības ātrumu, tos neņemot vērā. Labāk ir kontrolēt atjauninājumus, nevis veikt tos nekontrolēti;


• novērtēt ekspluatācijā nodoto drošības līdzekli. Ļauj izstrādātājiem iegūt reālistisku savas kompetences novērtējumu, kā arī atbilstības līmeni pašreizējiem drošības standartiem. Turklāt iespiešanās pārbaude ļauj identificēt biznesa riskus, kā arī citus aizsardzības komponentus, kas var tikt samazināti, veicot kompromisu starp autorizēto un tikko aktivizēto programmatūras komponentu kombinētu izmantošanu. Dod iespēju strukturēt un noteikt prioritātes, samazinot un novēršot atklāto risku pakāpi un iespējamo apdraudējumu negatīvo ietekmi;
• identificēt riskus, lai uzlabotu esošos drošības standartus.

Uzraudzības process

Mūsdienās iespiešanās testēšanu var veikt, izmantojot daudzas metodes, taču galvenās un vispiemērotākās ir:

Manuālā pārbaude tiek veikta saskaņā ar šādu algoritmu

• datu plānošana vai rūpīga vākšana, ņemot vērā vajadzības, izmantošanas apjomu, gaidāmās uzraudzības mērķus, ņemot vērā esošās aizsardzības līmeni. Šeit var norādīt arī konkrētas jomas aizsardzības pakāpes monitoringam, vēlamās/plānotās ietekmes veidu un citas prasības turpmākajam monitoringam.


• izlūkošanas manipulācijas, kuru mērķis ir meklēt un apkopot saņemtos datus par sistēmu un trešo personu, kombinētajiem, aizsardzības mehānismiem, kas nepieciešami mērķēšanai un īpaši organizētiem uzbrukumiem noteiktiem blokiem vai visai sistēmai. Mērķis: iegūt visefektīvāko testu. Tādējādi ir divas šķirnes: pasīvā un aktīvā, kur pirmā tiek veikta bez aktīvas ietekmes uz sistēmu, bet otrā ir tās pilnīgs pretstats,


• identificēto rezultātu analīze. Šis posms ļauj identificēt visneaizsargātākos punktus, kas tiks izmantoti turpmākai agresīvai iekļūšanai sistēmā,


• iegūto rezultātu izmantošana. Pamatojoties uz apzinātajām aizsardzības sistēmu “vieglas iespiešanās” vietām, programmatūrai tiek veikts sagatavots uzbrukums gan ārējo, gan iekšējo uzbrukumu veidā. Ārējās ietekmes ir sistēmas apdraudējums no ārpuses, kur tiek emulēti tiešie ārējie draudi, kas ietekmē sistēmu, un specializēti mēģinājumi nesankcionēti piekļūt no tiem aizsargātas sistēmas datiem. Iekšējie uzbrukumi ir ietekmes otrais posms, kas sākas pēc veiksmīgas iekļūšanas sistēmā no ārpuses. Mērķu loks to tālākai ietekmei ir plašs un daudzveidīgs. Galvenais no tiem ir sistēmas, kurā viņi iekļuva, kompromiss,


• darbības rezultāti ļauj identificēt katra identificētā apdraudējuma mērķus un noteikt tā potenciālu sistēmas iekšējiem biznesa procesiem kopumā un jo īpaši atsevišķiem tās komponentiem,
• Secinājums ir veiktā darba un iegūto rezultātu dokumentācijas bloks, aprakstot iespējamos apdraudējumus un to negatīvās ietekmes apmēru, sasniedzot ietekmes mērķus.



Testēšana ar automatizētiem rīkiem ir ne tikai efektīva, bet arī ļoti noderīga, ja tiek izmantoti īpaši specializēti rīki. Tas ir ērti lietojams, nepieciešamais laiks ir minimāls, un tā efektivitāte ļauj izdarīt “kristāltīrus” secinājumus par paveikto.




Populārāko rīku sarakstā ir: Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af. Linux sistēmu kolekcijas piedāvā daudz interesantu un funkcionālu lietu.




Darbam izvēlieties instrumentus, kas atbilst noteiktām vajadzībām, piemēram:

• palaišanas, lietošanas un turpmākās apkopes praktiskums,


• skenēšanas vienkāršība,


• automatizācijas līmenis, identificējot ievainojamības,


• iepriekš atklāto apgabalu testēšanas pieejamības pakāpe, kas ir vāja pret ārējiem uzbrukumiem,


• prasmju pakāpe izveidot detalizētus un vienkāršus atskaites dokumentus par veikto darbu un iegūtajiem rezultātiem.



Iepriekš minēto metožu kombinācija kopā. Šī ir optimālā iespiešanās pārbaudes metode, jo tā var apvienot abu metožu priekšrocības un kļūt pēc iespējas ātrāka un detalizētāka.

Iespiešanās testu veidi

Sadalījums tiek veikts atkarībā no izmantotajiem instrumentiem un uzraudzības objektiem:



• sociāli vai cilvēciski, kur pieslēdzas cilvēki, kuri var attālināti vai lokāli saņemt nepieciešamo informāciju un to skaidri apstrādāt,


• lietojumprogramma, ko izmanto drošības trūkumu identificēšanai. Vienlaikus tiek izmantotas vairākas tīmekļa piedāvājumu iespējas un izmantotā pakalpojuma specializētie pakalpojumi vai trešo pušu avoti,


• tīkla resurss, kas ļauj noteikt neatļautas hakeru piekļuves vai neautorizēta lietotāja iespiešanās iespēju,


• klienta daļa, izmantota darbā īpašas lietojumprogrammas instalēta klienta vietnē vai lietojumprogrammā,


• attālā piekļuve ko veic ar VPN testēšanu vai līdzīgu objektu, kas nodrošina pareizu piekļuvi šai sistēmai,


• bezvadu savienojuma mērķis ir pārbaudīt bezvadu lietojumprogrammas, pakalpojumus un to rīkus.



Monitoringa metožu klasifikācija tiek veikta arī, ņemot vērā pieejas veidu tās īstenošanai. Kas ļauj izcelt:

• balts, kur testētājam ir pieejami dati par testējamās sistēmas funkcijām un rīkiem. Kas padara viņa darbu pēc iespējas efektīvāku un produktīvāku. Tā kā šādas informācijas esamība ļauj izprast pārbaudāmās sistēmas sarežģītību un iezīmes un tādējādi veikt testēšanu ar maksimālu iedziļināšanos,


• melns nodrošina piekļuvi pamata vai augsta līmeņa informācijai par sistēmu. Testētājs vairāk jūtas kā hakeris, nevis darbinieks, kas darbojas sistēmā. Augsta darba intensitātes pakāpe šī metode prasa laiku un pamatīgas zināšanas, kā arī pieredzi tā īstenošanā. Tāpēc pastāv liela varbūtība, ka testēšana netiks veikta vai tā būs nepilnīga,


• pelēka vai ierobežota piekļuve sistēmas informācijai, kas ir pietiekama, lai izveidotu imitētu ārēju uzbrukumu.



Iespiešanās pārbaudes ierobežojumi

Šādas ietekmes diapazonam ir daudz ierobežojumu, taču galvenie ir šādi:

• īss laika periods ar augstām šīs procedūras sākotnējām izmaksām,


• pārbaužu skaita ierobežojums laika vienībā,


• iespiešanās kļūmes iespēja no sistēmas puses,


• saņemto datu augsta ievainojamības pakāpe.



Secinājums

Mūsdienu hakeri ar pastāvīgi atjauninātu programmu komplektu un efektīvi instrumenti veikt efektīvus uzbrukumus. Tāpēc viņi bieži iekļūst interesējošos sistēmās ar tiešu nolūku kompromitēt tīklu vai izmantot tā resursus. Ielaušanās uzraudzība šajā gadījumā ir visefektīvākā kā līdzeklis, lai atklātu ievainojamības jebkurā drošības sistēmā. Un tas ļauj samazināt ārējo apdraudējumu iespējamību programmatūrai kopumā.

Pēdējie pāris gadi bijuši notikumiem bagāti, kas krasi palielinājuši sabiedrības interesi par hakeru uzbrukumu tēmu. Skandāls, kas saistīts ar ASV Demokrātu partijas sistēmu uzlaušanu, Finanšu ministrijas un Ukrainas Valsts kases enerģētikas infrastruktūras sistēmu atspējošanu, izspiedējvīrusiem, kas ne tikai šifrē failus, bet arī bloķē rūpniecisko un medicīnas iekārtu darbību. , MIRAL, milzu robottīkls no sadzīves ierīces, kas atstāja pusi ASV un Libēriju bez sakariem, uzbrucēji masveidā ķidā bankas kā neaizsargātu aitu vilki... Pat SWIFT tiek uzbrukts! Hakeri no filmu gīkiem ir kļuvuši par daļu no miljardu cilvēku realitātes.

Ir gluži dabiski, ka bizness mūsdienās primāri iegulda resursus praktiskajā drošībā, nevis formāli ar minimāliem līdzekļiem izpilda normatīvās prasības. Un viņam ir arī dabiski vēlme pārbaudīt, cik efektīvi uzbūvētā drošības sistēma aizsargā pret tiešsaistes haizivīm.

Šoreiz nolēmām pievērsties tikai praktiskiem informācijas drošības (IS) aspektiem saistībā ar datoru uzbrukumiem un tiešo aizsardzību pret tiem. Par uzlaušanu, ko veic “baltās cepures”, t.i. speciālisti, kas legāli imitē uzbrucēju darbības, lieto terminu “iekļūšanas tests” (pentest). Šis termins slēpj vairākas drošības izpētes jomas, un katrā no tām ir savi speciālisti. Šajā rakstā mēs sapratīsim, kas ir pentests, kāpēc tas ir vajadzīgs un kur ir robeža starp hakeru uzbrukumu un iespiešanās pārbaudi.

Pentest būtībā ir viens no informācijas drošības audita veidiem. Un šī ir tā galvenā atšķirība no reālas uzlaušanas. Hakeris meklē īsāko ceļu, lai kontrolētu upura sistēmas. Ja perimetrā tiek atrasta bedre, uzbrucējs koncentrējas uz uzbrukuma nostiprināšanu un attīstīšanu uz iekšu. Un pentesteram, kuram ir uzdots veikt ārējā tīkla testēšanu, ir rūpīgi jāpārbauda resursdators pēc resursdatora, pat ja jau ir atrasts vesels ķekars caurumu. Ja saimniekdatori ir viena tipa (piemēram, 1000 identiskas darbstacijas), pētnieks, protams, var izveidot kontroles paraugu, taču ir nepieņemami izlaist principiāli atšķirīgas sistēmas. Tas, iespējams, ir vienkāršākais veids, kā klients var noteikt zemas kvalitātes pentestu.

Pentest neaizstāj pilnvērtīgu informācijas drošības auditu. To raksturo šauri fokusēts skatījums uz pētāmajām sistēmām. Pentest būtībā nodarbojas ar informācijas drošības trūkumu sekām, nevis cēloņiem. Kāpēc to vispār īstenot? Kad nozare ražo jaunu militārās tehnikas modeli, inženieri rūpīgi aprēķina bruņu īpašības un ieroču īpašības, bet militārās pieņemšanas laikā tehnika joprojām tiek izripināta uz poligonu, apšauta, uzspridzināta utt. Eksperiments ir patiesības kritērijs. Pentest ļauj mums saprast, vai mūsu informācijas drošības procesi ir uzbūvēti tik labi, kā mēs domājam, vai mūsu drošības sistēmas ir uzticamas, vai serveros ir pareizi konfigurēts, vai mēs saprotam ceļu, pa kuru ies īsts hakeris. Tādējādi var rasties iespaids, ka pentestēšana ir nepieciešama uzņēmumiem, kas jau ir ieguldījuši lielus līdzekļus informācijas drošībā. Teorētiski tā ir taisnība, bet praksē bieži vien ir pavisam savādāk.

Es izdomāju šādu pentest formulu:

Pētniecība ir visredzamākā pentesta daļa. Gluži kā filmās: dīvaini puiši kapucēs naktīs iznīcina IT aizsardzību. Patiesībā viss bieži ir nedaudz prozaiskāks, bet šo attēluļauj pentestētājiem neievērot uzņēmuma apģērba kodu.

Pārskatu sniegšana parasti nav iespiešanās pārbaudītāja iecienītākā darba daļa, taču tā ir ļoti svarīga. Darba pasūtītājam jāsaņem detalizēts apraksts par visiem veiksmīgajiem un neveiksmīgajiem iespiešanās mēģinājumiem, skaidrs ievainojamību apraksts un, ļoti svarīgi, ieteikumi to novēršanai. Pēdējā daļā ir racionāli iesaistīt specializētus informācijas drošības speciālistus, jo zināt, kā to uzlauzt, nebūt nenozīmē zināt, kā korporatīvās IT infrastruktūras realitātē pareizi un droši to labot.

Un pēdējais komponents, kuram bieži tiek organizēts viss pentests, ir izrāde. Šāds audits skaidrības ziņā ir daudz augstāks par jebkuru citu, īpaši neprofesionāļiem. Šis Labākais veids demonstrēt informācijas drošības nepilnības uzņēmuma vadībai nespeciālistiem pieejamā formā. Īss (pāris lappušu) kopsavilkums ar izpilddirektora pases skenēšanu, titullapa konfidenciāls pārskats un klientu bāze var sniegt vairāk priekšrocību uzņēmuma informācijas drošībai nekā viss nākošais 200 lappušu pārskats. Tāpēc pentestus nereti pasūta uzņēmumi, kas ar informācijas drošību līdz šim īsti nav nodarbojušies, un bizness, un nereti arī IT, neizprot esošo risku nopietnību.

Pārbaudes parametri

Pentestus var iedalīt visvairāk Dažādi ceļi. Mēs koncentrēsimies tikai uz tiem, kuriem ir praktiska vērtība, konfigurējot pentest sev.

Klienta noteiktais uzbrukuma mērķis var ievērojami atšķirties atkarībā no pentest līdz pentestam. “Vienkārši uzlauzt mūs” parasti nozīmē IT infrastruktūras kontroles pārņemšanu (domēna administratora tiesības, tīkla iekārtas), biznesa sistēmu un konfidenciālas informācijas kompromitēšana. Un ir šauri mērķēti pentesti. Piemēram, PCI DSS karšu datu drošības prasību sertifikācijas ietvaros ikgadējā obligātā pentesta mērķis ir apdraudēt karšu datus. Šeit jau pirmajā darba dienā bankas tīkls var tikt pilnībā notverts, taču, ja nenokrīt pēdējais bastions ar slepeniem datiem, organizācija sekmīgi izturēs pārbaudi.

Zināšanu modelis par sistēmu nosaka iespiešanās pārbaudītāja sākuma pozīciju. No pilnīga informācija par sistēmu ( Balta kaste), līdz tā pilnībā nav (Melnā kaste). Bieži vien ir arī vidējais variants (Grey box), kad, piemēram, pentester atdarina kāda nepievilcīga lietotāja, kuram ir kādi dati par sistēmu, darbības. Tas varētu būt parasts ierēdnis, partneruzņēmums, klients ar piekļuvi Personīgā zona un tā tālāk. Baltā kaste drīzāk ir audits, nevis klasisks pentests. To izmanto, ja nepieciešams detalizēti izpētīt drošību šaurā jomā. Piemēram, tiek testēts jauns klientu portāls. Pētniekam tiek nodrošināta visa informācija par sistēmu, bieži vien avota kods. Tas palīdz detalizēti izpētīt sistēmu, bet diez vai simulē reālus uzbrukumus. Black box pentest klienti vēlas saņemt pilnīgu simulāciju par hakeru uzbrukumu, kuram nav iekšējās informācijas par sistēmu.

Zināšanu modelis stipri pārklājas ar ielaušanās modeļa jēdzienu. Kas mums uzbrūk: ārējais hakeris, iekšējais, administrators? Šis sadalījums ir ļoti patvaļīgs. Kompromiss darbstacija No tehniskā viedokļa parasts lietotājs vai darbuzņēmējs acumirklī pārvērš ārējo hakeri par iekšēju iebrucēju.

Informācijas drošības speciālistu informētības līmenis nosaka, kurš un cik detalizēti zina par veicamajiem darbiem. Nereti papildus tehnikai tiek pārbaudīts arī personāls, tāpēc darbu koordinē informācijas drošības vai IT direktors, un administratori uzskata, ka cīnās ar īstiem hakeriem, ja, protams, uzbrukumu pat pamana. Šādas kibermācības ļauj novērtēt ne tikai ievainojamību esamību sistēmās, bet arī informācijas drošības procesu briedumu, departamentu mijiedarbības līmeni utt. Pretēji tam ir imitēt uzbrucēja darbības, lai apmācītu aizsardzības sistēmas. Šajā gadījumā pentester strādā nelielā teritorijā, un administratori fiksē drošības rīku un IT sistēmu reakciju, pielāgo iestatījumus, sagatavo noteikumus SIEM utt. Piemēram, tiek simulēta situācija, kad hakeris jau ir iekļuvis slēgtā segmentā. Kā viņš pastiprinās savas privilēģijas sistēmās? Pentesters strādā pa vienam uz visiem viņam zināmajiem uzbrukuma vektoriem, lai nodrošinātu vispilnīgāko drošības sistēmu apmācību.

Uzbrukumu veidi

Ir tik daudz uzbrukuma veidu klasifikāciju, cik pentesteru. Tālāk es sniegšu mūsu izmantoto pamata uzbrukumu klasifikāciju. Protams, vispilnīgākais pentests ir uzbrukums visos iespējamos virzienos. Taču budžeta, laika, apjoma un galīgo uzdevumu ierobežojumi liek jums izvēlēties.

Ārējās infrastruktūras pentest - tīkla perimetra analīze no interneta. Pentester mēģina apdraudēt pieejamos tīkla pakalpojumus un, ja iespējams, izveidot uzbrukumu tīklā. Daudzi uzskata, ka tā ir reāla uzbrukuma imitācija, kuras mērķis ir iekļūt uzņēmuma tīklā no ārpuses. Faktiski mūsdienās uzbrucēji pārvar tīkla perimetru 80–90% gadījumu, izmantojot sociālās inženierijas metodes. Nav nepieciešams ielauzties cietokšņa sienās, ja zem tām ir brīnišķīgs tunelis. Tomēr arī šeit bieži ir caurumi. Piemēram, mēs nesen veicām darbu lielai gaisa kuģu rūpnīcai, kuras laikā pat automātiskās analīzes stadijā skeneris uzminēja sistēmas paroli tālvadība APCS. Darbuzņēmēja nolaidība, kurš aizmirsa atspējot attālo piekļuvi, ļāva hakeram par lielumu palielināt spiedienu cauruļvados ar tehniskajiem šķidrumiem. Ar visu, ko tas ietver, tiešā un pārnestā nozīmē.

Pentests ir kā pārbaude pie zobārsta: labāk to veikt regulāri, lai novērstu problēmas agrīnā stadijā.

Ēna IT

Iespiešanās bieži notiek, izmantojot sistēmas, kas ir ārpus IT radara. Visi serveri perimetrā ir atjaunināti, bet ir aizmirsuši par IP telefoniju vai videonovērošanas sistēmu. Un hakeris jau ir iekšā. Šādai infrastruktūrai, kas izkritusi no administratoru redzesloka, ir īpašs termins - Shadow IT. Gartner lēš, ka līdz 2020. gadam līdz pat trešdaļai visu uzlaušanas gadījumu tiks iesaistīts Shadow IT. Mūsuprāt, tā ir pilnīgi reāla aplēse.

Piemēram, kādu dienu mūsu pentesters uz perfekti aizsargātās bankas perimetra atrada neatjauninātas zvanu centru sistēmas, caur kurām 2 dienu laikā tika pilnībā kompromitētas visas galvenās bankas AS sistēmas. Izrādījās, ka par viņiem nav atbildīga IT nodaļa, bet gan telefona operatori. Citā gadījumā pentesta ieejas punkts bija administratoru tīkls, kas bija pilnībā izolēts no korporatīvās. Iedomājieties klienta pārsteigumu, kad pāris dienas vēlāk pentester ziņoja, ka tīkls ir pilnībā notverts. Viņam izdevās uzlauzt neatjauninātu printeri, augšupielādēt tajā čaulu un piekļūt printera pārvaldības VLAN. Kompromitējis tos visus, pentester ieguva piekļuvi visiem uzņēmuma biroju segmentiem.

Iekšējās infrastruktūras pentests simulē iekšējās personas vai inficēta mezgla darbības tīklā. Tīkls jāveido tā, lai atsevišķu darbstaciju vai serveru kompromitēšana neizraisītu pilnīgu aizsardzības sabrukumu. Faktiski vairāk nekā pusē gadījumu mūsu praksē no tiesībām “piekļuve tīkla kontaktligzdai” līdz “domēna administratoram” pāriet ne vairāk kā viena darba diena.

Uzņēmuma tīkls var būt ļoti liels, tāpēc dažos gadījumos klientam ir skaidri jādefinē pentestera uzbrukuma mērķi. Piemēram, piekļuve SAP un finanšu dokumentiem ar atzīmi “Konfidenciāli”. Tas ļaus pentesteram efektīvāk pavadīt laiku un simulēt īstu pielāgotu hakeru uzbrukumu.

Tīmekļa resursi pārstāv atsevišķu pasauli no pentestēšanas viedokļa ar milzīgu dažādu tehnoloģiju klāstu un specifiskiem uzbrukumiem. Ir skaidrs, ka tīmekli var saprast kā jebko, kam ir piekļuve tīklam. Šeit mēs domājam dažādas tīmekļa vietnes, portālus un noteiktas API, kas pieejamas no tīkla. Prakse rāda, ka vidēji uzņēmumam visa tīkla perimetra analīze aizņem mazāk laika nekā vienas mājas lapas, it īpaši, ja tajā ir kādi interaktīvi elementi, personīgais konts utt. Šī joma piedzīvo īstu uzplaukumu, galvenokārt pateicoties banku e-biznesa attīstībai un mazumtirdzniecības masveida ienākšanai internetā.

Galvenie uzbrukuma rezultāti tīmekļa resursam parasti ir datu kompromitēšana no DBVS un uzbrukuma iespēja klientiem (piemēram, katras otrās bankas vietnēs atrodami dažādi XSS veidi). Nedaudz retāk tīmekļa servera kompromitēšana ļauj iekļūt pašā uzņēmuma tīklā, taču bieži vien, ja meklētie dati jau ir apdraudēti, uzbrucējam tas var nebūt nepieciešams.

Analizējot tīmekli, ir svarīgi pārbaudīt ne tikai tehnisko daļu, bet arī pašu darbības loģiku un biznesa funkciju realizāciju. Joprojām dažkārt varat saņemt 99% atlaidi tiešsaistes veikalā vai izmantot kāda cita veikalu bonusa punkti, nedaudz mainot pieprasījuma rindiņu uz serveri adreses joslā.

Uzbrukumus tīmeklim var veikt arī tīkla iekšienē, jo tā ir drošība iekšējie resursi parasti par to nedomā, bet patiesībā lielākā daļa hakeru vispirms uzbrūk infrastruktūrai, jo tas ir īsākais ceļš pie domēna administratora. Viņi izmanto tīmekli, kad nekas cits nav izdevies vai kad viņiem ir jāiekļūst izolētos tīkla segmentos.

Pieaugošā interese par DDoS rezistences testēšanu ir īpaši pamanāma pēdējo pāris gadu laikā. Informācija par lieliem uzbrukumiem pastāvīgi parādās presē, taču runa neaprobežojas tikai ar tiem. Tiešsaistes mazumtirdzniecības segmentā, piemēram, izpārdošanas maksimuma laikā (pirms brīvdienām) uzbrukumi notiek gandrīz nepārtraukti. Ko darīt ar primitīviem uzbrukumiem, kuru mērķis ir izsmelt sakaru kanālu vai servera resursus, nosūtot milzīgus trafika apjomus, kopumā ir skaidrs. Interesantāk ir izpētīt resursa izturību pret lietojumprogrammas līmeņa uzbrukumiem. Pat viens klients, kurš vietnei ģenerē salīdzinoši nelielu skaitu konkrētu pieprasījumu, var to avarēt. Piemēram, konkrēti vaicājumi vietnes meklēšanas laukā var pilnībā iznīcināt aizmugursistēmu.

Sociālā inženierija, t.i. Cilvēka neuzmanības, neuzmanības vai apmācības trūkuma izmantošana, lai uzlauztu, mūsdienās ir kļuvusi par populārāko veidu, kā iekļūt uzņēmuma tīklā.

Turklāt pastāv viedoklis, ka no šiem lūžņiem nav jēgas. Šis termins apvieno milzīgu skaitu paņēmienu, tostarp krāpniecisku ziņojumu sūtīšanu pa pastu, tālruni un personisku saziņu, lai piekļūtu iekārtai vai sistēmām, zibatmiņas disku izkliedēšana ar ļaunprātīgiem pielikumiem cietušā uzņēmuma biroja tuvumā un daudz ko citu.

Uzbrukumi Wi-Fi tīklam kļūdaini tiek attiecināti uz iekšējo pentestēšanu. Ja jūsu viedtālrunis neuztver korporatīvo Wi-Fi ārpus ieejas, tas negarantē, ka uzbrucēji nevarēs to sasniegt. Virziena antena no ebay, kas maksāja 100 USD, ļāva mums veikt darbus vairāk nekā kilometra attālumā no piekļuves punkta. Pentestēšanas laikā Wi-Fi ne vienmēr tiek uzskatīts par iekļūšanas vietu tīklā. Biežāk to izmanto, lai uzbruktu lietotājiem. Piemēram, pentester pirms darba dienas sākuma novieto automašīnu pie uzņēmuma ieejas un izvieto tīklu ar tādu pašu nosaukumu (SSID) kā uzņēmuma Wi-Fi. Ierīces darbinieku somās un kabatās cenšas pievienoties pazīstamam tīklam un pārsūtīt… domēna pieteikumvārdu un paroli autentifikācijai. Pēc tam Pentester izmanto šīs noplūdes, lai piekļūtu lietotāju e-pastam, VPN serveriem utt.

Mobilo lietojumprogrammu analīzi uzbrucējam atvieglo fakts, ka tās var viegli lejupielādēt no veikala un detalizēti izpētīt smilšu kastē, atjaunojot avota kodu. Parastajiem tīmekļa resursiem par tādu greznību var tikai sapņot. Tāpēc šis uzbrukuma vektors mūsdienās ir tik populārs. Mobilie klienti Mūsdienās tie ir ļoti izplatīti ne tikai bankās un mazumtirdzniecībā. Viņi tiek atbrīvoti visur, un drošība ir pēdējā lieta, par ko viņi domā.

Tradicionāli mobilās lietojumprogrammas izpēti var iedalīt 3 komponentos: drošības caurumu atgūtā pirmkoda analīze, lietojumprogrammas izpēte smilšu kastē un lietojumprogrammas un servera mijiedarbības metožu analīze (pakotnes saturs, API , paša servera ievainojamības). Mums nesen bija gadījums, kad mobilās bankas aplikācijas servera puses API darbojās tā, ka bija iespējams ģenerēt paketi, kas izraisīja patvaļīgas naudas pārskaitījumu no jebkura bankas konta uz jebkuru citu kontu. Un tas nebija pētījums pirms lietojumprogrammas palaišanas – tā bija ražošanā jau ilgu laiku. Daudzas krāpnieciskas shēmas mūsdienās tiek īstenotas arī, izmantojot mobilās aplikācijas, jo cīņa pret krāpšanu tiek aizmirsta pat biežāk nekā informācijas drošība.

Nav pilnīgi pareizi avota koda analīzi uzskatīt par pentestu, it īpaši, ja klients avota kodus izpētei iesniedz atklātā formā. Šis vairāk ir baltās kastes lietojumprogrammu drošības audits. Tomēr šis darbs bieži tiek veikts kopā ar pentestēšanu, lai nodrošinātu augstāku ievainojamības noteikšanas līmeni, tāpēc šeit ir vērts pieminēt. Pentest ļauj apstiprināt vai atspēkot koda analīzes laikā atklātos trūkumus (galu galā konkrētā infrastruktūrā visas drošības problēmas nevar izmantot). Tas ievērojami samazina viltus pozitīvu rezultātu skaitu, kas traucē kodu analīzi, jo īpaši automatizēto. Tajā pašā laikā koda analīzes rezultātā bieži tiek atrasti caurumi, par kuriem pentesteris nav uzminējis.

Mūsu pieredze liecina, ka mobilo lietojumprogrammu un tīmekļa pakalpojumu kodu analīze visbiežāk tiek pasūtīta, jo tie ir visvairāk pakļauti uzbrukumiem.

Pentests ir kā pārbaude pie zobārsta: labāk to veikt regulāri, lai novērstu problēmas agrīnā stadijā.

Pentest ierobežojumi

Galvenie ierobežojumi, kas atšķir pentestu no reāla uzbrukuma, apgrūtinot balto cepuru darbību, ir kriminālkodekss un ētika. Piemēram, pentesters visbiežāk nevar uzbrukt klienta partneru sistēmām, darbinieku mājas datoriem vai telekomunikāciju operatoru infrastruktūrai, viņš neizmanto iebiedēšanu, draudus, šantāžu, kukuļņemšanu un citus ļoti efektīvus noziedznieku paņēmienus sociālajā inženierijā. Vēl jo pārliecinošāki ir sekmīgas iespiešanās rezultāti “tīrā” pentesta ietvaros. Ja jūsu pentesteris savā darbā pārkāpj likumu, desmit reizes padomājiet par to, vai jums vajadzētu pieļaut šādu personu jūsu galveno sistēmu tuvumā.

Beidzot

Pentest, tāpat kā medicīniskā pārbaude, saskaņā ar lielāko daļu standartu iesaka veikt vismaz reizi gadā. Vienlaikus ir ieteicams periodiski mainīt speciālistus, kas veic darbu, lai izvairītos no attēla aizmiglošanās un novērtētu drošību no dažādiem leņķiem. Galu galā jebkurš speciālists vai komanda vienā vai otrā pakāpē attīsta kādu specializāciju.

Pentestēšana ir laiks, izdevumi un stress drošības speciālistiem, taču ir grūti atrast vizuālāku un reālistiskāku veidu, kā novērtēt IT infrastruktūras drošību. Katrā ziņā līgumā speciālistam labāk atrast robu nekā hakeram. Galu galā pirmais informācijas drošības dienestam bieži beidzas ar papildu līdzekļu piešķiršanu drošībai, bet otrais - jauna darba meklējumi.

Iespiešanās pārbaude ir uzņēmuma IT infrastruktūras drošības novērtēšanas metode, izmantojot autorizētu iebrucēju uzbrukumu modelēšanu.

Uzziniet testēšanas izmaksas

×

Aizpildiet atsauksmju veidlapu, jums tiks nosūtīta anketa, lai noteiktu pakalpojuma izmaksas

Konfidenciālas informācijas saglabāšana un uzņēmuma reputācija ir atkarīga no tā, cik uzticami IT infrastruktūra ir aizsargāta no uzbrucējiem. Tāpēc ir tik svarīgi pārbaudīt tā drošību praksē. Bieži vien pat optimālajam drošības rīku komplektam var būt nepareizi konfigurācijas iestatījumi, kas noved pie ievainojamības un palielina draudu ieviešanas iespējamību.

Iespiešanās pārbaudes darbs ir vērsts uz:

Neatkarīga un visaptveroša pašreizējā drošības līmeņa novērtējuma iegūšana.

Neatkarīga novērtējuma iegūšana par darbinieku informētību par informācijas drošības jautājumiem.

Darba gaitā tiek veikta ārējās un iekšējās drošības analīze un testēšana, izmantojot sociālās inženierijas metodes.

Problēmas, kas atrisinātas, veicot drošības analīzi:

• Informācijas drošības ievainojamību identificēšana un to izmantošanas metodes.
• Pārbauda iespēju iekļūt lokālajā datortīklā no ārējiem tīkliem.
• Ieteikumu izstrāde drošības līmeņa paaugstināšanai, novēršot konstatētās ievainojamības.

Ja darbības (piemēram, noteiktu ievainojamību izmantošana) var izraisīt neveiksmi pētāmo resursu darbībā, tad šāds darbs tiek veikts tikai pēc papildu saskaņošanas. Ja nepieciešams, atkarībā no izvēlētā darba scenārija, pēc testēšanas tiek veikti darbi, lai novērstu negatīvo ietekmi uz resursiem.

Ja drošības analīzes darba laikā tiek pieņemts lēmums par nepieciešamību nekavējoties novērst konstatētās ievainojamības, tad tiek veiktas šādas darbības:

• ievainojamības izmantošanas rezultātu reģistrēšana (ekrānuzņēmumu veidā, speciālistu darbību reģistrēšana, sistēmas darbības žurnāli utt.)
• nepieciešamības noteikšana un vienošanās par ievainojamības novēršanas veidiem
• ievainojamības novēršana

Pārbaudes posmi

Veicot drošības analīzes darbus, tiek izmantoti universālie ievainojamību skeneri, lai atklātu ievainojamības aplikācijās, OS un tīkla infrastruktūrā, kā arī specializētajā programmatūrā. Iespiešanās pārbaudes darbs tiek veikts trīs posmos un ietver šādus posmus:

1. posms – ārējās drošības analīze:

• Ārējās drošības analīzes veikšanas plāna sastādīšana un saskaņošana ar darba grupu

2. posms – iekšējās drošības analīze:

Darbs tiek veikts klienta objektā.

• Iekšējās drošības analīzes plāna sastādīšana un saskaņošana ar darba grupu
• Rezultātu analīze, ziņojuma sagatavošana un apstiprināšana darba grupā

3. posms – testēšana, izmantojot sociālās inženierijas metodes:

Darbs tiek veikts attālināti, izmantojot ārējos datu tīklus (internetu).

• Testēšanas plāna sastādīšana ar sociālās inženierijas metodēm un saskaņošana ar darba grupu
• Rezultātu analīze, ziņojuma sagatavošana un apstiprināšana darba grupā

Ārējās drošības analīzes veikšana

Šī darba posma mērķis ir pārbaudīt uzbrucēja spēju iegūt nesankcionētu piekļuvi resursiem un konfidenciālai informācijai.

Drošības analīze tiek veikta, izmantojot “melnās kastes” modeli (autorizētas piekļuves trūkums, izmantotie sākotnējās konfigurācijas dati un informācijas drošības pasākumi).

Ārējās drošības analīzes ietvaros tiek veikti šādi darba veidi:

• publiski pieejamas informācijas vākšana par ārējiem resursiem, kas pieejami no ārējiem datu tīkliem
• resursu un to infrastruktūras komponentu ievainojamību meklēšana, izmantojot drošības skenerus un specializētu programmatūru

• starpvietņu skriptēšana
• starpvietņu pieprasījuma viltošana
• atvērt novirzīšanu
• nepareiza kļūdu apstrāde, kas sniedz papildu informāciju par testējamo sistēmu

Iekšējās drošības analīzes veikšana

Šī darba posma mērķis ir pārbaudīt uzbrucēja spēju veikt nesankcionētu piekļuvi (turpmāk – ASD) resursiem un konfidenciālai informācijai.

Drošības analīze tiek veikta, izmantojot “pelēkās kastes” modeli (nodrošinot autorizētu piekļuvi sistēmām).

Iekšējās drošības analīzes ietvaros tiek veikti šādi darba veidi:

• datu vākšana par infrastruktūru (tīkla pakalpojumi, operētājsistēmas un ārējo resursu lietojumprogrammatūra), ievainojamību identificēšana, izmantojot specializētu programmatūru un universālie skeneri drošību
• Klienta resursu un to infrastruktūras komponentu ievainojamību meklēšana, izmantojot drošības skenerus un specializētu programmatūru
• identificētu ievainojamību izmantošana, izmantojot specializētu programmatūru un manuāli, lai noteiktu identificēto ievainojamību atbilstību un iespēju iegūt programmatūras produkta komponentu un konfidenciālas informācijas projekta dokumentāciju

Ievainojamību meklēšanas procesā cita starpā tiek pārbaudīta šādu galveno ievainojamību veidu klātbūtne:

• koda fragmentu ievadīšana (piemēram, injekcija SQL priekšraksti, operētājsistēmas komandu ieviešana
• nedroši ieviestas autentifikācijas un sesiju pārvaldības procedūras
• starpvietņu skriptēšana
• piekļuves kontroles kļūdas (piemēram, tiešas saites uz objektiem ar konfidenciālu informāciju, direktoriju šķērsošanas ievainojamības)
• nedroša programmatūras konfigurācija (piemēram, iespējojot direktoriju sarakstus)
• konfidenciālas informācijas izpaušana (piemēram, sniedzot lietotājam citu lietotāju personas datus)
• kļūdas, kas ierobežo lietotāja piekļuvi noteiktām funkcijām
• starpvietņu pieprasījuma viltošana
• nepareiza kļūdu apstrāde, kas sniedz papildu informāciju par testējamo sistēmu
• OS un programmatūras izmantošana ar zināmām ievainojamībām
• atvērt novirzīšanu
• ārējo XML entītiju apstrāde
• nepareiza kļūdu apstrāde, kas sniedz papildu informāciju par testējamo sistēmu
• lietojums vienkāršas paroles autentifikācijas laikā

Testēšanas veikšana, izmantojot sociālās inženierijas metodes

Šī darba posma mērķis ir novērtēt klientu darbinieku informētību informācijas drošības jautājumos.

Sociālās inženierijas testēšanas ietvaros uzbrukumi klientu darbiniekiem tiek veikti šādos scenārijos:

• Pikšķerēšana - tiek veikts uzbrukums E-pasts. Uzbrukuma piemērs: darbiniekam uzņēmuma vārdā tiek nosūtīta saite ar “jaunu un ļoti noderīgu pakalpojumu” viņa darbam. Vēstulē ir sniegts pakalpojuma apraksts un tas, kā tieši tam jāpalīdz konkrētam darbiniekam darbā. Tāpat vēstulē tiek lūgts pārbaudīt funkcionalitāti un vai viss darbojas pareizi. Darba mērķis ir panākt, lai darbinieks dotos uz šo pakalpojumu un mēģinātu reģistrēties, izmantojot domēna akreditācijas datus.
• Trojas zirgs - uzbrukums tiek veikts pa e-pastu. Uzbrukuma piemērs: tiek nosūtīts darbinieks izpildāmais fails, savukārt vēstules saturs var atšķirties atkarībā no darbinieka amata: līgums ar vadītāju, kļūdu saraksts programmētājam utt. Darba mērķis ir nodrošināt, lai darbinieks programmu palaistu lokālais dators un fiksēt šādas programmas palaišanas faktu.
• Telefona uzbrukums - uzbrukums tiek veikts caur telefona zvans. Darba mērķis ir iegūt darbinieka uzticību, izdomājot ticamu vāka stāstu un pēc tam apgūstot darbinieka konfidenciālo informāciju vai akreditācijas datus. Leģendas piemērs: “Jauns tehniskais darbinieks. atbalsts veic pirmo pakalpojuma izvietošanas uzdevumu, un tam ir jāpārbauda, ​​vai tas darbojas pareizi. Lūdz darbiniekam palīdzību: piesakieties patstāvīgi vai pasakiet viņam savu lietotājvārdu un paroli.

Rezultātu analīze

Darba rezultāts ir ziņojums, kurā ir šāda informācija.

Pamatrīki, ko izmanto sistēmas drošības pārbaudei, ir rīki sistēmas datu automātiskai apkopošanai un iespiešanās pārbaudei. Mēs ierosinām apsvērt šādu rīku darbības principu, izmantojot Rapid7 Metasploit produkta piemēru no Rapid7, kas ir viens no vadošajiem informācijas drošības analītisko risinājumu ražotājiem, ko augstu novērtē ietekmīgi pētniecības un konsultāciju uzņēmumi, tostarp Gartner un Forrester.

Ievads

Iespiešanās pārbaude (pentest) ir viena no efektīvākajām metodēm drošības sistēmas kvalitātes novērtēšanai. Tas tiek veikts ar mērķi identificēt ievainojamības IT infrastruktūrā, demonstrēt ievainojamību izmantošanas iespējas, kā arī sagatavot ieteikumus to novēršanai. Pārbaudes procedūras tiek veiktas pēc īpašnieka iniciatīvas informācijas sistēma un ir vērsti uz informācijas drošības incidentu novēršanu, ko bieži pavada finansiāli un reputācijas zaudējumi, nepatīkami skaidrojumi ar klientiem un partnerorganizāciju pārstāvjiem, kā arī citas nevēlamas sekas.

IN Krievijas Federācija Būtisks faktors, kas nosaka nepieciešamību veikt iespiešanās testēšanu, ir normatīvās prasības. Pēdējās aizsardzības sistēmas efektivitātes pārbaudi uzskata par ārkārtīgi svarīgu pasākumu, un attiecīgie noteikumi ir iekļauti normatīvajos un metodiskajos dokumentos. Pirmkārt, šajā sakarā ir lietderīgi minēt normatīvos dokumentus, kas aptver ievērojamu skaitu informācijas sistēmu - Krievijas FSTEC rīkojumus Nr. 17 un 21.

Šie dokumenti definē aizsardzības līdzekli “informācijas drošības sistēmas testēšanas veidā, mēģinot nesankcionēti piekļūt (ietekmēt) informācijas sistēmai, apejot tās informācijas drošības sistēmu” sertifikācijas stadijā. Informācijas sistēmu sertifikācija, kas ietver drošības sistēmas efektivitātes pārbaudi, ir pieprasīta arī informācijas sistēmām, kas apstrādā valsts noslēpumus.

Starptautiskā mērogā vēlams atzīmēt maksājumu karšu nozares datu drošības standartu PCI DSS (Payment Card Industry Data Security Standard). Atbilstība PCI DSS standarta noteikumiem ir obligāta visām Visa un MasterCard maksājumu karšu apstrādē iesaistītajām organizācijām: tirgotājiem, apstrādes centriem, pieņēmējiem, izdevējiem un pakalpojumu sniedzējiem, kā arī visām citām organizācijām, kas uzglabā, apstrādā vai pārsūta turētāju. datu kartes un sensitīvi autentifikācijas dati. Standarta noteikumi paredz ievainojamības analīzi un iespiešanās testēšanu gan informācijas sistēmu tīklā, gan ārpus tā. Ārējie un iekšējie iespiešanās testi jāveic vismaz reizi gadā un pēc jebkādām būtiskām infrastruktūras/lietojumprogrammu modifikācijām vai jauninājumiem.

Iespiešanās testēšanu (pentest) var veikt informācijas drošības speciālistu padziļinātās apmācības un praktisko iemaņu apguves ietvaros studentiem, kuri studē ar informācijas drošību saistītās specialitātēs, kā arī testēšanai pie informācijas drošības rīku izstrādātājiem savu produktu.

Acīmredzot visiem šiem mērķiem vispieprasītākais ir integrēts draudu pārvaldības risinājums, kas aptver tīkla drošību, tīmekļa lietojumprogrammu drošību, datu bāzes drošību un iespiešanās pārbaudes stratēģijas un satur funkcionalitāti, kas ir pietiekama, lai atbilstu gan vietējo, gan starptautisko noteikumu prasībām, un izmantot mācību procesā. Šādi risinājumi ietver Rapid7 Metasploit, ko ražo Rapid7, kas dibināts 2000. gadā un ir viens no vadošajiem produktu ražotājiem informācijas drošības sistēmu analīzei un organizēšanai IT vidēs. Svarīga priekšrocība programmatūra Rapid7 nodrošina pārskatāmību par aktīvu un lietotāju drošības stāvokli jebkurā vidē, tostarp virtuālajā un mobilajā, kā arī publiskajos un privātajos mākoņos.

Lai novērtētu Rapid7 Metasploit risinājumu, varat izmantot tā paša ražotāja risinājumu - demo ievainojamu Metasploitable virtuālo mašīnu Ubuntu Linux. Virtuālā iekārta Savietojams ar VMWare, VirtualBox un citām izplatītām virtualizācijas platformām.

Svarīgs palīgs ir tas, ka Rapid7 Metasploit ir saderīgs ar Rapid7 Nexpose ievainojamības skeneri, var sākt tā palaišanu un arī izmantot pēdējās rezultātus.

Apskatīsim vispārīgo procedūru darbam ar Rapid7 Metasploit.

Kā strādāt ar Rapid7 Metasploit

IN vispārējs skats Darbs ar Rapid7 Metasploit sastāv no šādām darbībām:

1. Projekta izveide. Projektā ir darbvieta, kas tiek izmantota, lai izveidotu iespiešanās testu un veicamo uzdevumu konfigurāciju. Katrs iespiešanās tests tiek palaists no sava projekta.
2. Informācijas vākšana. Šajā posmā Rapid7 Metasploit apkopo informāciju par mērķa tīklu: instalēts OS, atveriet portus, darbojas saimniekdatori un procesi. Šajā posmā var izmantot arī Rapid7 Neexpose ievainojamības skeneri. Skenēšanas laikā visi saņemtie dati tiek automātiski saglabāti projektā.
3. Izmantojot ekspluatāciju. Uzbrukumu var veikt manuāli vai izmantojot ekspluatācijas datu bāzi. Tas izmanto tīkla datus, kas iegūti 2. darbībā.
4. Darbības, kas veiktas apdraudētā sistēmā. Pēc piekļuves iegūšanas tiek izmantota ekspluatācijas slodze, ar kuras palīdzību tiek uzsāktas interaktīvas sesijas papildu informācijas vākšanai, kā arī ir iespējams izmantot pēcekspluatācijas moduļus, lai automātiski savāktu operētājsistēmā un lietojumprogrammās saglabātās paroles, ekrānuzņēmumus, attēlus. no tīmekļa kamerām, taustiņsitienu ierakstīšana, vākšana konfigurācijas faili, lietojumprogrammu palaišana utt.

Rapid7 Metasploit izdevumu salīdzinājums

Rapid7 Metasploit ir pieejams vairākos izdevumos, kas atšķiras ar piedāvāto funkciju apjomu un lietošanas licences veidu. Pašlaik ir pieejami šādi produktu izdevumi:

• Ietvars
• kopiena
• Express

Tabulā ir sniegta informācija par to, kuras mērķa funkcijas ir ieviestas katrā produkta izdevumā. Ērtības labad, izmantojot dažādas krāsas, mērķa funkcijas ir sadalītas grupās atbilstoši to galvenajam mērķim:

• Apkopojiet datus par komponentu īpašībām un tīkla ievainojamībām.
• Iespiešanās pārbaude.
• Veikt pikšķerēšanas uzdevumus.
• Tīmekļa lietojumprogrammu testēšana.
• Pārskatu ģenerēšana.
• Kontrole.

1. tabula. Rapid7 Metasploit izdevumu salīdzinājums

Raksturīgs	Pro	Express	kopiena
Skenēšanas datu importēšana (Skenēšanas datu importēšana)	✔	✔	✔
Skenēšana ar noteikšanu (Atklāšanas skenēšana)	✔	✔	✔
Integrācija ar Nexpose ievainojamības pārvaldības sistēmu (Nexpose skenēšanas integrācija)	✔	✔	✔
Eksportēt datus (Datu eksportēšana)	✔	✔	✔
Ekspluatāciju manuāla palaišana (Manuāla izmantošana)	✔	✔	✔
Web interfeiss (tīmekļa saskarne)	✔	✔	✔
Sesiju vadība (sesiju vadība)	✔	✔	✔
Akreditācijas datu pārvaldība (Akreditācijas datu pārvaldība)	✔	✔	✔
Iespiešanās caur stipro punktu (Starpniekservera rakurs)	✔	✔	✔
Moduļi tiek izpildīti pēc kompromisa (Pēcekspluatācijas moduļi)	✔	✔	✔
Sesijas noskaidrošana (Sesijas tīrīšana)	✔	✔	✔
Atlases metode (Brutālu spēku)	✔	✔
Pierādījumu vākšana (pierādījumu vākšana)	✔	✔
Pārbaudes reģistrēšana (Revīzijas ziņojums)	✔	✔
Darbību atskaites (Darbības pārskats)	✔	✔
Ziņošana par apdraudētiem un neaizsargātiem saimniekiem (Pārskats par apdraudētiem un neaizsargātiem saimniekiem)	✔	✔
Pārskati par akreditācijas datiem (Akreditācijas datu pārskats)	✔	✔
Ziņojumi par pakalpojumu veiktspēju (Pakalpojumu pārskats)	✔	✔
Akreditācijas datu atkārtota izmantošana (Akreditācijas datu atkārtota izmantošana)	✔	✔
Mēģinājums apiet antivīrusu (Izvairīšanās no pretvīrusu novēršanas)	✔	✔
Mēģiniet apiet ielaušanās atklāšanas un novēršanas sistēmas (Izvairīšanās no IPS/IDS)	✔	✔
Sesijas restartēšana (sesijas atkārtošana)	✔	✔
Kompromisa tehnoloģiskais process (ekspluatācijas darbplūsma)	✔	✔
Spēlē uzdevumi (Uzdevuma atkārtošana)	✔	✔
Datu marķēšana (Atzīmēšanas dati)	✔
PCI DSS atbilstības ziņojumi (PCI ziņojums)	✔
FISMA atbilstības ziņojumi (FISMA ziņojums)	✔
"Meistars" ātrai iespiešanās pārbaudei (Ātrais PenTest vednis)	✔
"Vednis" ievainojamību pārbaudei (Neaizsargātības pārbaudes vednis)	✔
Integrācija ar Sonar kodu kvalitātes skenēšanas sistēmu (Projekta Sonar integrācija)	✔
"Meistars" pikšķerēšanai (Pikšķerēšanas vednis)	✔
Sociāli tehniskā analīze (Sociālā inženierija)	✔
"Vednis" tīmekļa lietojumprogrammu testēšanai (Tīmekļa lietotņu testēšanas vednis)	✔
Tīmekļa lietojumprogrammu testēšana (tīmekļa lietotņu testēšana)	✔
Iespiešanās caur stipro punktu, izmantojot VPN tunelēšanu (VPN grozāms)	✔
Kravas ģenerators (lietderīgās slodzes ģenerators)	✔
Makro izpildīti pēc kompromisa (Makro pēc izmantošanas)	✔
Pastāvīgas sesijas (Pastāvīgas sesijas)	✔
Meta moduļi (MetaModuļi)	✔
Komandas darbs (Komandas sadarbība)	✔
Uzdevumu ķēdes (Uzdevumu ķēdes)	✔
Dublēšana un atjaunošana (Dublēt un atjaunot)	✔
Pielāgota atskaite (Pielāgoti pārskati)	✔
Sociāli tehniskā ziņošana (Sociālās inženierijas ziņojums)	✔
Tīmekļa lietojumprogrammu novērtējuma ziņojumi (tīmekļa lietojumprogrammu novērtējuma ziņojums)	✔

Metasploit Framework izdevums izceļas ar to, ka tas kalpo par pamatu komerciālu produktu radīšanai. Tas ir atvērtā pirmkoda projekts, kas nodrošina piekļuvi datu bāzei ar dažādu lietojumprogrammu, operētājsistēmu un platformu izmantošanu. Kontrole tiek veikta, izmantojot interfeisu komandrinda. Metasploit Framework lietotājs var izveidot un pievienot jaunus izlietojumus datu bāzei vai izmantot esošos kā papildu rīkus, veicot iespiešanās testus.

Pārējie izdevumi ir komerciāli, tie papildus ievieš pārvaldību, izmantojot tīmekļa saskarni, un, atkarībā no izdevuma, tiek pievienotas noteiktas funkcijas. Pārsvarā šīs papildu funkcijas ir paredzēti, lai automatizētu izplatītus testēšanas uzdevumus: ievainojamības analīzi, sociotehniku, kravas ģenerēšanu, brutālu spēku uzbrukumus.

secinājumus

Rapid7 Metasploit ir plašs klāsts funkcionalitāte. Risinājums var darboties vai nu caur tīmekļa saskarni, vai komandrindas interfeisu – opcija tiek noteikta pēc lietotāja pieprasījuma. Tomēr pilns funkciju komplekts ir pieejams tikai strādājot, izmantojot tīmekļa saskarni. Rapid7 Metasploit atbalsta operētājsistēmas Windows saime un Linux.

Vēl dažas Rapid7 Metasploit atšķirīgās īpašības:

• Iespēja izvēlēties konkrētā gadījuma vajadzībām atbilstošu izdevumu.
• Iespēja izmantot trešo pušu risinājumu ievainojamības analīzes rezultātus.
• Iespēja apmācīt uz īpaši izstrādātas neaizsargātas sistēmas.
• Produkta integrācija (Framework izdevumā) ar Linux izplatījumiem:
  • Kali Linux
  • Atkāpties no Linux (pārtraukta)
  • Pentoo
  • BlackArch
  • Backbox

Rapid7 Metasploit ir vairāki darbības līmeņa ierobežojumi, kurus ir vērts apsvērt:

• Produkta uzstādīšana un turpmāka pareiza darbība ir iespējama tikai pēc ugunsmūra un pretvīrusu atspējošanas.
• Rapid7 Nexpose un Metasploit ieteicams instalēt atsevišķos rīkos datortehnoloģijas. Šajā gadījumā ir iespējams instalēt Rapid7 Metasploit virtuālajā mašīnā.
• Operatīvās dokumentācijas pilna tulkojuma trūkums krievu valodā. Ar ieslēgtu lietošanas instrukciju angļu valoda var atrast ražotāja vietnes sadaļā Metasploit.