Penetračné testovanie je kombináciou metód, ktoré berú do úvahy rôzne systémové problémy a testujú, analyzujú a poskytujú riešenia. Je založený na štruktúrovanom postupe, ktorý krok za krokom vykonáva penetračné testovanie. Nižšie je uvedených sedem krokov penetračného testovania:

Plánovanie a príprava

Plánovanie a príprava začína definovaním cieľov a zámerov penetračného testovania.

Klient a tester spoločne definujú ciele tak, aby obe strany mali rovnaké ciele a porozumenie. Bežné ciele penetračného testovania sú:

• Identifikovať slabé miesta a zlepšiť bezpečnosť technických systémov.
• Zabezpečte IT bezpečnosť externou treťou stranou.
• Zlepšiť bezpečnosť organizačnej/HR infraštruktúry.

Štúdium

Spravodajstvo zahŕňa analýzu predbežných informácií. Tester veľakrát nemá veľa informácií okrem predbežných informácií, teda IP adresy alebo bloku IP adries. Tester začína analýzou dostupných informácií a v prípade potreby požiada užívateľa o získanie Ďalšie informácie, ako sú popisy systému, plány siete atď. Tento krok je svojím spôsobom pasívny penetračný test. Jediným cieľom je získať úplné a podrobné informácie o systémoch.

Otvorenie

V tomto bode penetračný tester pravdepodobne použije automatizované nástroje na skenovanie cieľových aktív, aby odhalil zraniteľné miesta. Tieto nástroje majú zvyčajne svoje vlastné databázy, ktoré poskytujú informácie o najnovších zraniteľnostiach. Tester však zistí

• Zisťovanie siete- napríklad otváranie doplnkové systémy, servery a ďalšie zariadenia.
• Host Discovery- určuje otvorené porty na týchto zariadeniach.
• Servisný výsluch- polling porty na zistenie skutočných služieb, ktoré na nich bežia.

Informácie a analýza rizík

V tejto fáze tester analyzuje a vyhodnocuje informácie zozbierané pred testovacími fázami, aby dynamicky prenikol do systému. Kvôli veľkému počtu systémov a veľkosti infraštruktúry to trvá dlho. Pri analýze berie tester do úvahy nasledujúce prvky:

• Špecifické ciele penetračného testu.
• Potenciálne riziká pre systém.
• Odhadovaný čas potrebný na posúdenie potenciálnych bezpečnostných chýb pre následné aktívne penetračné testovanie.

Zo zoznamu identifikovaných systémov si však tester môže vybrať testovať len tie, ktoré obsahujú potenciálne zraniteľnosti.

Aktívne pokusy o inváziu

Toto je najdôležitejší krok a musí sa robiť s náležitou starostlivosťou. Tento krok zahŕňa rozsah, v akom potenciálne zraniteľnosti objavené počas fázy objavovania predstavujú skutočné riziká. Tento krok by sa mal vykonať, keď je potrebné skontrolovať potenciálne zraniteľné miesta. V prípade systémov, ktoré majú veľmi vysoké požiadavky na integritu, je potrebné pred vykonaním kritických čistiacich postupov dôkladne zvážiť potenciálne zraniteľné miesta a riziká.

Záverečná analýza

Tento krok sa v prvom rade zaoberá všetkými krokmi, ktoré boli doteraz podniknuté (diskutované vyššie), a posúdením existujúcich zraniteľností v podobe potenciálnych rizík. Okrem toho tester odporúča eliminovať zraniteľné miesta a riziká. V prvom rade musí tester zabezpečiť transparentnosť testov a zistených zraniteľností.

Príprava správy

Príprava správy by mala začať všeobecnými testovacími postupmi a potom analyzovať slabé miesta a riziká. Uprednostniť by sa mali vysoké riziká a kritické zraniteľnosti, po ktorých by malo nasledovať nižšie poradie.

Pri dokumentovaní záverečnej správy je však potrebné zvážiť nasledujúce body:

• Všeobecný prehľad penetračného testovania.
• detailné informácie o každom kroku a informáciách získaných počas testovania pera.
• Podrobné informácie o všetkých zistených zraniteľnostiach a rizikách.
• Časti čistiacich a upevňovacích systémov.
• Návrhy pre budúcu bezpečnosť.

Každý majiteľ firmy, IT špecialista a bežný používateľ počítača sa aspoň raz stretol s kybernetickými hrozbami. IN modernom svete sú čoraz mocnejšie a schopné spôsobiť obrovské škody nielen biznisu, ale aj štátu.

Existujú dve kategórie hackerov:

Biele klobúky- pracovať na zaistení bezpečnosti, čeliť nezákonným prienikom.

Čierni hackeri (čierny klobúk)- porušovať zákon, kradnúť osobné údaje, vyprázdniť bankové účty.

Náš tím prevezme úlohu vykonania testov na nájdenie zraniteľností vo vašej podnikovej kancelárskej sieti, na vašich webových stránkach a aplikáciách. A aj s pomocou sociálne inžinierstvo Budeme schopní identifikovať najslabšie chránené oddelenia vo vašej spoločnosti a poskytnúť odporúčania, ako posilniť ochranu.

Čo je súčasťou pentestingu (bezpečnostného testu)?

Testovanie bezpečnosti spoločnosti môže zahŕňať:

• Analýza externej siete a perimetra
• Pentest (penetračný test)
• Testovanie internej siete
• Hľadanie zraniteľností a zneužitia
• Sociálne inžinierstvo
• Testovanie firemných webových stránok
• Testovanie mobilných aplikácií spoločnosti
• Skúšobná správa a odporúčania

Presný zoznam testov je stanovený vo fáze vyjednávania, po preštudovaní potrieb klienta.

Náklady na penetračné testovanie

Externé testovanie podnikovej siete

Cena na vyžiadanie

Penetračný test (pentest)

Cena na vyžiadanie

Testovanie webových a mobilných aplikácií

Cena na vyžiadanie

Sociálne inžinierstvo

Cena na vyžiadanie

Bezpečnostný test na kľúč

Cena na vyžiadanie

Vyšetrovanie počítačovej kriminality

Cena na vyžiadanie

DÔLEŽITÉ

„Bohužiaľ, najčastejšie firmy začínajú rozmýšľať informačná bezpečnosť keď už trpeli. Hackerov nezaujíma veľkosť vašej spoločnosti a jej obrat, ale počet hacknutých spoločností.“

Chráňte svoju spoločnosť pred kybernetickými hrozbami!

Čo je teda pentest?

Testovanie je vyhľadávanie a penetračné testovanie je jednou z odrôd najhĺbkovejšieho a najefektívnejšieho hľadania maximálneho počtu bodov a oblastí s rôznym stupňom zraniteľnosti pre prienik zdrojov a používateľov tretích strán. Takéto prieniky môžu byť vykonané buď so zlým úmyslom alebo nepriamo s cieľom zadať alebo získať určité údaje.

Táto technika môže byť vykonaná samostatne a môže byť zahrnutá do pravidelných alebo jednorazových testovacích systémov na vytvorenie účinných ochranných opatrení proti najširšiemu spektru útokov a prienikov tretích strán.

Etiológia systémovej zraniteľnosti

Strata bezpečnosti môže nastať v rôznych fázach prevádzky akéhokoľvek systému, ale v každom prípade závisí od vplyvu takých faktorov, ako sú:

• konštrukčná chyba,


• nesprávny proces konfigurácie pri výbere nefunkčnej konfigurácie kombinácie softvéru a zariadení spojených so systémom,


• bezpečnostné chyby vo výstupnom systéme siete. Čím vyššia je úroveň zabezpečenia sieťové pripojeniečím nižšia je pravdepodobnosť negatívneho vplyvu a možnosť preniknutia škodlivého vplyvu do systému,


• ľudský faktor, vyjadrený výskytom zlomyseľnej alebo náhodnej chyby pri návrhu, používaní alebo údržbe siete počas osobnej alebo tímovej práce s ňou,


• komunikačná zložka vyjadrená v nechránenom prenose dôverných údajov,


• neprimerane vysoký stupeň zložitosti systému. Vždy je jednoduchšie získať kontrolu nad stupňom jeho zabezpečenia, ako sledovať kanály úniku údajov z neho. Čo je oveľa jednoduchšie robiť v jednoduchých a funkčných systémoch ako v ich zložitých náprotivkoch,


• nedostatok vedomostí. Nedostatok primeranej úrovne odbornej prípravy v otázkach bezpečnosti medzi odborníkmi priamo alebo nepriamo súvisiacimi s používaním systému.

Testovanie sa líši od hodnotenia zraniteľnosti

Napriek podobnosti účelu ich použitia. A to vyhľadávanie a organizovanie najbezpečnejšieho softvérového produktu. Fungujú inak.

Penetračné testovanie sa vykonáva prostredníctvom skutočného monitorovania, ktoré sa vykonáva manuálne alebo pomocou určitých vysoko špecializovaných systémov a nástrojov. Čo sa deje prostredníctvom emulácie škodlivých vplyvov, čo umožňuje identifikovať oblasti zraniteľnosti.

Určenie stupňa zraniteľnosti vychádza zo starostlivého skúmania pracovných postupov s cieľom identifikovať možné medzery, cez ktoré môžu údaje uniknúť počas určitých typov útokov. To pomáha nájsť oblasti náchylné na vplyv hackerov, čo určuje stupeň celkovej bezpečnosti testovaného systému. Počas jeho implementácie sa identifikujú, opravia a odstránia identifikované „slabé stránky“.

Stanovenie stupňa zraniteľnosti je teda zavedený pracovný postup. A penetračné testovanie funguje „podľa situácie“. spoločný cieľčo najsilnejšie ovplyvniť systém, aby sa identifikovali medzery v jeho ochrane.

Načo to je

Umožňuje vám nájsť a opraviť medzery v bezpečnostnom systéme programu, ktorý používate. Ide o proaktívnu prácu s cieľom zabrániť možnosti preniknutia negatívnych vplyvov tretích strán bez ohľadu na jej ciele a úroveň implementácie. To pomáha vytvoriť najkompetentnejší systém ochrany pred očakávanými, a nielen existujúcimi hrozbami zvonku.

Takéto monitorovanie umožňuje:

• nájsť slabé miesta/slabé miesta v systéme skôr, ako budú vystavené vonkajším negatívnym vplyvom a spôsobia únik údajov. Toto je skvelá alternatíva časté aktualizácie systémov. Pretože tieto ovplyvňujú kompatibilitu a rýchlosť prevádzky systému, ktorý bol predtým ladený, bez toho, aby ich bral do úvahy. Je lepšie kontrolovať aktualizácie, ako ich vykonávať nekontrolovane;


• vyhodnotiť bezpečnostný nástroj uvedený do prevádzky. Umožňuje vývojárom získať realistické posúdenie ich kompetencie, ako aj úrovne súladu s aktuálnymi bezpečnostnými štandardmi. Okrem toho vám penetračné testovanie umožňuje identifikovať obchodné riziká, ako aj ďalšie komponenty ochrany, ktoré sa môžu znížiť počas kompromisu medzi kombinovaným používaním autorizovaných a novo aktivovaných softvérových komponentov. Umožňuje štruktúrovať a uprednostňovať, znižovať a eliminovať mieru zistených rizík a negatívneho dopadu možných hrozieb;
• identifikovať riziká na zlepšenie existujúcich bezpečnostných noriem.

Proces monitorovania

Penetračné testovanie sa dnes môže vykonávať pomocou mnohých techník, ale hlavné a najvýhodnejšie sú:

Manuálne testovanie sa vykonáva podľa nasledujúceho algoritmu

• plánovanie alebo starostlivé zhromažďovanie údajov s prihliadnutím na potreby, rozsah použitia, účely nadchádzajúceho monitorovania s prihliadnutím na úroveň existujúcej ochrany. Môžu sa tu uviesť aj špecifické oblasti na sledovanie stupňa ochrany, typ požadovaného/plánovaného vplyvu a ďalšie požiadavky na budúce monitorovanie.


• spravodajské manipulácie zamerané na vyhľadávanie a kumuláciu prijatých údajov o systéme a cudzích, kombinovaných, ochranných mechanizmoch potrebných na cielenie a špeciálne organizované útoky na určené bloky alebo celý systém. Cieľ: získanie čo najefektívnejšieho testovania. Preto existujú dve odrody: pasívna a aktívna, kde prvá sa vykonáva bez aktívneho vplyvu na systém a druhá je jeho úplným opakom,


• analýzy zistených výsledkov. Táto fáza vám umožňuje identifikovať najzraniteľnejšie body, ktoré budú použité na ďalšie agresívne prenikanie do systému,


• využitie získaných výsledkov. Na základe identifikovaných miest „ľahkého prieniku“ ochranných systémov sa vykoná pripravený útok na softvér, a to vo forme vonkajších aj vnútorných útokov. Vonkajšie vplyvy sú hrozbou pre systém zvonku, kde dochádza k emulácii priamych vonkajších hrozieb ovplyvňujúcich systém a špecializovaných pokusov o neoprávnený prístup k údajom systému pred tým chráneného. Vnútorné útoky predstavujú druhý stupeň dopadu, ktorý začína po úspešnom prieniku do systému zvonku. Škála cieľov ich ďalšieho pôsobenia je široká a pestrá. Hlavným je kompromis systému, ktorým prenikli,


• výsledky prevádzky umožňujú identifikovať ciele každej identifikovanej hrozby a určiť jej potenciál pre interné podnikové procesy systému ako celku a najmä jeho jednotlivých komponentov,
• záverom je blok dokumentácie vykonanej práce a dosiahnutých výsledkov, popisujúci potenciálne hrozby a mieru ich negatívneho vplyvu pri dosahovaní cieľov dopadu.



Testovanie pomocou automatizovaných nástrojov je nielen efektívne, ale aj veľmi užitočné pri používaní vysoko špecializovaných nástrojov. Je vhodný na použitie, čas je minimálny a jeho účinnosť umožňuje vytvárať „krištáľovo čisté“ závery o vykonanej práci.




Zoznam najpopulárnejších nástrojov zahŕňa: Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af. Kolekcie systémov Linux ponúkajú veľa zaujímavých a funkčných vecí.




Pre prácu si vyberte nástroje, ktoré spĺňajú určité potreby, napríklad:

• praktickosť spustenia, používania a ďalšej údržby,


• jednoduchosť skenovania,


• úroveň automatizácie pri identifikácii zraniteľností,


• stupeň dostupnosti testovania predtým objavených oblastí slabých pre vonkajšie útoky,


• stupeň schopnosti vytvárať podrobné a jednoduché reportovacie dokumenty o vykonanej práci a dosiahnutých výsledkoch.



Kombinácia vyššie uvedených metód dohromady. Ide o optimálnu metódu penetračného testovania, pretože dokáže spojiť výhody oboch metód a stať sa čo najrýchlejšou a najpodrobnejšou.

Typy penetračných testov

Rozdelenie sa robí v závislosti od použitých nástrojov a monitorovacích objektov:



• sociálne alebo ľudské, kde sa spájajú ľudia, ktorí môžu na diaľku alebo lokálne prijímať potrebné informácie a jasne ich spracovať,


• softvérová aplikácia používaná na identifikáciu bezpečnostných chýb. Súčasne sa využíva viacero možností webových ponúk a špecializovaných služieb využívanej služby alebo zdrojov tretích strán,


• sieťový zdroj, ktorý vám umožňuje identifikovať možnosť neoprávneného prístupu hackerov alebo prieniku neoprávneného používateľa,


• klientska časť, používaná v prac špeciálne aplikácie nainštalovaný na webovej stránke alebo aplikácii klienta,


• vzdialený prístup vykonávané testovaním VPN alebo podobným objektom, ktorý umožňuje správny prístup do tohto systému,


• bezdrôtové pripojenie, má za cieľ testovať bezdrôtové aplikácie, služby a ich nástroje.



Klasifikácia metód monitorovania sa vykonáva aj s prihliadnutím na typ prístupu k jej implementácii. Čo vám umožňuje zdôrazniť:

• biela, kde má tester prístup k údajom o funkciách a nástrojoch testovaného systému. Čo robí jeho prácu čo najefektívnejšou a najproduktívnejšou. Pretože vlastníctvo takýchto informácií vám umožňuje porozumieť zložitosti a vlastnostiam testovaného systému, a preto vykonávať testovanie s maximálnym ponorom,


• čierna umožňuje prístup k základným alebo vyšším informáciám o systéme. Tester sa cíti skôr ako hacker než ako zamestnanec pôsobiaci v rámci systému. Vysoký stupeň náročnosti práce túto metódu vyžaduje čas a dôkladné znalosti, ako aj skúsenosti s jeho realizáciou. Preto existuje vysoká pravdepodobnosť chýbajúceho alebo neúplného testovania,


• šedý alebo obmedzený prístup k systémovým informáciám dostatočný na vytvorenie simulovaného externého útoku.



Limity penetračného testovania

Existuje mnoho obmedzení rozsahu takéhoto vplyvu, ale medzi hlavné patria:

• krátke časové obdobie s vysokými počiatočnými nákladmi na tento postup,


• obmedzenie počtu testov za jednotku času,


• možnosť zlyhania prieniku na strane systému,


• vysoký stupeň zraniteľnosti prijatých údajov.



Záver

Moderní hackeri s neustále aktualizovanou sadou programov a efektívne nástroje vykonávať efektívne útoky. Preto často vstupujú do záujmových systémov s priamym úmyslom ohroziť sieť alebo využiť jej zdroje. Monitoring narušenia je v tomto prípade najúčinnejší ako nástroj na odhaľovanie zraniteľností v akýchkoľvek bezpečnostných systémoch. A umožňuje vám to minimalizovať potenciál externých hrozieb pre softvér ako celok.

Posledných pár rokov bolo bohatých na udalosti, ktoré prudko zvýšili záujem verejnosti o tému hackerských útokov. Škandál zahŕňajúci hackovanie systémov Demokratickej strany USA, deaktiváciu systémov energetickej infraštruktúry ministerstva financií a ministerstva financií Ukrajiny, ransomvérové ​​vírusy, ktoré nielen šifrujú súbory, ale blokujú aj prevádzku priemyselných a zdravotníckych zariadení. , MIRAL, obrovský botnet z domáce spotrebiče, ktorá ponechala polovicu USA a Libériu bez komunikácie, útočníci hromadne vypytovali banky ako vlci bezbranných oviec... Dokonca aj SWIFT je napadnutý! Hackeri z filmových geekov sa stali súčasťou reality miliárd ľudí.

Je celkom prirodzené, že podnikanie dnes primárne investuje zdroje do praktickej bezpečnosti, na rozdiel od formálneho plnenia regulačných požiadaviek s minimálnymi prostriedkami. A je tiež prirodzené, že si chce overiť, ako efektívne chráni vybudovaný bezpečnostný systém pred online žralokmi.

Tentokrát sme sa rozhodli zamerať výlučne na praktické aspekty informačnej bezpečnosti (IS) súvisiace s počítačovými útokmi a priamou ochranou proti nim. Za hackovanie vykonávané „bielymi klobúkmi“, t.j. špecialisti, ktorí legálne napodobňujú činy útočníkov, používajú termín „penetračný test“ (pentest). Pod týmto pojmom sa skrýva viacero oblastí bezpečnostného výskumu a každá z nich má svojich špecialistov. V tomto článku pochopíme, čo je to pentest, prečo je potrebný a kde leží hranica medzi hackerským útokom a penetračným testovaním.

Pentest je v podstate jedným z typov auditu informačnej bezpečnosti. A to je jeho hlavný rozdiel od skutočného hackovania. Hacker hľadá najkratšiu cestu na ovládanie systémov obete. Ak sa na obvode nájde diera, útočník sa sústredí na upevnenie a rozvinutie útoku dovnútra. A pentester, ktorý dostal príkaz vykonať testovanie externej siete, musí dôsledne skúmať hostiteľa po hostiteľovi, aj keď už bolo nájdených veľa dier. Ak sú hostitelia rovnakého typu (napríklad 1000 rovnakých pracovných staníc), výskumník samozrejme môže urobiť kontrolnú vzorku, ale je neprijateľné preskočiť zásadne odlišné systémy. Pre zákazníka je to asi najjednoduchší spôsob, ako identifikovať nekvalitný pentest.

Pentest nenahrádza plnohodnotný audit informačnej bezpečnosti. Vyznačuje sa úzko zameraným pohľadom na skúmané systémy. Pentest sa v podstate zaoberá dôsledkami, a nie príčinami nedostatkov informačnej bezpečnosti. Prečo to vôbec vykonávať? Keď priemysel vyrába nový model vojenského vybavenia, inžinieri starostlivo vypočítajú vlastnosti pancierovania a charakteristiky zbraní, ale počas vojenského preberania sa vybavenie stále presúva na cvičisko, strieľa sa naň, vyhodí sa do vzduchu atď. Experiment je kritériom pravdy. Pentest nám umožňuje pochopiť, či sú naše procesy informačnej bezpečnosti postavené tak, ako si myslíme, či sú naše bezpečnostné systémy spoľahlivé, či je konfigurácia na serveroch správna, či rozumieme ceste, ktorou sa skutočný hacker vyberie. Možno teda nadobudnúť dojem, že pentesting je nevyhnutný pre spoločnosti, ktoré už do informačnej bezpečnosti veľa investovali. Teoreticky je to pravda, ale v praxi je to často úplne inak.

Prišiel som s nasledujúcim pentestovým vzorcom:

Výskum je najzrejmejšou časťou pentestu. Presne ako vo filmoch: podivní chlapíci v mikinách v noci ničia IT obranu. V skutočnosti je všetko často o niečo prozaickejšie, ale tento obrázok umožňuje pentesterom nedodržiavať firemný dress code.

Reporting zvyčajne nie je obľúbenou časťou práce penetračného testera, ale je mimoriadne dôležitý. Objednávateľ diela musí dostať podrobný popis všetkých úspešných aj neúspešných pokusov o prienik, jasný popis zraniteľností a čo je veľmi dôležité, odporúčania na ich odstránenie. Do poslednej časti je racionálne zapojiť špecializovaných špecialistov na informačnú bezpečnosť, pretože vedieť to prelomiť vôbec neznamená vedieť to správne a bezpečne opraviť v realite firemnej IT infraštruktúry.

A poslednou zložkou, pre ktorú sa často organizuje celý pentest, je šou. Takýto audit je z hľadiska prehľadnosti rádovo lepší ako ktorýkoľvek iný, najmä pre neprofesionálov. Toto Najlepšia cesta preukázať nedostatky informačnej bezpečnosti vedeniu spoločnosti formou prístupnou aj laikom. Krátke (niekoľko strán) zhrnutie s naskenovaním pasu generálneho riaditeľa, titulná strana dôverná správa a zákaznícka základňa môžu priniesť viac výhod pre bezpečnosť informácií spoločnosti ako celá 200-stranová správa, ktorá nasleduje. Pentesty si preto často objednávajú firmy, ktoré sa informačnou bezpečnosťou doteraz veľmi nezaoberali a biznis, a často aj IT, nechápu závažnosť existujúcich rizík.

Testovacie parametre

Pentesty možno zaradiť do najviac rôzne cesty. Zameriame sa len na tie, ktoré majú praktickú hodnotu pri konfigurácii pentestu pre seba.

Cieľ útoku stanovený zákazníkom sa môže značne líšiť od pentestu k pentestu. „Stačí nás hacknúť“ zvyčajne znamená prevziať kontrolu nad IT infraštruktúrou (práva správcu domény, sieťové vybavenie), ohrozenie obchodných systémov a dôverných informácií. A sú tu úzko zacielené pentesty. Napríklad v rámci certifikácie požiadaviek na bezpečnosť údajov kariet PCI DSS je účelom každoročného povinného pentestu kompromitovať údaje o karte. Hneď v prvý deň práce môže byť sieť banky úplne zachytená, ale ak nepadne posledná bašta s tajnými údajmi, organizácia úspešne prejde testom.

Model vedomostí o systéme určuje východiskovú pozíciu penetračného testera. Od úplné informácie o systéme ( Biela krabica), kým úplne chýba (čierna skrinka). Často existuje aj stredná možnosť (Sivý box), kedy napríklad pentester napodobňuje akcie neprivilegovaného používateľa, ktorý má nejaké údaje o systéme. Môže to byť obyčajný úradník, partnerská spoločnosť, klient s prístupom Osobná oblasť a tak ďalej. White box je skôr audit ako klasický pentest. Používa sa, keď potrebujete podrobne naštudovať bezpečnosť v úzkom priestore. Testuje sa napríklad nový zákaznícky portál. Výskumník má k dispozícii všetky informácie o systéme, často zdrojový kód. To pomáha podrobne študovať systém, ale len ťažko simuluje skutočné útoky. Zákazníci Black box pentest chcú získať kompletnú simuláciu útoku hackera, ktorý nemá dôverné informácie o systéme.

Znalostný model sa silne prekrýva s konceptom modelu narušiteľa. Kto na nás útočí: externý hacker, insider, administrátor? Toto rozdelenie je veľmi svojvoľné. Kompromis pracovná stanica Z technického hľadiska bežný používateľ alebo dodávateľ okamžite zmení externého hackera na interného votrelca.

Úroveň informovanosti špecialistov informačnej bezpečnosti určuje, kto vie o vykonávanej práci a do akej miery. Často sa okrem vybavenia testuje aj personál, takže prácu koordinuje riaditeľ informačnej bezpečnosti alebo IT a správcovia veria, že bojujú so skutočnými hackermi, ak si, samozrejme, útok čo i len všimnú. Takéto kybernetické cvičenia umožňujú posúdiť nielen prítomnosť zraniteľností v systémoch, ale aj vyspelosť procesov informačnej bezpečnosti, úroveň interakcie medzi oddeleniami atď. Presným opakom je napodobňovanie akcií útočníka s cieľom trénovať obranné systémy. V tomto prípade pentester pracuje na malej ploche a administrátori zaznamenávajú reakcie bezpečnostných nástrojov a IT systémov, upravujú nastavenia, pripravujú pravidlá pre SIEM atď. Napríklad sa simuluje situácia, keď hacker už prenikol do uzavretého segmentu. Ako zvýši svoje privilégiá v systémoch? Pentester pracuje jeden po druhom na všetkých jemu známych vektoroch útoku, aby zabezpečil čo najkompletnejšie školenie bezpečnostných systémov.

Typy útokov

Existuje toľko klasifikácií typov útokov, koľko je pentesterov. Nižšie uvediem klasifikáciu základných útokov, ktoré používame. Samozrejme, najkompletnejší pentest je útok všetkými možnými smermi. Ale obmedzenia rozpočtu, času, rozsahu a posledných úloh vás nútia vybrať si.

Pentest externej infraštruktúry - analýza perimetra siete z internetu. Pentester sa pokúša ohroziť dostupné sieťové služby a ak je to možné, rozvinúť útok vo vnútri siete. Mnohí veria, že ide o napodobeninu skutočného útoku, ktorého cieľom je preniknúť zvonku do siete spoločnosti. V skutočnosti útočníci dnes prekonávajú sieťový obvod v 80 – 90 % prípadov pomocou metód sociálneho inžinierstva. Nie je potrebné vlámať sa do múrov pevnosti, ak je pod nimi nádherný tunel. Aj tu sa však často vyskytujú diery. Napríklad nedávno sme vykonali práce pre veľký letecký závod, počas ktorých aj v štádiu automatickej analýzy skener uhádol heslo do systému diaľkové ovládanie APCS. Nedbalosť dodávateľa, ktorý zabudol zakázať vzdialený prístup, umožnila hackerovi rádovo zvýšiť tlak v potrubiach s technickými kvapalinami. So všetkým, čo k tomu patrí, doslova a do písmena.

Pentest je ako vyšetrenie u zubára: je lepšie ho vykonávať pravidelne, aby sa predišlo problémom v počiatočných štádiách.

Tieň IT

K prienikom často dochádza pomocou systémov, ktoré sú mimo dosahu IT. Všetky servery na perimetri boli aktualizované, ale zabudli na IP telefóniu alebo video monitorovací systém. A hacker je už vnútri. Pre takú infraštruktúru, ktorá administrátorom z oka vypadla, existuje špeciálny výraz – Shadow IT. Gartner odhaduje, že do roku 2020 bude až tretina všetkých hackov zahŕňať Shadow IT. Podľa nás je to úplne reálny odhad.

Napríklad jedného dňa náš pentester našiel neaktualizované systémy call centra na dokonale chránenom perimetri banky, cez ktoré boli za 2 dni úplne kompromitované všetky hlavné bankové AS systémy. Ukázalo sa, že za ne nezodpovedalo IT oddelenie, ale telefonisti. V inom prípade bola vstupným bodom pre pentest sieť recepčných, úplne izolovaná od firemnej. Predstavte si prekvapenie zákazníka, keď o pár dní neskôr pentester oznámil, že sieť bola úplne zachytená. Podarilo sa mu hacknúť neaktualizovanú tlačiareň, nahrať do nej shell a získať prístup k VLAN na správu tlačiarne. Tým, že ich všetky skompromitoval, pentester získal prístup do všetkých kancelárskych segmentov spoločnosti.

Pentest internej infraštruktúry simuluje akcie insidera alebo infikovaného uzla v rámci siete. Sieť musí byť vybudovaná tak, aby kompromitácia jednotlivých pracovných staníc alebo serverov neviedla k úplnému rozpadu obrany. V skutočnosti vo viac ako polovici prípadov v našej praxi neprejde od práv „prístup k sieťovej zásuvke“ na „správcu domény“ viac ako jeden pracovný deň.

Sieť spoločnosti môže byť veľmi veľká, takže v niektorých prípadoch by mal zákazník jasne definovať ciele útoku pre pentester. Napríklad prístup k SAP a finančným dokumentom označeným ako „Dôverné“. To umožní pentesterovi tráviť čas efektívnejšie a simulovať skutočný vlastný hackerský útok.

Webové zdroje predstavujú z pohľadu pentestingu samostatný svet s obrovskou škálou rôznych technológií a špecifických útokov. Je jasné, že web možno chápať ako čokoľvek, čo má prístup do siete. Máme tu na mysli rôzne webové stránky, portály a špecifické API prístupné zo siete. Prax ukazuje, že v priemere firme zaberie analýza celého obvodu siete menej času ako jedna webová stránka, najmä ak má nejaké interaktívne prvky, osobný účet atď. Táto oblasť zažíva skutočný boom, predovšetkým vďaka rozvoju e-business bánk a masovému vstupu retailu na internet.

Hlavným výsledkom útoku na webový zdroj je zvyčajne kompromitácia údajov z DBMS a možnosť útoku na klientov (napríklad rôzne typy XSS sa nachádzajú na weboch každej druhej banky). O niečo menej často vám ohrozenie webového servera umožňuje preniknúť do samotnej siete spoločnosti, ale často, ak sú už hľadané údaje kompromitované, nemusí to byť pre útočníka potrebné.

Pri analýze webu je dôležité skontrolovať nielen technickú časť, ale aj samotnú logiku fungovania a implementácie biznis funkcií. Stále môžete niekedy získať 99% zľavu v internetovom obchode alebo použiť niekoho iného bonusové body, mierne upravuje riadok požiadavky na server v paneli s adresou.

Útoky na web možno vykonávať aj vo vnútri siete, pretože bezpečnosť je tu interné zdroje zvyčajne sa o tom neuvažuje, ale v skutočnosti väčšina hackerov útočí na infraštruktúru ako prvá, pretože je to najkratšia cesta k správcovi domény. Zaberajú web, keď nič iné nefunguje alebo keď sa potrebujú dostať do izolovaných segmentov siete.

Rastúci záujem o testovanie odolnosti voči DDoS bol obzvlášť viditeľný v posledných rokoch. Informácie o veľkých útokoch sa neustále objavujú v tlači, ale záležitosť sa neobmedzuje len na ne. V segmente online maloobchodu sa napríklad počas vrcholných výpredajov (pred sviatkami) vyskytujú útoky takmer nepretržite. Čo robiť s primitívnymi útokmi zameranými na vyčerpanie komunikačného kanála alebo zdrojov servera odosielaním obrovských objemov prevádzky je vo všeobecnosti jasné. Je zaujímavejšie študovať odolnosť zdroja voči útokom na úrovni aplikácie. Dokonca aj jeden klient, ktorý generuje relatívne malý počet špecifických požiadaviek na webovú stránku, ju môže zlyhať. Napríklad špecifické dopyty v poli vyhľadávania na stránke môžu úplne zničiť back-end.

Sociálne inžinierstvo, t.j. Využívanie ľudskej nepozornosti, nepozornosti alebo nedostatočného tréningu na hackovanie sa dnes stalo najpopulárnejším spôsobom prieniku do firemnej siete.

Okrem toho existuje názor, že tento šrot nemá žiadne využitie. Tento výraz v sebe spája obrovské množstvo techník vrátane odosielania podvodných správ poštou, telefónom a osobnou komunikáciou na získanie prístupu k zariadeniu alebo systémom, rozhadzovanie flash diskov so škodlivými prílohami v blízkosti kancelárie obete a mnoho ďalších.

Útoky na Wi-Fi sa mylne pripisujú internému pentestingu. Ak váš smartfón nezachytí firemnú Wi-Fi mimo vchodu, nezaručuje to, že sa k nej útočníci nedostanú. Smerová anténa z eBay v cene 100 dolárov nám umožnila vykonávať prácu zo vzdialenosti viac ako kilometer od prístupového bodu. V pentestingu sa Wi-Fi nie vždy považuje za bod prieniku do siete. Častejšie sa používa na útoky na používateľov. Napríklad pentester zaparkuje pri vchode do podniku pred začiatkom pracovného dňa a nasadí sieť s rovnakým názvom (SSID) ako podniková Wi-Fi. Zariadenia v taškách a vreckách zamestnancov sa pokúšajú pripojiť k známej sieti a preniesť… prihlasovacie meno domény a heslo na overenie. Pentester potom použije tieto úniky na prístup k e-mailom používateľov, serverom VPN atď.

Analýza mobilných aplikácií je pre útočníka zjednodušená tým, že sa dajú jednoducho stiahnuť z obchodu a podrobne preskúmať v sandboxe, pričom sa obnoví zdrojový kód. Pri bežných webových zdrojoch sa o takomto luxuse môže len snívať. To je dôvod, prečo je tento vektor útoku dnes taký populárny. Mobilní klienti V súčasnosti sú veľmi bežné nielen medzi bankami a retailom. Sú všade prepustení a bezpečnosť je to posledné, na čo myslia.

Štúdium mobilnej aplikácie možno bežne rozdeliť do 3 komponentov: analýza obnoveného zdrojového kódu pre bezpečnostné diery, štúdium aplikácie v karanténe a analýza metód interakcie medzi aplikáciou a serverom (obsah balíka, API , zraniteľnosti samotného servera). Nedávno sme mali prípad, keď API na serverovej strane aplikácie mobilného bankovníctva fungovalo tak, že bolo možné vygenerovať paket, ktorý spôsobil prevod ľubovoľného množstva peňazí z akéhokoľvek bankového účtu na akýkoľvek iný účet. A to nebol výskum pred spustením aplikácie – tá sa vyrábala už dlho. Mnoho podvodných schém sa dnes realizuje aj pomocou mobilných aplikácií, keďže na boj proti podvodom sa zabúda ešte častejšie ako na informačnú bezpečnosť.

Nie je úplne správne považovať analýzu zdrojového kódu za pentest, najmä ak zákazník predkladá zdrojové kódy na prieskum v otvorenej forme. Ide skôr o audit zabezpečenia aplikácie v bielej skrinke. Táto práca sa však často vykonáva v spojení s pentestingom, aby sa zabezpečila vyššia úroveň detekcie zraniteľnosti, takže tu stojí za zmienku. Pentest vám umožňuje potvrdiť alebo vyvrátiť chyby zistené pri analýze kódu (napokon v špecifickej infraštruktúre nie je možné skutočne využiť všetky bezpečnostné problémy). To výrazne znižuje počet falošných poplachov, ktoré trápia analýzu kódu, najmä automatizovanú. Zároveň sa v dôsledku analýzy kódu často nájdu diery, o ktorých pentester neuhádol.

Podľa našich skúseností je najčastejšie objednávaná analýza kódu mobilných aplikácií a webových služieb, pretože sú najviac náchylné na útoky.

Pentest je ako vyšetrenie u zubára: je lepšie ho vykonávať pravidelne, aby sa predišlo problémom v počiatočných štádiách

Pentest obmedzenia

Hlavnými obmedzeniami, ktoré odlišujú pentest od skutočného útoku a sťažujú bielym klobúkom, sú trestný zákonník a etika. Pentester napríklad najčastejšie nemôže útočiť na systémy partnerov zákazníka, domáce počítače zamestnancov či infraštruktúru telekomunikačných operátorov, nepoužíva zastrašovanie, vyhrážky, vydieranie, podplácanie a iné veľmi účinné metódy zločincov v sociálnom inžinierstve. O to presvedčivejšie sú výsledky úspešného prieniku v rámci „čistého“ pentestu. Ak váš pentester v rámci svojej práce poruší zákon, desaťkrát si rozmyslite, či by ste takého človeka mali pustiť k vašim kľúčovým systémom.

Konečne

Pentest, podobne ako lekárske vyšetrenie, väčšina štandardov odporúča vykonať aspoň raz ročne. Zároveň je dobré pravidelne meniť špecialistov, ktorí prácu vykonávajú, aby sa predišlo rozmazaniu pohľadu a posúdili bezpečnosť z rôznych uhlov pohľadu. Koniec koncov, každý špecialista alebo tím rozvíja určitú špecializáciu do jedného alebo druhého stupňa.

Pentesting je čas, náklady a stres pre bezpečnostných profesionálov, ale je ťažké nájsť vizuálnejší a realistickejší spôsob hodnotenia bezpečnosti IT infraštruktúry. V každom prípade je lepšie, ak dieru nájde zmluvný špecialista, ako hacker. Koniec koncov, prvý často končí pre službu informačnej bezpečnosti pridelením dodatočných finančných prostriedkov na bezpečnosť a druhý - hľadanie nového zamestnania.

Penetračné testovanie je metóda hodnotenia bezpečnosti firemnej IT infraštruktúry prostredníctvom autorizovaného modelovania útokov narušiteľov.

Zistite si cenu testovania

×

Vyplňte formulár spätnej väzby, bude vám zaslaný dotazník na určenie ceny služby

Zachovanie dôverných informácií a reputácie spoločnosti závisí od toho, ako spoľahlivo je IT infraštruktúra chránená pred útočníkmi. Preto je také dôležité overiť si jeho bezpečnosť v praxi. Často aj optimálna sada bezpečnostných nástrojov môže mať nesprávne konfiguračné nastavenia, čo vedie k zraniteľnostiam a zvyšuje pravdepodobnosť implementácie hrozieb.

Práce penetračného testovania sú zamerané na:

Získanie nezávislého a komplexného hodnotenia súčasnej úrovne bezpečnosti.

Získanie nezávislého hodnotenia informovanosti zamestnancov o otázkach bezpečnosti informácií.

Počas práce sa vykonáva externá a interná bezpečnostná analýza a testovanie pomocou metód sociálneho inžinierstva.

Problémy vyriešené pri vykonávaní bezpečnostnej analýzy:

• Identifikácia slabých miest informačnej bezpečnosti a spôsoby ich využitia.
• Kontrola možnosti prieniku z externých sietí do lokálnej počítačovej siete.
• Vypracovanie odporúčaní na zlepšenie úrovne bezpečnosti odstránením zistených zraniteľností.

Ak akcie (napríklad využitie určitých slabých miest) môžu viesť k zlyhaniu prevádzky skúmaných zdrojov, potom sa takáto práca vykoná až po dodatočnom schválení. V prípade potreby, v závislosti od zvoleného pracovného scenára, sa po testovaní vykonajú práce na elimináciu negatívneho vplyvu na zdroje.

Ak sa počas práce na bezpečnostnej analýze rozhodne o potrebe okamžite odstrániť identifikované zraniteľnosti, prijmú sa tieto opatrenia:

• zaznamenávanie výsledkov zneužitia zraniteľnosti (vo forme snímok obrazovky, záznamu akcií špecialistov, denníkov prevádzky systému atď.)
• určenie potreby a dohodnutie spôsobov eliminácie zraniteľnosti
• odstránenie zraniteľnosti

Etapy testovania

Pri vykonávaní bezpečnostnej analýzy sa používajú univerzálne skenery zraniteľností na detekciu zraniteľností v aplikáciách, OS a sieťovej infraštruktúre, ako aj špecializovaný softvér. Práce na penetračnom testovaní sa vykonávajú v troch etapách a zahŕňajú tieto etapy:

Fáza 1 – analýza vonkajšej bezpečnosti:

• Vypracovanie plánu na vykonanie analýzy vonkajšej bezpečnosti a jeho odsúhlasenie s pracovnou skupinou

2. fáza – analýza vnútornej bezpečnosti:

Práce sa vykonávajú u zákazníka.

• Vypracovanie plánu analýzy vnútornej bezpečnosti a jeho odsúhlasenie s pracovnou skupinou
• Analýza výsledkov, príprava správy a jej schválenie pracovnou skupinou

3. fáza – testovanie pomocou metód sociálneho inžinierstva:

Práce sa vykonávajú na diaľku pomocou externých dátových sietí (internet).

• Vypracovanie plánu testovania pomocou metód sociálneho inžinierstva a jeho odsúhlasenie s pracovnou skupinou
• Analýza výsledkov, príprava správy a jej schválenie pracovnou skupinou

Vykonávanie externej bezpečnostnej analýzy

Účelom tejto fázy práce je otestovať schopnosť útočníka získať neoprávnený prístup k zdrojom a dôverným informáciám.

Bezpečnostná analýza sa vykonáva pomocou modelu „čiernej skrinky“ (chýbajúci autorizovaný prístup, počiatočné konfiguračné údaje a použité opatrenia na bezpečnosť informácií).

V rámci externej bezpečnostnej analýzy sa vykonávajú tieto typy prác:

• zber verejne dostupných informácií o externých zdrojoch prístupných z externých dátových sietí
• vyhľadávanie zraniteľných miest zdrojov a ich komponentov infraštruktúry pomocou bezpečnostných skenerov a špecializovaného softvéru

• skriptovanie medzi stránkami
• falšovanie žiadostí medzi stránkami
• otvorené presmerovanie
• nesprávne spracovanie chýb, ktoré poskytuje dodatočné informácie o testovanom systéme

Vykonávanie internej bezpečnostnej analýzy

Účelom tejto fázy práce je otestovať schopnosť útočníka vykonať neoprávnený prístup (ďalej len ASD) k zdrojom a dôverným informáciám.

Bezpečnostná analýza sa vykonáva pomocou modelu „šedej skrinky“ (poskytuje autorizovaný prístup do systémov).

V rámci analýzy vnútornej bezpečnosti sa vykonávajú tieto typy prác:

• zhromažďovanie údajov o infraštruktúre (sieťové služby, operačné systémy a aplikačný softvér externých zdrojov), identifikácia slabín pomocou špecializovaného softvéru a univerzálne skenery bezpečnosť
• vyhľadávanie zraniteľností zdrojov Zákazníka a komponentov ich infraštruktúry pomocou bezpečnostných skenerov a špecializovaného softvéru
• využitie identifikovaných zraniteľností pomocou špecializovaného softvéru a manuálne na určenie relevantnosti identifikovaných zraniteľností a možnosť získať konštrukčnú dokumentáciu komponentov softvérového produktu a dôverné informácie

V procese hľadania zraniteľností sa okrem iného kontroluje prítomnosť týchto hlavných typov zraniteľností:

• injekcia fragmentov kódu (napríklad injekcia SQL príkazy, implementácia príkazov operačného systému
• neisto implementované postupy overovania a správy relácií
• skriptovanie medzi stránkami
• chyby riadenia prístupu (napríklad priame odkazy na objekty s dôvernými informáciami, chyby zabezpečenia pri prechode cez adresár)
• nezabezpečená konfigurácia softvéru (napríklad povolenie výpisov adresárov)
• sprístupnenie dôverných informácií (napríklad poskytnutie osobných údajov používateľovi iných používateľov)
• chyby obmedzujúce prístup používateľa k určitým funkciám
• falšovanie žiadostí medzi stránkami
• nesprávne spracovanie chýb, ktoré poskytuje dodatočné informácie o testovanom systéme
• používanie OS a softvéru so známymi zraniteľnosťami
• otvorené presmerovanie
• spracovanie externých XML entít
• nesprávne spracovanie chýb, ktoré poskytuje dodatočné informácie o testovanom systéme
• použitie jednoduché heslá počas overovania

Vykonávanie testovania pomocou metód sociálneho inžinierstva

Účelom tejto etapy práce je posúdiť informovanosť zamestnancov zákazníka v problematike informačnej bezpečnosti.

V rámci testovania sociálneho inžinierstva sa útoky na zamestnancov zákazníkov vykonávajú v nasledujúcich scenároch:

• Phishing - útok sa vykonáva prostredníctvom Email. Príklad útoku: Zamestnancovi je v mene spoločnosti zaslaný odkaz s „novou a veľmi užitočnou službou“ pre jeho prácu. List obsahuje popis služby a ako presne má konkrétnemu zamestnancovi pomôcť v jeho práci. List vás tiež žiada o kontrolu funkčnosti a či všetko funguje správne. Práca je zameraná na to, aby zamestnanec išiel do tejto služby a pokúsil sa zaregistrovať pomocou poverení domény.
• Trójsky kôň – útok sa vykonáva prostredníctvom e-mailu. Príklad útoku: Zamestnanec je vyslaný spustiteľný súbor, pričom obsah listu sa môže líšiť v závislosti od pozície zamestnanca: zmluva pre manažéra, zoznam chýb pre programátora atď. Práca je zameraná na to, aby zamestnanec spustil program dňa lokálny počítač a zaznamenať skutočnosť spustenia takéhoto programu.
• Telefonický útok - útok sa vykonáva prostredníctvom hovor. Práca je zameraná na získanie dôvery zamestnanca tým, že príde s hodnoverným krycím príbehom a potom sa naučíte dôverné informácie alebo poverenia zamestnanca. Príklad legendy: „Nový technický zamestnanec. podpora vykonáva prvú úlohu nasadenia služby a potrebuje skontrolovať, či funguje správne. Požiadajte zamestnanca o pomoc: prihláste sa samostatne alebo mu povedzte svoje používateľské meno a heslo.“

Analýza výsledkov

Výsledkom práce je správa obsahujúca nasledujúce informácie.

Základnými nástrojmi na kontrolu bezpečnosti systému sú nástroje na automatický zber systémových dát a penetračné testovanie. Navrhujeme zvážiť princíp fungovania takýchto nástrojov na príklade produktu Rapid7 Metasploit od Rapid7, jedného z popredných výrobcov analytických riešení pre informačnú bezpečnosť, ktorý je vysoko hodnotený vplyvnými výskumnými a poradenskými spoločnosťami vrátane Gartner a Forrester.

Úvod

Penetračné testovanie (pentest) je jednou z najúčinnejších metód hodnotenia kvality bezpečnostného systému. Uskutočňuje sa s cieľom identifikovať slabé miesta v IT infraštruktúre, preukázať možnosť zneužitia zraniteľností a tiež pripraviť odporúčania na ich odstránenie. Testovacie postupy sa vykonávajú na podnet majiteľa informačný systém a sú zamerané na predchádzanie incidentom informačnej bezpečnosti, často sprevádzaným finančnými a reputačnými stratami, nepríjemnými vysvetleniami s klientmi a zástupcami partnerských organizácií, ako aj inými nežiaducimi následkami.

IN Ruská federácia Významným faktorom určujúcim potrebu vykonať penetračné testovanie sú regulačné požiadavky. Tie považujú kontrolu účinnosti systému ochrany za mimoriadne dôležité opatrenie a príslušné ustanovenia sú zahrnuté v regulačných a metodických dokumentoch. V prvom rade je v tejto súvislosti vhodné spomenúť regulačné dokumenty, ktoré pokrývajú značný počet informačných systémov – príkazy FSTEC Ruska č.17 a 21.

Tieto dokumenty definujú ochranné opatrenie vo forme „testovania systému informačnej bezpečnosti pokusom o neoprávnený prístup (ovplyvnenie) do informačného systému, obídenie jeho systému informačnej bezpečnosti“ v štádiu certifikácie. Certifikácia informačných systémov, ktorá zahŕňa kontrolu účinnosti bezpečnostného systému, je žiadaná aj pre informačné systémy spracúvajúce štátne tajomstvo.

V medzinárodnom meradle je vhodné si všimnúť priemyselný bezpečnostný štandard platobných kariet PCI DSS (Payment Card Industry Data Security Standard). Súlad s ustanoveniami štandardu PCI DSS je povinný pre všetky organizácie zapojené do spracovania platobných kariet Visa a MasterCard: obchodníkov, spracovateľské centrá, nadobúdateľov, vydavateľov a poskytovateľov služieb, ako aj všetky ostatné organizácie, ktoré uchovávajú, spracúvajú alebo prenášajú držiteľa platobných kariet. dátové karty a citlivé autentifikačné údaje. Ustanovenia normy zabezpečujú analýzu zraniteľnosti a penetračné testovanie vo vnútri aj mimo siete informačného systému. Externé a interné penetračné testy by sa mali vykonávať aspoň raz ročne a po akýchkoľvek významných úpravách alebo aktualizáciách infraštruktúry/aplikácií.

Penetračné testovanie (pentest) je možné vykonávať v rámci pokročilej prípravy špecialistov informačnej bezpečnosti a získavania praktických zručností študentmi, ktorí študujú v odboroch súvisiacich s informačnou bezpečnosťou, ako aj na testovanie vývojármi nástrojov informačnej bezpečnosti ich vlastných produktov.

Je zrejmé, že pre všetky tieto účely je najžiadanejšie integrované riešenie správy hrozieb, ktoré pokrýva sieťovú bezpečnosť, bezpečnosť webových aplikácií, bezpečnosť databáz a stratégie penetračného testovania a obsahuje funkcie dostatočné na to, aby vyhovovali požiadavkám domácich aj medzinárodných predpisov, a využiť v procese učenia. Medzi takéto riešenia patrí Rapid7 Metasploit od spoločnosti Rapid7, ktorá bola založená v roku 2000 a je jedným z popredných výrobcov produktov na analýzu a organizáciu systémov informačnej bezpečnosti v prostrediach IT. Dôležitá výhoda softvér Rapid7 poskytuje prehľad o stave zabezpečenia aktív a používateľov v akomkoľvek prostredí, vrátane virtuálneho a mobilného, ​​ako aj verejných a súkromných cloudov.

Na vyhodnotenie riešenia Rapid7 Metasploit môžete použiť riešenie od rovnakého výrobcu – virtuálny stroj Metasploitable s demo verziou Ubuntu Linux. Virtuálny prístroj Kompatibilné s VMWare, VirtualBox a ďalšími bežnými virtualizačnými platformami.

Dôležitou pomôckou je, že Rapid7 Metasploit je kompatibilný so skenerom zraniteľností Rapid7 Neexpose, môže iniciovať jeho spustenie a tiež využiť jeho výsledky.

Pozrime sa na všeobecný postup práce s Rapid7 Metasploit.

Ako pracovať s Rapid7 Metasploit

IN všeobecný pohľad Práca s Rapid7 Metasploit pozostáva z nasledujúcich krokov:

1. Vytvorenie projektu. Projekt obsahuje pracovný priestor, ktorý sa používa na vytvorenie penetračného testu a konfiguráciu úloh, ktoré sa majú vykonať. Každý penetračný test prebieha z vlastného projektu.
2. Zber informácií. V tejto fáze Rapid7 Metasploit zhromažďuje informácie o cieľovej sieti: nainštalovaná OS, otvorené porty, bežiaci hostitelia a procesy. V tejto fáze možno použiť aj skener zraniteľnosti Rapid7 Neexpose. Počas skenovania sa všetky prijaté dáta automaticky uložia do projektu.
3. Používanie exploitov. Útok možno vykonať manuálne alebo pomocou databázy exploitov. Používajú sa sieťové údaje získané v kroku 2.
4. Akcie vykonané na napadnutom systéme. Po získaní prístupu sa používa exploit payload, pomocou ktorého sa iniciujú interaktívne relácie na zbieranie ďalších informácií a taktiež je možné použiť post-exploitation moduly na automatické zbieranie hesiel uložených v operačnom systéme a aplikáciách, screenshoty, obrázky z webové kamery, nahrávanie stlačenia klávesov, zbieranie konfiguračné súbory, spúšťanie aplikácií atď.

Porovnanie edícií Rapid7 Metasploit

Rapid7 Metasploit je dostupný v niekoľkých edíciách, ktoré sa líšia rozsahom poskytovaných funkcií a typom licencie na použitie. V súčasnosti sú k dispozícii nasledujúce edície produktov:

• Rámec
• Spoločenstva
• expresné

Tabuľka poskytuje informácie o tom, ktoré cieľové funkcie sú implementované v každom vydaní produktu. Pre pohodlie pomocou rôznych farieb sú cieľové funkcie rozdelené do skupín podľa ich hlavného účelu:

• Zbierajte údaje o charakteristikách komponentov a slabých miestach siete.
• Penetračné testovanie.
• Vykonajte phishingové úlohy.
• Testovanie webových aplikácií.
• Generovanie správ.
• Kontrola.

Tabuľka 1. Porovnanie vydaní Rapid7 Metasploit

Charakteristický	Pro	expresné	Spoločenstva
Import skenovaných údajov (import údajov skenovania)	✔	✔	✔
Skenovanie s detekciou (Discovery scan)	✔	✔	✔
Integrácia so systémom správy zraniteľností Neexpose (Integrácia skenovania Neexpose)	✔	✔	✔
Exportovať údaje (export údajov)	✔	✔	✔
Manuálne spustenie exploitov (Manuálne využitie)	✔	✔	✔
webové rozhranie (webové rozhranie)	✔	✔	✔
Správa relácií (Správa relácie)	✔	✔	✔
Správa poverení (Správa poverení)	✔	✔	✔
Prienik cez pevný bod (Proxy pivot)	✔	✔	✔
Moduly spustené po kompromise (moduly po exploatácii)	✔	✔	✔
Vymazanie relácie (Vyčistenie relácie)	✔	✔	✔
Spôsob výberu (Hrubou silou)	✔	✔
Zhromažďovanie dôkazov (Zbierka dôkazov)	✔	✔
Zapisovanie kontroly (Audítorská správa)	✔	✔
Hlásenie o činnosti (Správa o činnosti)	✔	✔
Hlásenie napadnutých a zraniteľných hostiteľov (Správa ohrození a zraniteľní hostitelia)	✔	✔
Hlásenie poverení (Prehľad poverení)	✔	✔
Podávanie správ o výkone služby (Prehľad služieb)	✔	✔
Opätovné použitie poverení (Opätovné použitie poverení)	✔	✔
Pokus o obídenie antivírusu (Antivírusový únik)	✔	✔
Pokúste sa obísť systémy detekcie a prevencie narušenia (Únik IPS/IDS)	✔	✔
Reštartovanie relácie (Opätovné spustenie relácie)	✔	✔
Technologický proces kompromisu (Pracovný postup využívania)	✔	✔
Hranie úloh (Prehratie úlohy)	✔	✔
Označovanie údajov (označenie údajov)	✔
Hlásenie o zhode PCI DSS (PCI správa)	✔
Hlásenie o dodržiavaní pravidiel FISMA (Správa FISMA)	✔
"Majster" pre rýchle penetračné testovanie (Rýchly sprievodca PenTestom)	✔
"Sprievodca" na kontrolu zraniteľností (Sprievodca overením zraniteľnosti)	✔
Integrácia so systémom skenovania kvality kódu Sonar (Integrácia projektu Sonar)	✔
„Majster“ pre phishing (Sprievodca phishingom)	✔
Sociotechnická analýza (sociálne inžinierstvo)	✔
"Sprievodcu" na testovanie webových aplikácií (Sprievodca testovaním webovej aplikácie)	✔
Testovanie webových aplikácií (Testovanie webovej aplikácie)	✔
Preniknutie cez silný bod pomocou tunelovania VPN (otočenie VPN)	✔
Generátor užitočného zaťaženia (Generátor užitočného zaťaženia)	✔
Makrá spustené po kompromise (Makrá po zneužití)	✔
Pretrvávajúce relácie (Trvalé relácie)	✔
Meta moduly (Metamoduly)	✔
Tímová práca (Tímová spolupráca)	✔
Reťazce úloh (reťazce úloh)	✔
Zálohovanie a obnovenie (Zálohovanie a obnovenie)	✔
Vlastné prehľady (Vlastné prehľady)	✔
Sociotechnické spravodajstvo (Social Engineering Report)	✔
Hlásenie o hodnotení webových aplikácií (Hodnotiaca správa webovej aplikácie)	✔

Edícia Metasploit Framework stojí mimo, pretože slúži ako základ pre vytváranie komerčných produktov. Ide o open source projekt, ktorý poskytuje prístup k databáze exploitov pre rôzne aplikácie, operačné systémy a platformy. Ovládanie sa vykonáva cez rozhranie príkazový riadok. Používateľ Metasploit Framework môže vytvárať a pridávať nové exploity do databázy alebo používať existujúce ako dodatočné nástroje pri vykonávaní penetračných testov.

Zvyšné edície sú komerčné, navyše implementujú správu cez webové rozhranie a v závislosti od edície sú pridané určité funkcie. Väčšinou tieto doplnkové funkcie sú zamerané na automatizáciu bežných testovacích úloh: analýza zraniteľnosti, sociotechnika, generovanie užitočného zaťaženia, útoky hrubou silou.

závery

Rapid7 Metasploit má široký sortiment funkčnosť. Riešenie môže fungovať buď cez webové rozhranie alebo rozhranie príkazového riadku - možnosť je určená na žiadosť užívateľa. Úplná sada funkcií je však dostupná iba pri práci s webovým rozhraním. Rapid7 Metasploit podporuje operačné systémy Rodina Windows a Linux.

Niekoľko ďalších charakteristických vlastností Rapid7 Metasploit:

• Možnosť výberu edície, ktorá vyhovuje potrebám konkrétneho prípadu.
• Schopnosť využívať výsledky analýzy zraniteľnosti z riešení tretích strán.
• Možnosť školenia na špeciálne navrhnutom zraniteľnom systéme.
• Integrácia produktu (v edícii Framework) s distribúciami Linuxu:
  • Kali Linux
  • Backtrack linux (ukončené)
  • Pentoo
  • BlackArch
  • Backbox

Rapid7 Metasploit má niekoľko obmedzení na prevádzkovej úrovni, ktoré stojí za zváženie:

• Inštalácia a následné správne fungovanie produktu je možné až po vypnutí firewallu a antivírusu.
• Odporúča sa nainštalovať Rapid7 Neexpose a Metasploit na samostatné nástroje počítačová technológia. V tomto prípade je možné nainštalovať Rapid7 Metasploit do virtuálneho počítača.
• Chýba úplný preklad prevádzkovej dokumentácie do ruštiny. So zapnutým návodom na použitie anglický jazyk nájdete na stránke výrobcu v sekcii Metasploit.