Penetration testing je kombinacija metod, ki upoštevajo različne sistemske težave ter testirajo, analizirajo in ponujajo rešitve. Temelji na strukturiranem postopku, ki korak za korakom izvaja testiranje prodora. Spodaj je sedem korakov penetracijskega testiranja:

Načrtovanje in priprava

Načrtovanje in priprava se začneta z opredelitvijo ciljev in ciljev penetracijskega testiranja.

Naročnik in tester skupaj definirata cilje, tako da imata obe strani enake cilje in razumevanje. Skupni cilji penetracijskega testiranja so:

• Prepoznajte ranljivosti in izboljšajte varnost tehničnih sistemov.
• Zagotovite IT varnost s strani zunanje tretje osebe.
• Izboljšajte varnost organizacijske/kadrovske infrastrukture.

Študij

Obveščevalna dejavnost vključuje analizo predhodnih informacij. Velikokrat tester nima veliko informacij razen predhodnih informacij, to je naslova IP ali bloka naslovov IP. Tester začne z analizo razpoložljivih informacij in po potrebi od uporabnika zahteva njihovo pridobitev Dodatne informacije, kot so sistemski opisi, omrežni načrti itd. Ta korak je nekakšen pasivni penetracijski test. Edini cilj je pridobiti popolne in podrobne informacije o sistemih.

Otvoritev

Na tej točki bo preizkuševalec penetracije verjetno uporabil avtomatizirana orodja za skeniranje ciljnih sredstev za odkrivanje ranljivosti. Ta orodja imajo običajno lastne zbirke podatkov, ki zagotavljajo informacije o najnovejših ranljivostih. Vendar tester zazna

• Odkrivanje omrežja- na primer odpiranje dodatni sistemi, strežniki in druge naprave.
• Odkritje gostitelja- definira odprta vrata na teh napravah.
• Servisno zaslišanje- vrata za preverjanje, da odkrijete dejanske storitve, ki se na njih izvajajo.

Informacije in analiza tveganja

V tej fazi preizkuševalec analizira in oceni informacije, zbrane pred stopnjami testiranja, da dinamično prodre v sistem. Zaradi velikega števila sistemov in velikosti infrastrukture je to dolgotrajno. Pri analizi preizkuševalec upošteva naslednje elemente:

• Posebni cilji penetracijskega testa.
• Možna tveganja za sistem.
• Ocenjeni čas, potreben za oceno morebitnih varnostnih pomanjkljivosti za kasnejše testiranje aktivnega prodora.

Iz seznama identificiranih sistemov pa se preizkuševalec lahko odloči za testiranje le tistih, ki vsebujejo potencialne ranljivosti.

Aktivni poskusi invazije

To je najpomembnejši korak, ki ga je treba opraviti previdno. Ta korak vključuje obseg morebitnih ranljivosti, odkritih med fazo odkrivanja, ki predstavljajo resnično tveganje. Ta korak je treba izvesti, ko je treba preveriti morebitne ranljivosti. Pri tistih sistemih, ki imajo zelo visoke zahteve glede integritete, je treba pred izvedbo kritičnih postopkov čiščenja skrbno pretehtati potencialne ranljivosti in tveganja.

Končna analiza

Ta korak najprej obravnava vse korake, izvedene (o katerih smo razpravljali zgoraj) do tega trenutka, in oceno ranljivosti, ki so prisotne v obliki potencialnih tveganj. Poleg tega tester priporoča odpravo ranljivosti in tveganj. Preizkuševalec mora najprej zagotoviti preglednost testov in odkritih ranljivosti.

Priprava poročila

Priprava poročila se mora začeti s splošnimi postopki testiranja in nato analizirati ranljivosti in tveganja. Prednost je treba dati visokim tveganjem in kritičnim ranljivostim, ki jim sledijo nižje stopnje.

Pri dokumentiranju končnega poročila pa je treba upoštevati naslednje točke:

• Splošni pregled penetracijskega testiranja.
• podrobne informacije o vsakem koraku in informacijah, zbranih med testiranjem peresnika.
• Podrobne informacije o vseh odkritih ranljivostih in tveganjih.
• Deli za čistilne in pritrdilne sisteme.
• Predlogi za varnost v prihodnosti.

Vsak lastnik podjetja, IT specialist in navaden uporabnik računalnika se je vsaj enkrat srečal s kibernetskimi grožnjami. IN sodobni svet postajajo vse močnejši in sposobni povzročiti ogromno škode ne samo gospodarstvu, ampak tudi državi.

Obstajata dve kategoriji hekerjev:

Bele kape- delo za zagotavljanje varnosti, preprečevanje nezakonitih vdorov.

Črni hekerji (Black hat)- kršijo zakon, krajo osebnih podatkov, praznijo bančne račune.

Naša ekipa bo prevzela nalogo izvajanja testov za iskanje ranljivosti v pisarniškem omrežju vašega podjetja, na vaših spletnih mestih in aplikacijah. In tudi s pomočjo socialni inženiring Identificirali bomo najslabše zaščitene oddelke v vašem podjetju in podali priporočila, kako okrepiti zaščito.

Kaj je vključeno v pentesting (varnostni test)?

Varnostni test podjetja lahko vključuje:

• Analiza zunanjega omrežja in perimetra
• Pentest (test prodora)
• Testiranje notranjega omrežja
• Iskanje ranljivosti in izkoriščanje
• Socialni inženiring
• Testiranje spletnih strani podjetja
• Testiranje mobilne aplikacije podjetja
• Poročilo o preskusu in priporočila

Natančen seznam testov se določi v fazi pogajanj, po preučitvi potreb naročnika.

Stroški penetracijskega testiranja

Testiranje zunanjega korporativnega omrežja

Cena po dogovoru

Preizkušanje penetracije (pentest)

Cena po dogovoru

Testiranje spletnih in mobilnih aplikacij

Cena po dogovoru

Socialni inženiring

Cena po dogovoru

Varnostni test na ključ

Cena po dogovoru

Preiskava kibernetskega kriminala

Cena po dogovoru

POMEMBNO

»Na žalost podjetja največkrat začnejo razmišljati o varnost informacij ko so že trpeli. Hekerjem ni mar za velikost vašega podjetja in njegov promet, marveč za število podjetij, v katera so vdrli.”

Zaščitite svoje podjetje pred kibernetskimi grožnjami!

Kaj je torej pentest?

Testiranje je iskanje, testiranje penetracije pa je ena od vrst najbolj poglobljenega in učinkovitega iskanja največjega števila točk in območij z različnimi stopnjami ranljivosti za prodor virov in uporabnikov tretjih oseb. Takšni vdori so lahko izvedeni zlonamerno ali posredno za vnos ali pridobitev določenih podatkov.

To tehniko je mogoče izvajati ločeno in jo vključiti v redne ali enkratne preskusne sisteme za ustvarjanje učinkovitih zaščitnih ukrepov pred najširšim obsegom napadov in vdorov tretjih oseb.

Etiologija ranljivosti sistema

Izguba varnosti se lahko pojavi na različnih stopnjah delovanja katerega koli sistema, vendar je v vsakem primeru odvisna od vpliva dejavnikov, kot so:

• konstrukcijska napaka,


• nepravilen postopek konfiguracije pri izbiri nizko funkcionalne konfiguracije kombinacije programske opreme in opreme, povezane s sistemom,


• varnostne napake v omrežnem izhodnem sistemu. Višja je stopnja varnosti omrežno povezavo, manjša je verjetnost negativnega vpliva in možnost prodora zlonamernega vpliva v sistem,


• človeški dejavnik, ki se izraža v pojavu zlonamerne ali naključne napake pri načrtovanju, uporabi ali vzdrževanju omrežja pri osebnem ali timskem delu z njim,


• komunikacijsko komponento, ki se izraža v nezaščitenem prenosu zaupnih podatkov,


• nerazumno visoka stopnja kompleksnosti sistema. Vedno je lažje vzpostaviti nadzor nad stopnjo njegove varnosti kot slediti kanalom uhajanja podatkov iz njega. Kar je veliko lažje narediti v enostavnih in funkcionalnih sistemih kot v njihovih kompleksnih dvojnikih,


• pomanjkanje znanja. Pomanjkanje ustrezne ravni strokovne usposobljenosti strokovnjakov za varnostna vprašanja, ki so neposredno ali posredno povezani z uporabo sistema.

Testiranje se razlikuje od ocene ranljivosti

Kljub podobnosti namena njihove uporabe. In sicer iskanje in organiziranje najbolj varnega programskega izdelka. Delujejo drugače.

Preizkušanje penetracije se izvaja z resničnim nadzorom, ki se izvaja tako ročno kot z uporabo določenih visoko specializiranih sistemov in orodij. Kaj se naredi z emulacijo zlonamernih vplivov, kar omogoča prepoznavanje področij ranljivosti.

Določanje stopnje ranljivosti izhaja iz natančnega preučevanja delovnih tokov, da se ugotovijo morebitne vrzeli, skozi katere lahko uidejo podatki med določenimi vrstami napadov. To pomaga najti področja, ki so ranljiva za hekerske vplive, kar določa stopnjo splošne varnosti testiranega sistema. Pri izvajanju se identificirajo, popravljajo in odpravljajo ugotovljene »slabosti«.

Tako je določanje stopnje ranljivosti ustaljen potek dela. In testiranje penetracije deluje "glede na situacijo". skupni ciljčim močneje vplivati ​​na sistem, da bi ugotovili vrzeli v njegovi zaščiti.

Za kaj je

Omogoča vam iskanje in odpravo vrzeli v varnostnem sistemu programa, ki ga uporabljate. Gre za proaktivno delo za preprečevanje možnosti prodora negativnih vplivov tretjih oseb, ne glede na njegove cilje in stopnje izvajanja. To pomaga ustvariti najbolj kompetenten sistem zaščite pred pričakovanimi in ne le obstoječimi grožnjami od zunaj.

Takšno spremljanje omogoča:

• poiščite slabosti/ranljivosti v sistemu, preden so izpostavljeni zunanjim negativnim vplivom in povzročijo uhajanje podatkov. To je odlična alternativa pogoste posodobitve sistemi. Ker slednji vplivajo na združljivost in hitrost delovanja sistema, ki je bil predhodno razhroščen, ne da bi jih upoštevali. Posodobitve je bolje nadzirati kot izvajati nenadzorovano;


• ovrednotiti varnostno orodje, ki je začelo delovati. Omogoča razvijalcem, da pridobijo realno oceno svoje usposobljenosti, kot tudi stopnjo skladnosti s trenutnimi varnostnimi standardi. Poleg tega vam penetracijsko testiranje omogoča prepoznavanje poslovnih tveganj in drugih komponent zaščite, ki se lahko zmanjšajo med kompromisom med kombinirano uporabo avtoriziranih in na novo aktiviranih programskih komponent. Omogoča strukturiranje in določanje prioritet, zmanjševanje in odpravljanje stopnje zaznanih tveganj in negativnega vpliva možnih groženj;
• prepoznati tveganja za izboljšanje obstoječih varnostnih standardov.

Postopek spremljanja

Preizkušanje penetracije je danes mogoče izvesti z uporabo številnih tehnik, vendar so glavne in najbolj zaželene:

Ročno testiranje poteka po naslednjem algoritmu

• načrtovanje oziroma skrbno zbiranje podatkov ob upoštevanju potreb, obsega uporabe, namenov prihajajočega monitoringa ob upoštevanju stopnje obstoječe zaščite. Tukaj se lahko navedejo tudi posebna področja za spremljanje stopnje zaščite, vrsta želenega/načrtovanega vpliva in druge zahteve za prihodnji monitoring.


• obveščevalne manipulacije, namenjene iskanju in kumulaciji prejetih podatkov o sistemskih in tretjih, kombiniranih, zaščitnih mehanizmih, potrebnih za ciljanje in posebej organizirane napade na določene bloke ali celoten sistem. Cilj: pridobiti najučinkovitejše testiranje. Zato obstajata dve različici: pasivna in aktivna, kjer se prva izvaja brez aktivnega vpliva na sistem, druga pa je njeno popolno nasprotje,


• analizo ugotovljenih rezultatov. Ta stopnja vam omogoča, da prepoznate najbolj ranljive točke, ki bodo uporabljene za nadaljnji agresiven prodor v sistem,


• uporaba dobljenih rezultatov. Na podlagi identificiranih mest »lahkega prodora« v zaščitne sisteme se izvede pripravljen napad na programsko opremo, tako v obliki zunanjih kot notranjih napadov. Zunanji vplivi so ogrožanje sistema od zunaj, kjer se posnemajo neposredne zunanje grožnje, ki vplivajo na sistem, in specializirani poskusi nepooblaščenega dostopa do podatkov sistema, ki je pred tem zaščiten. Notranji napadi predstavljajo drugo stopnjo vpliva, ki se začne po uspešnem prodoru v sistem od zunaj. Paleta ciljev za njihov nadaljnji vpliv je široka in raznolika. Glavna je kompromitacija sistema, v katerega so prodrli,


• rezultati delovanja omogočajo identifikacijo ciljev posamezne identificirane grožnje in ugotavljanje njenega potenciala za notranje poslovne procese sistema kot celote in posebej njegovih posameznih komponent,
• zaključek je sklop dokumentacije o opravljenem delu in doseženih rezultatih, ki opisuje potencialne nevarnosti in obseg njihovega negativnega vpliva pri doseganju ciljev vpliva.



Testiranje z avtomatiziranimi orodji ni samo učinkovito, ampak tudi zelo uporabno pri uporabi visoko specializiranih orodij. Je priročen za uporabo, potreben čas je minimalen, njegova učinkovitost pa vam omogoča ustvarjanje "kristalno jasnih" zaključkov o opravljenem delu.




Seznam najbolj priljubljenih orodij vključuje: Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af. Sistemske zbirke Linux ponujajo veliko zanimivih in funkcionalnih stvari.




Za delo izberite orodja, ki ustrezajo določenim potrebam, na primer:

• praktičnost zagona, uporabe in nadaljnjega vzdrževanja,


• enostavnost skeniranja,


• stopnja avtomatizacije pri prepoznavanju ranljivosti,


• stopnja razpoložljivosti testiranja predhodno odkritih področij, šibkih za zunanje napade,


• stopnja sposobnosti oblikovanja podrobnih in preprostih poročil o opravljenem delu in doseženih rezultatih.



Kombinacija zgornjih metod skupaj. To je optimalna metoda testiranja penetracije, saj lahko združi prednosti obeh metod in postane čim hitrejša in podrobnejša.

Vrste penetracijskih testov

Delitev je narejena glede na uporabljena orodja in objekte spremljanja:



• družbeni ali človeški, kjer se povezujejo ljudje, ki lahko na daljavo ali lokalno sprejemajo potrebne informacije in jih jasno obdelajo,


• programska aplikacija, ki se uporablja za prepoznavanje varnostnih napak. Hkrati se uporablja več možnosti spletnih ponudb in specializiranih storitev uporabljene storitve ali virov tretjih oseb,


• omrežni vir, ki vam omogoča prepoznavanje možnosti nepooblaščenega hekerskega dostopa ali prodora nepooblaščenega uporabnika,


• odjemalski del, uporabljen pri delu posebne aplikacije nameščen na strankino spletno stran ali aplikacijo,


• oddaljen dostop izvede s testiranjem VPN ali podobnim objektom, ki omogoča ustrezen dostop do tega sistema,


• brezžične povezave, je namenjen testiranju brezžičnih aplikacij, storitev in njihovih orodij.



Razvrstitev metod spremljanja se izvaja tudi ob upoštevanju vrste pristopa k njegovemu izvajanju. Kaj vam omogoča, da poudarite:

• belo, kjer ima tester dostop do podatkov o funkcijah in orodjih testiranega sistema. Kaj naredi njegovo delo čim bolj učinkovito in produktivno. Ker vam posedovanje takšnih informacij omogoča razumevanje zapletenosti in značilnosti preizkušanega sistema in zato izvajanje testiranja z največjo poglobljenostjo,


• črna omogoča dostop do osnovnih ali visokonivojskih informacij o sistemu. Preizkuševalec se počuti bolj kot heker kot zaposleni, ki deluje znotraj sistema. Visoka stopnja delovne intenzivnosti ta metoda zahteva čas in temeljito znanje ter izkušnje pri izvedbi. Zato obstaja velika verjetnost manjkajočega ali nepopolnega testiranja,


• siv ali omejen dostop do sistemskih informacij, ki zadostuje za ustvarjanje simuliranega zunanjega napada.



Meje testiranja prodora

Obstaja veliko omejitev glede obsega takega vpliva, vendar so glavne med njimi:

• kratek čas z visokimi začetnimi stroški tega postopka,


• omejitev števila testov na časovno enoto,


• možnost okvare prodora na strani sistema,


• visoka stopnja ranljivosti prejetih podatkov.



Zaključek

Sodobni hekerji z nenehno posodobljenim naborom programov in učinkovita orodja za izvedbo učinkovitih napadov. Zato pogosto vstopajo v sisteme, ki jih zanimajo, z neposrednim namenom ogrožanja omrežja ali izkoriščanja njegovih virov. Nadzor vdorov je v tem primeru najučinkovitejši kot orodje za odkrivanje ranljivosti v vseh varnostnih sistemih. Poleg tega vam omogoča, da zmanjšate potencial zunanjih groženj programski opremi kot celoti.

Zadnjih nekaj let je bilo bogatih z dogodki, ki so močno povečali zanimanje javnosti za temo hekerskih napadov. Škandal z vdorom v sisteme ameriške demokratske stranke, onesposobitvijo sistemov energetske infrastrukture ministrstva za finance in zakladnice Ukrajine, virusi ransomware, ki ne le šifrirajo datoteke, ampak tudi blokirajo delovanje industrijske in medicinske opreme , MIRAL, velikanski botnet iz gospodinjske naprave, ki je pustil pol ZDA in Liberije brez komunikacij, napadalci množično črevajo banke kot volkovi nemočne ovce... Celo SWIFT je na udaru! Hekerji iz filmskih geekov so postali del realnosti milijard ljudi.

Povsem naravno je, da podjetja danes sredstva vlagajo predvsem v praktično varnost, namesto v formalno izpolnjevanje regulativnih zahtev z minimalnimi sredstvi. In naravno je tudi, da želi preveriti, kako učinkovito vgrajen varnostni sistem ščiti pred spletnimi morskimi psi.

Tokrat smo se odločili posvetiti izključno praktičnim vidikom informacijske varnosti (IS) v zvezi z računalniškimi napadi in neposredno zaščito pred njimi. Za vdiranje, ki ga izvajajo »beli klobuki«, t.j. strokovnjaki, ki legalno posnemajo dejanja napadalcev, uporabljajo izraz "prebojni test" (pentest). Pod tem izrazom se skriva več področij varnostnega raziskovanja in vsako od njih ima svoje strokovnjake. V tem članku bomo razumeli, kaj je pentest, zakaj je potreben in kje je meja med hekerskim napadom in testiranjem prodora.

Pentest je v bistvu ena od vrst revizije informacijske varnosti. In to je njegova glavna razlika od pravega hekanja. Heker išče najkrajšo pot za nadzor nad sistemi žrtve. Če se na obodu najde luknja, se napadalec osredotoči na utrjevanje in razvoj napada navznoter. In pentester, ki mu je bilo naročeno testiranje zunanjega omrežja, mora skrbno pregledati host za hostom, tudi če je najdenih že cel kup lukenj. Če so gostitelji iste vrste (na primer 1000 enakih delovnih postaj), lahko raziskovalec seveda naredi kontrolni vzorec, vendar je nesprejemljivo preskočiti bistveno različne sisteme. To je verjetno najlažji način, da stranka prepozna pentest nizke kakovosti.

Pentest ne nadomešča celovite revizije informacijske varnosti. Zanj je značilen ozko usmerjen pogled na proučevane sisteme. Pentest se v bistvu ukvarja s posledicami in ne vzroki pomanjkljivosti informacijske varnosti. Zakaj ga sploh izvajati? Ko industrija proizvede nov model vojaške opreme, inženirji skrbno izračunajo lastnosti oklepa in lastnosti orožja, a med vojaškim sprejemom opremo še vedno odkotalijo na poligon, streljajo, razstreljujejo itd. Eksperiment je merilo resnice. Pentest nam omogoča, da razumemo, ali so naši procesi informacijske varnosti zgrajeni tako dobro, kot mislimo, ali so naši varnostni sistemi zanesljivi, ali je konfiguracija na strežnikih pravilna, ali razumemo pot, ki jo bo ubral pravi heker. Tako lahko dobimo vtis, da je pentesting potreben za podjetja, ki so že veliko vlagala v informacijsko varnost. V teoriji je to res, v praksi pa je pogosto precej drugače.

Prišel sem do naslednje pentest formule:

Raziskovanje je najbolj očiten del pentesta. Tako kot v filmih: nenavadni fantje v puloverji ponoči uničujejo IT obrambo. V resnici je pogosto vse nekoliko bolj prozaično, vendar ta slika dovoljuje pentesterjem, da ne upoštevajo korporativnega kodeksa oblačenja.

Poročanje običajno ni najljubši del dela preizkuševalca penetracije, vendar je kritično pomembno. Naročnik dela mora prejeti podroben opis vseh uspešnih in neuspešnih poskusov prodora, jasen opis ranljivosti in, kar je zelo pomembno, priporočila za njihovo odpravo. Za zadnji del je smiselno vključiti specializirane strokovnjake za informacijsko varnost, saj vedeti, kako jo zlomiti, sploh ne pomeni znati pravilno in varno popraviti v realnosti korporativne IT infrastrukture.

In zadnja komponenta, za katero je pogosto organiziran celoten pentest, je predstava. Takšna revizija je v smislu jasnosti za red velikosti boljša od katere koli druge, zlasti za neprofesionalce. to Najboljši način pokazati pomanjkljivosti informacijske varnosti vodstvu podjetja v obliki, dostopni nestrokovnjakom. Kratek (nekaj strani) povzetek s skeniranim potnim listom izvršnega direktorja, Naslovna stran zaupno poročilo in baza strank lahko prineseta več koristi informacijski varnosti podjetja kot celotno poročilo na 200 straneh, ki sledi. Zato penteste pogosto naročajo podjetja, ki se z informacijsko varnostjo še niso zares ukvarjala, posel, pogosto pa IT, ne razumeta resnosti obstoječih tveganj.

Testni parametri

Penteste lahko razvrstimo v večino različne poti. Osredotočili se bomo samo na tiste, ki imajo praktično vrednost, ko sami konfigurirate pentest.

Cilj napada, ki ga določi stranka, se lahko zelo razlikuje od pentesta do pentesta. "Samo vdreti v nas" običajno pomeni prevzem nadzora nad infrastrukturo IT (pravice skrbnika domene, omrežno opremo), ogrožanje poslovnih sistemov in zaupnih informacij. In obstajajo ozko ciljni pentesti. Kot del certificiranja za varnostne zahteve kartic PCI DSS je na primer namen letnega obveznega pentestiranja ogrožati podatke kartice. Tu je lahko že prvi dan dela bančno omrežje popolnoma zajeto, a če zadnji bastion s tajnimi podatki ne pade, bo organizacija uspešno prestala test.

Model znanja o sistemu določa začetni položaj preizkuševalca penetracije. Od popolne informacije o sistemu ( Bela škatla), dokler popolnoma ne izgine (črna škatla). Pogosto obstaja tudi srednja možnost (Sivo polje), ko na primer pentester posnema dejanja neprivilegiranega uporabnika, ki ima nekaj podatkov o sistemu. To je lahko navaden uradnik, partnersko podjetje, stranka z dostopom do Osebni prostor in tako naprej. White box je bolj revizija kot klasičen pentest. Uporablja se, ko je treba podrobno preučiti varnost na ozkem področju. Preizkuša se na primer nov portal za stranke. Raziskovalec dobi vse informacije o sistemu, pogosto izvorno kodo. To pomaga podrobno preučiti sistem, vendar skoraj ne simulira resničnih napadov. Stranke pentesta črne skrinjice želijo prejeti popolno simulacijo napada hekerja, ki nima notranjih informacij o sistemu.

Model znanja se močno prekriva s konceptom modela vsiljivca. Kdo nas napada: zunanji heker, insajder, administrator? Ta delitev je zelo poljubna. Kompromis delovna postaja S tehničnega vidika navaden uporabnik ali izvajalec zunanjega hekerja v trenutku spremeni v notranjega vsiljivca.

Od stopnje ozaveščenosti strokovnjakov za informacijsko varnost je odvisno, kdo in kako podrobno pozna delo, ki se izvaja. Pogosto se poleg opreme testirajo tudi kadri, zato delo usklajuje informacijska varnost ali direktor informatike, skrbniki pa menijo, da se borijo s pravimi hekerji, če seveda napad sploh opazijo. Takšne kibernetske vaje omogočajo oceno ne le prisotnosti ranljivosti v sistemih, temveč tudi zrelost procesov informacijske varnosti, stopnjo interakcije med oddelki itd. Pravo nasprotje je posnemanje dejanj napadalca z namenom urjenja obrambnih sistemov. V tem primeru pentester deluje na majhnem območju, skrbniki pa beležijo odziv varnostnih orodij in IT sistemov, prilagajajo nastavitve, pripravljajo pravila za SIEM itd. Na primer, simulira se situacija, ko je heker že prodrl v zaprt segment. Kako bo stopnjeval svoje privilegije v sistemih? Pentester deluje enega za drugim na vseh vektorjih napadov, ki jih pozna, da zagotovi najbolj popolno usposabljanje varnostnih sistemov.

Vrste napadov

Obstaja toliko klasifikacij vrst napadov, kot je pentesterjev. Spodaj bom podal klasifikacijo osnovnih napadov, ki jih uporabljamo. Seveda je najbolj popoln pentest napad v vse možne smeri. Toda omejitve proračuna, časa, obsega in pentestnih nalog vas prisilijo k izbiri.

Pentest zunanje infrastrukture - analiza perimetra omrežja iz interneta. Pentester poskuša ogroziti razpoložljive omrežne storitve in, če je mogoče, razviti napad znotraj omrežja. Mnogi verjamejo, da gre za imitacijo pravega napada, katerega cilj je prodreti v omrežje podjetja od zunaj. Pravzaprav danes napadalci v 80–90 % primerov premagajo omrežno območje z uporabo metod socialnega inženiringa. Ni vam treba vdirati v zidove trdnjave, če je pod njimi čudovit predor. Vendar so tudi tu pogosto luknje. Na primer, pred kratkim smo opravili delo za veliko tovarno letal, med katerim je skener celo v fazi samodejne analize uganil geslo za sistem daljinec APCS. Malomarnost izvajalca, ki je pozabil onemogočiti oddaljeni dostop, je hekerju omogočila povečanje tlaka v cevovodih s tehničnimi tekočinami za red velikosti. Z vsem, kar pomeni, dobesedno in figurativno.

Pentest je kot pregled pri zobozdravniku: bolje ga je izvajati redno, da preprečimo težave v zgodnjih fazah.

Shadow IT

Do prodorov pogosto pride s pomočjo sistemov, ki so zunaj radarja IT-ja. Posodobili so vse strežnike na obodu, pozabili pa so na IP telefonijo ali videonadzorni sistem. In heker je že notri. Za takšno infrastrukturo, ki je skrbnikom padla izpred oči, obstaja poseben izraz - Shadow IT. Gartner ocenjuje, da bo do leta 2020 do tretjina vseh vdorov vključevala Shadow IT. Po našem mnenju je to povsem realna ocena.

Na primer, nekega dne je naš pentester našel neposodobljene sisteme klicnega centra na popolnoma zaščitenem obodu banke, prek katerega so bili v dveh dneh popolnoma ogroženi vsi glavni bančni AS sistemi. Izkazalo se je, da zanje ni pristojna informatika, ampak telefonisti. V drugem primeru je bila vstopna točka za pentest mreža receptorjev, popolnoma izolirana od korporativne. Predstavljajte si presenečenje stranke, ko je nekaj dni kasneje pentester sporočil, da je bilo omrežje popolnoma zajeto. Uspelo mu je vdreti v neposodobljeni tiskalnik, vanj naložiti lupino in pridobiti dostop do VLAN-ja za upravljanje tiskalnika. Ko jih je vse ogrozil, je pentester dobil dostop do vseh pisarniških segmentov podjetja.

Pentest notranje infrastrukture simulira dejanja notranjega ali okuženega vozlišča znotraj omrežja. Omrežje mora biti zgrajeno tako, da ogroženost posameznih delovnih postaj ali strežnikov ne povzroči popolnega razpada obrambe. Dejansko v več kot polovici primerov v naši praksi od pravic »dostop do omrežne vtičnice« do »skrbnika domene« ne mine več kot en delovni dan.

Omrežje podjetja je lahko zelo veliko, zato mora stranka v nekaterih primerih jasno opredeliti cilje napada za pentester. Na primer dostop do SAP in finančnih dokumentov z oznako »Zaupno«. To bo pentesterju omogočilo učinkovitejše preživljanje časa in simulacijo pravega hekerskega napada po meri.

Spletni viri predstavljajo ločen svet z vidika pentestinga z ogromno različnih tehnologij in specifičnih napadov. Jasno je, da lahko splet razumemo kot vse, kar ima dostop do omrežja. Tu mislimo na različna spletna mesta, portale in posebne API-je, dostopne iz omrežja. Praksa kaže, da podjetju v povprečju analiza celotnega omrežnega perimetra vzame manj časa kot ena spletna stran, še posebej, če ima nekaj interaktivnih elementov, osebni račun ipd. To področje doživlja pravi razcvet, predvsem zaradi razvoja e-poslovanja bank in množičnega vstopa maloprodaje na internet.

Glavni rezultati napada na spletni vir so običajno ogrožanje podatkov iz DBMS in možnost napada na stranke (na primer različne vrste XSS najdemo na spletnih mestih vsake druge banke). Nekoliko redkeje vam ogrožanje spletnega strežnika omogoči prodor v samo omrežje podjetja, vendar pogosto, če so podatki, ki jih iščete, že ogroženi, napadalcu to morda ni potrebno.

Pri analizi spleta je pomembno preveriti ne le tehnični del, temveč tudi samo logiko delovanja in izvajanja poslovnih funkcij. Še vedno lahko včasih dobite 99% popust v spletni trgovini ali uporabite nekoga drugega bonus točke, pri čemer je nekoliko spremenil vrstico zahteve do strežnika v naslovni vrstici.

Napadi na splet se lahko izvajajo tudi znotraj omrežja, saj je varnost notranji viri običajno ne pomislimo, a v resnici večina hekerjev najprej napade infrastrukturo, saj je to najkrajša pot do skrbnika domene. Spleta se lotijo, ko nič drugega ne deluje ali ko morajo priti v izolirane segmente omrežja.

Naraščajoče zanimanje za testiranje odpornosti na DDoS je še posebej opazno v zadnjih nekaj letih. Informacije o večjih napadih se nenehno pojavljajo v tisku, vendar zadeva ni omejena nanje. V segmentu spletne trgovine se na primer v času največje prodaje (pred prazniki) napadi pojavljajo skoraj nenehno. Kaj storiti s primitivnimi napadi, katerih cilj je izčrpati komunikacijski kanal ali vire strežnika s pošiljanjem velikih količin prometa, je na splošno jasno. Bolj zanimivo je preučiti odpornost vira na napade na ravni aplikacije. Tudi en odjemalec, ki ustvari relativno majhno število specifičnih zahtev za spletno mesto, ga lahko zruši. Na primer, posebne poizvedbe v iskalnem polju po spletnem mestu lahko popolnoma uničijo zaledje.

Socialni inženiring, t.j. Uporaba človeške nepazljivosti, malomarnosti ali pomanjkanja usposabljanja za vdiranje je danes postala najbolj priljubljen način prodiranja v omrežje podjetja.

Poleg tega obstaja mnenje, da ta odpadek ni uporaben. Ta izraz združuje ogromno število tehnik, vključno s pošiljanjem goljufivih sporočil po pošti, telefonu in osebni komunikaciji za pridobitev dostopa do objekta ali sistemov, razprševanje bliskovnih pogonov z zlonamernimi prilogami v bližini pisarne podjetja žrtve in še veliko več.

Napadi na Wi-Fi so pomotoma pripisani notranjemu pentestingu. Če vaš pametni telefon ne prevzame službenega Wi-Fi-ja zunaj vhoda, to ne zagotavlja, da ga napadalci ne bodo mogli doseči. Usmerjena antena iz ebaya za 100 $ nam je omogočila delo na razdalji več kot kilometer od dostopne točke. Pri pentestingu Wi-Fi ni vedno obravnavan kot točka prodora v omrežje. Pogosteje se uporablja za napad na uporabnike. Pentester na primer parkira pri vhodu v podjetje pred začetkom delovnega dne in vzpostavi omrežje z istim imenom (SSID) kot Wi-Fi podjetja. Naprave v torbah in žepih zaposlenih se poskušajo pridružiti znanemu omrežju in posredovati ... domensko prijavo in geslo za preverjanje pristnosti. Pentester nato ta puščanja uporabi za dostop do e-pošte uporabnikov, strežnikov VPN itd.

Analiza mobilnih aplikacij je za napadalca poenostavljena s tem, da jih je mogoče preprosto prenesti iz trgovine in podrobno pregledati v peskovniku ter obnoviti izvorno kodo. Za običajne spletne vire lahko o takšnem razkošju samo sanjamo. Zato je ta napadalni vektor danes tako priljubljen. Mobilni odjemalci Danes so zelo pogosti ne le med bankami in maloprodajo. Izpuščeni so vsepovsod, varnost pa je zadnja stvar, o kateri razmišljajo.

Običajno lahko študijo mobilne aplikacije razdelimo na 3 komponente: analizo obnovljene izvorne kode za varnostne luknje, študijo aplikacije v peskovniku in analizo metod interakcije med aplikacijo in strežnikom (vsebina paketa, API , ranljivosti samega strežnika). Pred kratkim smo imeli primer, ko je API strežniške strani aplikacije za mobilno bančništvo deloval tako, da je bilo mogoče generirati paket, ki je povzročil prenos poljubne količine denarja s katerega koli bančnega računa na kateri koli drug račun. In to ni bila raziskava pred zagonom aplikacije - v proizvodnji je bila že dolgo. Veliko goljufivih shem se danes izvaja tudi z uporabo mobilnih aplikacij, saj se na boj proti goljufijam pozablja še pogosteje kot na informacijsko varnost.

Analizo izvorne kode ni povsem pravilno obravnavati kot pentest, še posebej, če naročnik odda izvorne kode v raziskavo v odprti obliki. To je bolj revizija varnosti aplikacije bele škatle. Vendar se to delo pogosto izvaja v povezavi s pentestingom, da se zagotovi višja raven odkrivanja ranljivosti, zato ga je tukaj vredno omeniti. Pentest vam omogoča, da potrdite ali ovržete napake, odkrite med analizo kode (navsezadnje v določeni infrastrukturi vseh varnostnih težav dejansko ni mogoče izkoristiti). To bistveno zmanjša število lažnih pozitivnih rezultatov, ki povzročajo analizo kode, zlasti avtomatsko. Hkrati se zaradi analize kode pogosto najdejo luknje, o katerih pentester ni ugibal.

Po naših izkušnjah se najpogosteje naroča analiza kode mobilnih aplikacij in spletnih storitev, saj so ti najbolj dovzetni za napade.

Pentest je kot pregled pri zobozdravniku: bolje ga je izvajati redno, da preprečimo težave v zgodnjih fazah

Omejitve Pentest

Glavni omejitvi, ki ločita pentest od pravega napada in otežujeta bele klobuke, sta kazenski zakonik in etika. Pentester na primer najpogosteje ne more napasti sistemov strankinih partnerjev, domačih računalnikov zaposlenih ali infrastrukture telekomunikacijskih operaterjev, ne uporablja ustrahovanja, groženj, izsiljevanja, podkupovanja in drugih zelo učinkovitih metod kriminalcev v socialnem inženiringu. Toliko bolj prepričljivi so rezultati uspešnega prodora v okviru »čistega« pentesta. Če vaš pentester pri svojem delu krši zakon, desetkrat premislite, ali bi morali takšni osebi dovoliti bližino svojih ključnih sistemov.

Končno

Pentest, tako kot zdravniški pregled, večina standardov priporoča vsaj enkrat letno. Obenem je dobro občasno zamenjati strokovnjake, ki dela izvajajo, da ne zameglimo pogleda in ocenimo varnost z različnih zornih kotov. Navsezadnje vsak specialist ali ekipa do te ali druge stopnje razvije neko specializacijo.

Pentesting je čas, strošek in stres za varnostne strokovnjake, vendar je težko najti bolj vizualni in realistični način za oceno varnosti IT infrastrukture. V vsakem primeru je bolje, da luknjo poišče pogodbeni strokovnjak kot heker. Navsezadnje se prvi pogosto konča za storitev informacijske varnosti z dodelitvijo dodatnih sredstev za varnost, drugi pa z iskanjem nove zaposlitve.

Penetration test je metoda ocenjevanja varnosti IT infrastrukture podjetja s pooblaščenim modeliranjem napadov vsiljivcev.

Ugotovite stroške testiranja

×

Izpolnite obrazec za povratne informacije, poslali vam bomo vprašalnik za določitev stroškov storitve

Ohranjanje zaupnih informacij in ugled podjetja sta odvisna od tega, kako zanesljivo je IT infrastruktura zaščitena pred napadalci. Zato je tako pomembno preveriti njegovo varnost v praksi. Pogosto ima lahko tudi optimalen nabor varnostnih orodij nepravilne konfiguracijske nastavitve, kar vodi do ranljivosti in poveča verjetnost implementacije groženj.

Delo penetracijskega testiranja je namenjeno:

Pridobitev neodvisne in celovite ocene trenutne stopnje varnosti.

Pridobitev neodvisne ocene ozaveščenosti zaposlenih o vprašanjih informacijske varnosti.

Pri delu se izvajajo zunanje in notranje varnostne analize ter testiranja z metodami socialnega inženiringa.

Rešene težave pri izvajanju varnostne analize:

• Identifikacija ranljivosti informacijske varnosti in metode njihovega izkoriščanja.
• Preverjanje možnosti prodora iz zunanjih omrežij v lokalno računalniško omrežje.
• Razvoj priporočil za izboljšanje ravni varnosti z odpravo ugotovljenih ranljivosti.

Če lahko dejanja (na primer izkoriščanje določenih ranljivosti) povzročijo neuspeh pri delovanju proučevanih virov, se takšno delo izvede šele po dodatni odobritvi. Po potrebi, odvisno od izbranega scenarija dela, se po testiranju izvede delo za odpravo negativnega vpliva na vire.

Če se med delom varnostne analize sprejme odločitev o potrebi po takojšnji odpravi ugotovljenih ranljivosti, se izvedejo naslednji ukrepi:

• beleženje rezultatov izkoriščanja ranljivosti (v obliki posnetkov zaslona, ​​posnetkov specialističnih dejanj, dnevnikov delovanja sistema itd.)
• ugotavljanje potrebe in dogovor o načinih za odpravo ranljivosti
• odpravljanje ranljivosti

Faze testiranja

Pri izvajanju varnostnih analiz se uporabljajo univerzalni skenerji ranljivosti za odkrivanje ranljivosti v aplikacijah, OS in omrežni infrastrukturi ter specializirani programski opremi. Delo penetracijskega testiranja se izvaja v treh fazah in vključuje naslednje faze:

Faza 1 – analiza zunanje varnosti:

• Izdelava načrta izvedbe zunanje varnostne analize in uskladitev z delovno skupino

Faza 2 – analiza notranje varnosti:

Dela se izvajajo na lokaciji naročnika.

• Izdelava načrta notranje varnostne analize in uskladitev z delovno skupino
• Analiza rezultatov, priprava poročila in potrditev na delovni skupini

Faza 3 – testiranje z metodami socialnega inženiringa:

Delo poteka na daljavo z uporabo zunanjih podatkovnih omrežij (internet).

• Izdelava načrta testiranja z metodami socialnega inženiringa in uskladitev z delovno skupino
• Analiza rezultatov, priprava poročila in potrditev na delovni skupini

Izvedba zunanje varnostne analize

Namen te faze dela je preizkusiti sposobnost napadalca, da pridobi nepooblaščen dostop do virov in zaupnih informacij.

Varnostna analiza se izvaja po modelu »črne skrinjice« (pomanjkanje pooblaščenega dostopa, začetni konfiguracijski podatki in uporabljeni ukrepi za zaščito informacij).

V okviru zunanje varnostne analize se izvajajo naslednje vrste del:

• zbiranje javno dostopnih informacij o zunanjih virih, dostopnih iz zunanjih podatkovnih omrežij
• iskanje ranljivosti virov in njihovih infrastrukturnih komponent z uporabo varnostnih skenerjev in specializirane programske opreme

• skriptiranje med spletnimi mesti
• ponarejanje zahtev med spletnimi mesti
• odprta preusmeritev
• nepravilno obravnavanje napak, ki zagotavlja dodatne informacije o sistemu, ki se preskuša

Izvedba analize notranje varnosti

Namen te faze dela je preizkusiti sposobnost napadalca, da izvede nepooblaščen dostop (v nadaljevanju ASD) do virov in zaupnih informacij.

Varnostna analiza se izvaja po modelu »sive škatle« (omogoča avtoriziran dostop do sistemov).

V okviru notranje varnostne analize se izvajajo naslednje vrste del:

• zbiranje podatkov o infrastrukturi (omrežne storitve, operacijski sistemi in aplikacijska programska oprema zunanjih virov), prepoznavanje ranljivosti s pomočjo specializirane programske opreme in univerzalni skenerji varnost
• iskanje ranljivosti strankinih virov in njihovih infrastrukturnih komponent z uporabo varnostnih skenerjev in specializirane programske opreme
• izkoriščanje ugotovljenih ranljivosti z uporabo specializirane programske opreme in ročno za ugotavljanje ustreznosti ugotovljenih ranljivosti ter možnost pridobitve projektne dokumentacije za komponente programskega izdelka in zaupne informacije

V procesu iskanja ranljivosti se med drugim preverja prisotnost naslednjih glavnih vrst ranljivosti:

• vbrizgavanje fragmentov kode (na primer vbrizgavanje Stavki SQL, izvajanje ukazov operacijskega sistema
• nevarno izvedeni postopki za preverjanje pristnosti in upravljanje sej
• skriptiranje med spletnimi mesti
• napake pri nadzoru dostopa (na primer neposredne povezave do objektov z zaupnimi informacijami, ranljivosti pri prehodu imenika)
• nevarna konfiguracija programske opreme (na primer omogočanje seznamov imenikov)
• razkritje zaupnih informacij (na primer posredovanje uporabniku osebnih podatkov drugih uporabnikov)
• napake, ki uporabniku omejujejo dostop do določenih funkcij
• ponarejanje zahtev med spletnimi mesti
• nepravilno obravnavanje napak, ki zagotavlja dodatne informacije o sistemu, ki se preskuša
• uporaba OS in programske opreme z znanimi ranljivostmi
• odprta preusmeritev
• obdelava zunanjih entitet XML
• nepravilno obravnavanje napak, ki zagotavlja dodatne informacije o sistemu, ki se preskuša
• uporaba preprosta gesla med avtentikacijo

Izvajanje testiranja z metodami socialnega inženiringa

Namen te faze dela je oceniti ozaveščenost zaposlenih pri strankah o vprašanjih informacijske varnosti.

Kot del testiranja socialnega inženiringa se napadi izvajajo na uslužbence strank v naslednjih scenarijih:

• Lažno predstavljanje - napad se izvede prek E-naslov. Primer napada: Zaposlenemu v imenu podjetja pošljejo povezavo z »novo in zelo uporabno storitvijo« za njegovo delo. Pismo vsebuje opis storitve in kako točno naj bi pomagala konkretnemu zaposlenemu pri njegovem delu. Prav tako vas pismo prosi, da preverite funkcionalnost in ali vse deluje pravilno. Namen dela je pridobiti zaposlenega, da obišče to storitev in se poskusi registrirati s poverilnicami domene.
• Trojanski konj - napad se izvede preko elektronske pošte. Primer napada: Uslužbenec je poslan izvršljiva datoteka, medtem ko je vsebina pisma lahko različna glede na položaj zaposlenega: pogodba za vodjo, seznam napak za programerja itd. Delo je namenjeno zagotavljanju, da zaposleni zažene program na lokalni računalnik in zabeležiti dejstvo zagona takega programa.
• Telefonski napad - napad se izvede prek telefonski klic. Delo je namenjeno pridobivanju zaupanja zaposlenega tako, da se izmisli verodostojna zgodba na naslovnici in nato odkrije zaupne informacije ali poverilnice zaposlenega. Primer legende: »Nov tehnični delavec. podpora opravi prvo nalogo uvajanja storitve in mora preveriti, ali deluje pravilno. Zaposlenega prosi za pomoč: prijavi se samostojno ali mu povej svoje uporabniško ime in geslo.”

Analiza rezultatov

Rezultat dela je poročilo, ki vsebuje naslednje podatke.

Osnovna orodja za preverjanje varnosti sistema so orodja za samodejno zbiranje sistemskih podatkov in penetracijsko testiranje. Predlagamo, da razmislimo o principu delovanja takšnih orodij na primeru izdelka Rapid7 Metasploit podjetja Rapid7, enega vodilnih proizvajalcev analitičnih rešitev za informacijsko varnost, ki ga visoko ocenjujejo vplivna raziskovalna in svetovalna podjetja, vključno z Gartnerjem in Forresterjem.

Uvod

Penetration test (pentest) je ena najučinkovitejših metod za ocenjevanje kakovosti varnostnega sistema. Izvaja se z namenom identifikacije ranljivosti v IT infrastrukturi, prikaza možnosti izkoriščanja ranljivosti ter priprave priporočil za njihovo odpravo. Postopki testiranja se izvajajo na pobudo lastnika informacijski sistem in so namenjeni preprečevanju informacijskovarnostnih incidentov, ki jih pogosto spremljajo finančne izgube in izgube ugleda, neprijetna pojasnila s strankami in predstavniki partnerskih organizacij ter druge neželene posledice.

IN Ruska federacija Pomemben dejavnik, ki določa potrebo po izvedbi penetracijskega testiranja, so regulativne zahteve. Slednji menijo, da je preverjanje učinkovitosti varovalnega sistema izjemno pomemben ukrep, ustrezne določbe pa so vključene v regulativne in metodološke dokumente. Najprej je v zvezi s tem primerno omeniti regulativne dokumente, ki zajemajo veliko število informacijskih sistemov - odredbe FSTEC Rusije št. 17 in 21.

Ti dokumenti opredeljujejo zaščitni ukrep v obliki »testiranja informacijskovarnostnega sistema s poskusom nepooblaščenega dostopa (vpliva) v informacijski sistem mimo njegovega informacijskovarnostnega sistema« v fazi certificiranja. Pri informacijskih sistemih, ki obdelujejo državne skrivnosti, je povpraševanje tudi po certificiranju informacijskih sistemov, ki vključuje preverjanje učinkovitosti varnostnega sistema.

V mednarodnem merilu je priporočljivo upoštevati varnostni standard podatkov industrije plačilnih kartic PCI DSS (Payment Card Industry Data Security Standard). Skladnost z določili standarda PCI DSS je obvezna za vse organizacije, ki se ukvarjajo s procesiranjem plačilnih kartic Visa in MasterCard: trgovce, procesne centre, pridobitelje, izdajatelje in ponudnike storitev ter vse druge organizacije, ki hranijo, obdelujejo ali prenašajo imetnika. podatkovne kartice in občutljivi podatki za preverjanje pristnosti. Določbe standarda predvidevajo analizo ranljivosti in testiranje penetracije znotraj in zunaj omrežja informacijskega sistema. Zunanje in notranje penetracijske teste je treba izvesti vsaj enkrat letno in po kakršnih koli večjih spremembah ali nadgradnjah infrastrukture/aplikacij.

Preizkušanje penetracije (pentest) se lahko izvaja v okviru izpopolnjevanja strokovnjakov za informacijsko varnost in pridobivanja praktičnih veščin študentov, ki študirajo specialnosti, povezane z informacijsko varnostjo, pa tudi za testiranje lastnih izdelkov s strani razvijalcev orodij za informacijsko varnost.

Očitno je za vse te namene največ povpraševanja po integrirani rešitvi za obvladovanje groženj, ki pokriva varnost omrežja, varnost spletnih aplikacij, varnost podatkovnih baz in strategije penetracijskega testiranja ter vsebuje zadostne funkcionalnosti za izpolnjevanje zahtev domačih in mednarodnih predpisov, in uporabo v učnem procesu. Med tovrstne rešitve spada Rapid7 Metasploit podjetja Rapid7, ki je bilo ustanovljeno leta 2000 in je eden vodilnih proizvajalcev izdelkov za analizo in organizacijo sistemov informacijske varnosti v IT okoljih. Pomembna prednost programsko opremo Rapid7 zagotavlja vpogled v varnostno stanje sredstev in uporabnikov v katerem koli okolju, vključno z virtualnimi in mobilnimi ter javnimi in zasebnimi oblaki.

Za ovrednotenje rešitve Rapid7 Metasploit lahko uporabite rešitev istega proizvajalca – predstavitveno ranljiv virtualni stroj Metasploitable, opremljen Ubuntu Linux. Navidezni stroj Združljivo z VMWare, VirtualBox in drugimi pogostimi platformami za virtualizacijo.

Pomembna pomoč je, da je Rapid7 Metasploit združljiv s skenerjem ranljivosti Rapid7 Nexpose, lahko sproži njegov zagon in tudi uporabi rezultate slednjega.

Oglejmo si splošni postopek za delo z Rapid7 Metasploit.

Kako delati z Rapid7 Metasploit

IN splošni pogled Delo z Rapid7 Metasploit je sestavljeno iz naslednjih korakov:

1. Ustvarjanje projekta. Projekt vsebuje delovni prostor, ki se uporablja za ustvarjanje penetracijskega testa in konfiguracijo nalog, ki jih je treba izvesti. Vsak penetracijski test se izvaja iz lastnega projekta.
2. Zbiranje informacij. Na tej stopnji Rapid7 Metasploit zbira informacije o ciljnem omrežju: nameščeno OS, odprta vrata, zagnani gostitelji in procesi. Na tej stopnji lahko uporabite tudi pregledovalnik ranljivosti Rapid7 Nexpose. Med skeniranjem se vsi prejeti podatki samodejno shranijo v projekt.
3. Uporaba podvigov. Napad se lahko izvede ročno ali z uporabo baze podatkov o izkoriščanju. To uporablja omrežne podatke, pridobljene v 2. koraku.
4. Ukrepi, izvedeni na ogroženem sistemu. Po pridobitvi dostopa se uporabi exploit payload, s pomočjo katerega se sprožijo interaktivne seje za zbiranje dodatnih informacij, prav tako pa je možno uporabiti post-exploitation module za samodejno zbiranje gesel, shranjenih v operacijskem sistemu in aplikacijah, posnetkov zaslona, ​​slik. od spletnih kamer, snemanje pritiskov tipk, zbiranje konfiguracijske datoteke, zagon aplikacij itd.

Primerjava izdaj Rapid7 Metasploit

Rapid7 Metasploit je na voljo v več izdajah, ki se razlikujejo po obsegu ponujenih funkcij in vrsti licence za uporabo. Trenutno so na voljo naslednje izdaje izdelkov:

• Okvir
• Skupnost
• Express

Tabela vsebuje informacije o tem, katere ciljne funkcije so implementirane v posamezni izdaji izdelka. Za udobje so ciljne funkcije z uporabo različnih barv razdeljene v skupine glede na njihov glavni namen:

• Zberite podatke o značilnostih komponent in ranljivosti omrežja.
• Testiranje penetracije.
• Izvedite lažno predstavljanje.
• Testiranje spletnih aplikacij.
• Ustvarjanje poročil.
• Nadzor.

Tabela 1. Primerjava izdaj Rapid7 Metasploit

Značilno	Pro	Express	Skupnost
Uvažanje skeniranih podatkov (Uvoz podatkov skeniranja)	✔	✔	✔
Skeniranje z zaznavanjem (Skeniranje odkritja)	✔	✔	✔
Integracija s sistemom za upravljanje ranljivosti Nexpose (Integracija skeniranja Nexpose)	✔	✔	✔
Izvoz podatkov (Izvoz podatkov)	✔	✔	✔
Ročno zagon exploitov (Ročno izkoriščanje)	✔	✔	✔
Spletni vmesnik (spletni vmesnik)	✔	✔	✔
Upravljanje sej (Upravljanje sej)	✔	✔	✔
Upravljanje poverilnic (Upravljanje poverilnic)	✔	✔	✔
Prodor skozi močno točko (Proxy pivot)	✔	✔	✔
Moduli, izvedeni po kompromisu (Moduli po izkoriščanju)	✔	✔	✔
Čiščenje seje (Čiščenje seje)	✔	✔	✔
Metoda izbire (Bruteforce)	✔	✔
Zbiranje dokazov (Zbirka dokazov)	✔	✔
Beleženje pregleda (revizijsko poročilo)	✔	✔
Poročanje o dejavnostih (Poročilo o dejavnosti)	✔	✔
Poročanje o ogroženih in ranljivih gostiteljih (Poročilo o ogroženih in ranljivih gostiteljih)	✔	✔
Poročanje o poverilnicah (Poročilo o poverilnicah)	✔	✔
Poročanje o uspešnosti storitev (Poročilo o storitvah)	✔	✔
Ponovna uporaba poverilnic (Ponovna uporaba poverilnic)	✔	✔
Poskus obhoda protivirusnega programa (Protivirusna utaja)	✔	✔
Poskus zaobiti sisteme za zaznavanje in preprečevanje vdorov (Izmikanje IPS/IDS)	✔	✔
Ponovni zagon seje (ponovitev seje)	✔	✔
Tehnološki postopek kompromisa (Potek dela pri izkoriščanju)	✔	✔
Igranje nalog (Ponovitev naloge)	✔	✔
Označevanje podatkov (Podatki o označevanju)	✔
Poročanje o skladnosti PCI DSS (PCI poročilo)	✔
Poročanje o skladnosti FISMA (poročilo FISMA)	✔
"Master" za hitro testiranje penetracije (Čarovnik za hitri PenTest)	✔
"Čarovnik" za preverjanje ranljivosti (Čarovnik za preverjanje ranljivosti)	✔
Integracija s sistemom za skeniranje kakovosti kode Sonar (Integracija projekta Sonar)	✔
"Mojster" za lažno predstavljanje (Čarovnik za lažno predstavljanje)	✔
Sociotehnična analiza (Socialni inženiring)	✔
"Čarovnik" za testiranje spletnih aplikacij (Čarovnik za testiranje spletne aplikacije)	✔
Testiranje spletnih aplikacij (testiranje spletne aplikacije)	✔
Prodor skozi močno točko z uporabo tuneliranja VPN (VPN vrtenje)	✔
Generator tovora (generator tovora)	✔
Makri, izvedeni po kompromisu (Makri po izkoriščanju)	✔
Vztrajne seje (Trajne seje)	✔
Meta moduli (MetaModuli)	✔
Skupinsko delo (Timsko sodelovanje)	✔
Verige opravil (verige opravil)	✔
Varnostno kopiranje in obnovitev (Varnostno kopiranje in obnovitev)	✔
Poročanje po meri (Poročanje po meri)	✔
Sociotehnično poročanje (Poročilo o socialnem inženiringu)	✔
Poročanje o oceni spletne aplikacije (Poročilo o oceni spletne aplikacije)	✔

Izdaja Metasploit Framework se razlikuje po tem, da služi kot osnova za ustvarjanje komercialnih izdelkov. Gre za odprtokodni projekt, ki omogoča dostop do baze podatkov o podvigih za različne aplikacije, operacijske sisteme in platforme. Nadzor se izvaja preko vmesnika ukazna vrstica. Uporabnik Metasploit Framework lahko ustvarja in dodaja nove exploite v podatkovno bazo ali uporablja obstoječe kot dodatna orodja pri izvajanju penetracijskih testov.

Preostale izdaje so komercialne, dodatno izvajajo upravljanje preko spletnega vmesnika, glede na izdajo pa so dodane določene funkcije. Večinoma te dodatne funkcije so namenjeni avtomatizaciji pogostih nalog testiranja: analiza ranljivosti, sociotehnika, generiranje koristnega tovora, napadi s surovo silo.

zaključki

Rapid7 Metasploit ima širok razpon funkcionalnost. Rešitev lahko deluje bodisi preko spletnega vmesnika bodisi prek vmesnika ukazne vrstice – možnost se določi na željo uporabnika. Vendar je celoten nabor funkcij na voljo samo pri delu s spletnim vmesnikom. Rapid7 Metasploit podpira operacijske sisteme Družina Windows in Linux.

Še nekaj značilnih lastnosti Rapid7 Metasploit:

• Možnost izbire izdaje, ki ustreza potrebam posameznega primera.
• Možnost uporabe rezultatov analize ranljivosti iz rešitev tretjih oseb.
• Možnost vadbe na posebej zasnovanem ranljivem sistemu.
• Integracija izdelka (v izdaji Framework) z distribucijami Linuxa:
  • Kali Linux
  • Backtrack linux (ukinjeno)
  • Pentoo
  • BlackArch
  • Backbox

Rapid7 Metasploit ima več omejitev na ravni delovanja, ki jih je vredno upoštevati:

• Namestitev in kasnejše pravilno delovanje izdelka je možno šele po onemogočitvi požarnega zidu in protivirusnega programa.
• Priporočljivo je namestiti Rapid7 Nexpose in Metasploit na ločena orodja računalniška tehnologija. V tem primeru je možno namestiti Rapid7 Metasploit v virtualni stroj.
• Pomanjkanje popolnega prevoda operativne dokumentacije v ruščino. Z vklopljenim navodilom za uporabo angleški jezik najdete na spletni strani proizvajalca v razdelku Metasploit.