การทดสอบการเจาะที่ครอบคลุม การทดสอบการเจาะคืออะไร? การดำเนินการโจมตีบนเว็บแอปพลิเคชัน

การทดสอบการเจาะระบบเป็นการผสมผสานระหว่างวิธีการที่คำนึงถึงปัญหาของระบบต่างๆ และการทดสอบ วิเคราะห์ และมอบแนวทางแก้ไข ขึ้นอยู่กับขั้นตอนที่มีโครงสร้างซึ่งทำการทดสอบการเจาะทีละขั้นตอน ด้านล่างนี้คือการทดสอบการเจาะเจ็ดขั้นตอน:

การวางแผนและการเตรียมการ

การวางแผนและการเตรียมการเริ่มต้นด้วยการกำหนดเป้าหมายและวัตถุประสงค์ของการทดสอบการเจาะระบบ

ลูกค้าและผู้ทดสอบร่วมกันกำหนดเป้าหมายเพื่อให้ทั้งสองฝ่ายมีเป้าหมายและความเข้าใจที่เหมือนกัน วัตถุประสงค์ในการทดสอบการเจาะทั่วไปคือ:

  • ระบุช่องโหว่และปรับปรุงความปลอดภัยของระบบทางเทคนิค
  • รับรองความปลอดภัยด้านไอทีโดยบุคคลที่สามภายนอก
  • ปรับปรุงความปลอดภัยของโครงสร้างพื้นฐานขององค์กร/ทรัพยากรบุคคล

ศึกษา

หน่วยสืบราชการลับรวมถึงการวิเคราะห์ข้อมูลเบื้องต้น หลายครั้งที่ผู้ทดสอบไม่มีข้อมูลมากนักนอกจากข้อมูลเบื้องต้น ซึ่งก็คือที่อยู่ IP หรือบล็อกของที่อยู่ IP ผู้ทดสอบเริ่มต้นด้วยการวิเคราะห์ข้อมูลที่มีอยู่ และหากจำเป็น ก็ขอให้ได้รับจากผู้ใช้ ข้อมูลเพิ่มเติมเช่น คำอธิบายระบบ แผนเครือข่าย ฯลฯ ขั้นตอนนี้เป็นการทดสอบการเจาะระบบแบบพาสซีฟ เป้าหมายเดียวคือการได้รับข้อมูลที่ครบถ้วนและมีรายละเอียดเกี่ยวกับระบบ

กำลังเปิด

ณ จุดนี้ ผู้ทดสอบการเจาะระบบมีแนวโน้มที่จะใช้เครื่องมืออัตโนมัติเพื่อสแกนสินทรัพย์เป้าหมายเพื่อตรวจจับช่องโหว่ เครื่องมือเหล่านี้มักจะมีฐานข้อมูลของตัวเองที่ให้ข้อมูลเกี่ยวกับช่องโหว่ล่าสุด อย่างไรก็ตามผู้ทดสอบตรวจพบ

  • การค้นพบเครือข่าย- เช่น การเปิด ระบบเพิ่มเติมเซิร์ฟเวอร์และอุปกรณ์อื่นๆ
  • การค้นพบโฮสต์- กำหนด เปิดพอร์ตบนอุปกรณ์เหล่านี้
  • บริการสอบปากคำ- สำรวจพอร์ตเพื่อค้นหาบริการจริงที่ทำงานอยู่

ข้อมูลและการวิเคราะห์ความเสี่ยง

ในขั้นตอนนี้ ผู้ทดสอบจะวิเคราะห์และประเมินข้อมูลที่รวบรวมก่อนขั้นตอนการทดสอบเพื่อเจาะระบบแบบไดนามิก เนื่องจากระบบจำนวนมากและขนาดของโครงสร้างพื้นฐาน จึงใช้เวลานาน เมื่อวิเคราะห์ผู้ทดสอบจะพิจารณาองค์ประกอบต่อไปนี้:

  • วัตถุประสงค์เฉพาะของการทดสอบการเจาะ
  • ความเสี่ยงที่อาจเกิดขึ้นกับระบบ
  • เวลาโดยประมาณที่ต้องใช้ในการประเมินข้อบกพร่องด้านความปลอดภัยที่อาจเกิดขึ้นสำหรับการทดสอบการเจาะระบบที่ใช้งานอยู่ในภายหลัง

อย่างไรก็ตาม จากรายการระบบที่ระบุ ผู้ทดสอบสามารถเลือกทดสอบเฉพาะระบบที่มีช่องโหว่ที่อาจเกิดขึ้นได้

ความพยายามในการบุกรุก

นี่เป็นขั้นตอนที่สำคัญที่สุดและต้องทำด้วยความระมัดระวัง ขั้นตอนนี้เกี่ยวข้องกับขอบเขตที่ช่องโหว่ที่อาจเกิดขึ้นซึ่งค้นพบในระหว่างขั้นตอนการค้นพบที่ก่อให้เกิดความเสี่ยงที่แท้จริง ขั้นตอนนี้ควรดำเนินการเมื่อจำเป็นต้องตรวจสอบช่องโหว่ที่อาจเกิดขึ้น สำหรับระบบที่มีข้อกำหนดด้านความสมบูรณ์ที่สูงมาก จะต้องพิจารณาจุดอ่อนและความเสี่ยงที่อาจเกิดขึ้นอย่างรอบคอบก่อนดำเนินการตามขั้นตอนการทำความสะอาดที่สำคัญ

การวิเคราะห์ขั้นสุดท้าย

ขั้นตอนนี้จะพิจารณาขั้นตอนทั้งหมดที่ดำเนินการ (ตามที่กล่าวไว้ข้างต้น) จนถึงเวลานี้ก่อน และการประเมินช่องโหว่ที่ปรากฏในรูปแบบของความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ ผู้ทดสอบแนะนำให้ขจัดช่องโหว่และความเสี่ยง ก่อนอื่น ผู้ทดสอบจะต้องมั่นใจในความโปร่งใสของการทดสอบและช่องโหว่ที่ค้นพบ

จัดทำรายงาน

การเตรียมรายงานควรเริ่มต้นด้วยขั้นตอนการทดสอบทั่วไป จากนั้นจึงวิเคราะห์จุดอ่อนและความเสี่ยง ควรจัดลำดับความสำคัญของความเสี่ยงสูงและช่องโหว่ที่สำคัญ ตามด้วยลำดับที่ต่ำกว่า

อย่างไรก็ตาม เมื่อจัดทำเอกสารรายงานขั้นสุดท้าย ควรพิจารณาประเด็นต่อไปนี้:

  • ภาพรวมทั่วไปของการทดสอบการเจาะ
  • รายละเอียดข้อมูลเกี่ยวกับแต่ละขั้นตอนและข้อมูลที่รวบรวมระหว่างการทดสอบปากกา
  • ข้อมูลโดยละเอียดเกี่ยวกับช่องโหว่และความเสี่ยงที่ตรวจพบทั้งหมด
  • ชิ้นส่วนสำหรับทำความสะอาดและยึดระบบ
  • ข้อเสนอเพื่อความมั่นคงในอนาคต

เจ้าของธุรกิจ ผู้เชี่ยวชาญด้านไอที และผู้ใช้คอมพิวเตอร์ทั่วไปทุกคนเคยเผชิญกับภัยคุกคามทางไซเบอร์อย่างน้อยหนึ่งครั้ง ใน โลกสมัยใหม่พวกมันมีพลังเพิ่มมากขึ้นและสามารถก่อให้เกิดความเสียหายอย่างใหญ่หลวงไม่เพียงต่อธุรกิจเท่านั้น แต่ยังรวมถึงรัฐด้วย

แฮกเกอร์มีสองประเภท:

หมวกสีขาว- ทำงานเพื่อความปลอดภัย ต่อต้านการบุกรุกที่ผิดกฎหมาย

แฮกเกอร์ดำ (หมวกดำ)- ฝ่าฝืนกฎหมาย ขโมยข้อมูลส่วนบุคคล บัญชีธนาคารว่างเปล่า

ทีมงานของเราจะทำหน้าที่ดำเนินการทดสอบเพื่อค้นหาช่องโหว่ในเครือข่ายสำนักงานของบริษัทของคุณ บนเว็บไซต์และแอปพลิเคชันของคุณ และยังมีส่วนช่วยอีกด้วย วิศวกรรมสังคมเราจะสามารถระบุแผนกที่ได้รับการคุ้มครองต่ำที่สุดในบริษัทของคุณและให้คำแนะนำเกี่ยวกับวิธีการเสริมสร้างการป้องกันให้แข็งแกร่งขึ้น

มีอะไรรวมอยู่ในการทดสอบ Pentesting (การทดสอบความปลอดภัย)?

การทดสอบความปลอดภัยของบริษัทอาจรวมถึง:
  • การวิเคราะห์เครือข่ายภายนอกและปริมณฑล
  • Pentest (การทดสอบการเจาะ)
  • การทดสอบเครือข่ายภายใน
  • ค้นหาช่องโหว่และการแสวงหาผลประโยชน์
  • วิศวกรรมสังคม
  • ทดสอบเว็บไซต์ของบริษัท
  • การทดสอบ แอปพลิเคชันมือถือบริษัท
  • รายงานการทดสอบและคำแนะนำ

รายการการทดสอบที่แน่นอนจะพิจารณาในขั้นตอนการเจรจา หลังจากศึกษาความต้องการของลูกค้าแล้ว

ค่าใช้จ่ายในการทดสอบการเจาะ

การทดสอบเครือข่ายองค์กรภายนอก

ราคาตามคำขอ

การทดสอบการเจาะ (เพนเทสต์)

ราคาตามคำขอ

ทดสอบแอปพลิเคชันบนเว็บและมือถือ

ราคาตามคำขอ

วิศวกรรมสังคม

ราคาตามคำขอ

การทดสอบความปลอดภัยแบบครบวงจร

ราคาตามคำขอ

การสืบสวนอาชญากรรมทางไซเบอร์

ราคาตามคำขอ


สำคัญ

“น่าเสียดายที่บริษัทส่วนใหญ่มักเริ่มคิดถึงเรื่องนี้ ความปลอดภัยของข้อมูลเมื่อพวกเขาได้รับความทุกข์ทรมานแล้ว แฮกเกอร์ไม่สนใจขนาดของบริษัทของคุณและการหมุนเวียนของบริษัท พวกเขาสนใจจำนวนบริษัทที่ถูกแฮ็ก”

ปกป้องบริษัทของคุณจากภัยคุกคามทางไซเบอร์!

แล้วเพนเทสต์คืออะไร?

การทดสอบคือการค้นหา และการทดสอบการเจาะระบบเป็นหนึ่งในการค้นหาเชิงลึกและมีประสิทธิภาพมากที่สุดสำหรับจำนวนจุดและพื้นที่สูงสุดที่มีระดับช่องโหว่ที่แตกต่างกันสำหรับการเจาะทรัพยากรและผู้ใช้ของบุคคลที่สาม การบุกรุกดังกล่าวสามารถกระทำได้ทั้งโดยมุ่งร้ายหรือโดยอ้อมเพื่อป้อนหรือรับข้อมูลบางอย่าง


เทคนิคนี้สามารถดำเนินการแยกกันและรวมอยู่ในระบบการทดสอบปกติหรือแบบครั้งเดียวเพื่อสร้างมาตรการป้องกันที่มีประสิทธิภาพต่อการโจมตีและการบุกรุกของบุคคลที่สามในขอบเขตที่กว้างที่สุด

สาเหตุของช่องโหว่ของระบบ

การสูญเสียความปลอดภัยสามารถเกิดขึ้นได้ในขั้นตอนต่าง ๆ ของการทำงานของระบบใด ๆ แต่ในกรณีใด ๆ ขึ้นอยู่กับอิทธิพลของปัจจัยต่าง ๆ เช่น:

  • ข้อผิดพลาดในการออกแบบ

  • กระบวนการกำหนดค่าที่ไม่ถูกต้องเมื่อเลือกการกำหนดค่าการทำงานต่ำของการรวมกันของซอฟต์แวร์และอุปกรณ์ที่เกี่ยวข้องกับระบบ

  • ข้อบกพร่องด้านความปลอดภัยในระบบเอาต์พุตเครือข่าย ยิ่งระดับความปลอดภัยสูงเท่าไร การเชื่อมต่อเครือข่ายยิ่งโอกาสที่จะเกิดผลกระทบด้านลบและความเป็นไปได้ที่จะแทรกซึมอิทธิพลที่เป็นอันตรายเข้าสู่ระบบก็จะยิ่งน้อยลงเท่านั้น

  • ปัจจัยด้านมนุษย์ ซึ่งแสดงออกมาในกรณีที่เกิดข้อผิดพลาดที่เป็นอันตรายหรือไม่ได้ตั้งใจในการออกแบบ การใช้งาน หรือการบำรุงรักษาเครือข่ายระหว่างการทำงานส่วนตัวหรือเป็นทีม

  • องค์ประกอบการสื่อสาร แสดงในการถ่ายโอนข้อมูลที่เป็นความลับโดยไม่มีการป้องกัน

  • ความซับซ้อนของระบบสูงเกินสมควร การควบคุมระดับความปลอดภัยทำได้ง่ายกว่าการติดตามช่องทางการรั่วไหลของข้อมูลจากข้อมูลเสมอ สิ่งที่ทำได้ง่ายกว่าในระบบที่เรียบง่ายและใช้งานได้ดีกว่าในระบบที่ซับซ้อน

  • ขาดความรู้ ขาดการฝึกอบรมวิชาชีพในระดับที่เพียงพอในประเด็นด้านความปลอดภัยในหมู่ผู้เชี่ยวชาญที่เกี่ยวข้องโดยตรงหรือโดยอ้อมกับการใช้ระบบ

การทดสอบแตกต่างจากการประเมินช่องโหว่

แม้จะมีจุดประสงค์ในการใช้งานที่คล้ายคลึงกันก็ตาม กล่าวคือ การค้นหาและการจัดระเบียบผลิตภัณฑ์ซอฟต์แวร์ที่ปลอดภัยที่สุด พวกเขาทำงานแตกต่างกัน


การทดสอบการเจาะจะดำเนินการผ่านการตรวจสอบจริง ดำเนินการทั้งด้วยตนเองและใช้ระบบและเครื่องมือที่มีความเชี่ยวชาญสูงบางอย่าง สิ่งที่ทำได้ผ่านการจำลองอิทธิพลที่เป็นอันตราย ช่วยให้สามารถระบุจุดอ่อนได้


การกำหนดระดับของช่องโหว่นั้นมาจากการตรวจสอบขั้นตอนการทำงานอย่างรอบคอบเพื่อระบุช่องว่างที่เป็นไปได้ที่ข้อมูลสามารถหลบหนีได้ในระหว่างการโจมตีบางประเภท สิ่งนี้จะช่วยค้นหาพื้นที่ที่เสี่ยงต่ออิทธิพลของแฮ็กเกอร์ ซึ่งจะกำหนดระดับความปลอดภัยโดยรวมของระบบที่อยู่ระหว่างการทดสอบ ในระหว่างการดำเนินการ จะมีการระบุ "จุดอ่อน" ที่ระบุ แก้ไข และกำจัด


ดังนั้นการกำหนดระดับของช่องโหว่จึงเป็นขั้นตอนการทำงานที่กำหนดไว้ และการทดสอบการเจาะทำงาน “ตามสถานการณ์” ด้วย เป้าหมายร่วมกันมีอิทธิพลต่อระบบอย่างรุนแรงที่สุดเท่าที่จะเป็นไปได้เพื่อระบุช่องว่างในการป้องกัน

มันมีไว้เพื่ออะไร

ช่วยให้คุณค้นหาและแก้ไขช่องว่างในระบบความปลอดภัยของโปรแกรมที่คุณใช้อยู่ นี่เป็นงานเชิงรุกเพื่อป้องกันความเป็นไปได้ที่จะแทรกซึมอิทธิพลเชิงลบของบุคคลที่สาม โดยไม่คำนึงถึงเป้าหมายและระดับของการนำไปปฏิบัติ สิ่งนี้จะช่วยสร้างระบบการป้องกันที่มีความสามารถสูงสุดต่อภัยคุกคามที่คาดหวังจากภายนอก ไม่ใช่แค่ที่มีอยู่เท่านั้น

การตรวจสอบดังกล่าวช่วยให้:

  • ค้นหาจุดอ่อน/จุดอ่อนในระบบก่อนที่จะเผชิญกับอิทธิพลด้านลบจากภายนอก และทำให้ข้อมูลรั่วไหล นี่เป็นทางเลือกที่ดี อัปเดตบ่อยครั้งระบบ เนื่องจากอย่างหลังส่งผลกระทบต่อความเข้ากันได้และความเร็วของการทำงานของระบบที่ทำการดีบั๊กก่อนหน้านี้โดยไม่คำนึงถึงสิ่งเหล่านั้น เป็นการดีกว่าที่จะควบคุมการอัปเดตมากกว่าดำเนินการโดยไม่มีการควบคุม

  • ประเมินเครื่องมือรักษาความปลอดภัยที่นำไปใช้งาน ช่วยให้นักพัฒนาได้รับการประเมินความสามารถของตนตามความเป็นจริง รวมถึงระดับการปฏิบัติตามมาตรฐานความปลอดภัยในปัจจุบัน นอกจากนี้ การทดสอบการเจาะระบบยังช่วยให้คุณระบุความเสี่ยงทางธุรกิจ รวมถึงส่วนประกอบอื่นๆ ของการป้องกัน ซึ่งอาจลดลงในระหว่างการแลกเปลี่ยนระหว่างการใช้ส่วนประกอบซอฟต์แวร์ที่ได้รับอนุญาตและที่เปิดใช้งานใหม่ร่วมกัน ทำให้สามารถจัดโครงสร้างและจัดลำดับความสำคัญ ลดและขจัดระดับความเสี่ยงที่ตรวจพบและผลกระทบด้านลบของภัยคุกคามที่เป็นไปได้
  • ระบุความเสี่ยงเพื่อปรับปรุงมาตรฐานความปลอดภัยที่มีอยู่

กระบวนการติดตามตรวจสอบ

การทดสอบการเจาะในปัจจุบันสามารถทำได้โดยใช้เทคนิคมากมาย แต่เทคนิคหลักและเป็นที่ต้องการมากที่สุดคือ:

การทดสอบด้วยตนเองดำเนินการตามอัลกอริทึมต่อไปนี้

  • การวางแผนหรือการรวบรวมข้อมูลอย่างระมัดระวังโดยคำนึงถึงความต้องการ ขอบเขตการใช้งาน วัตถุประสงค์ของการติดตามที่กำลังจะเกิดขึ้น โดยคำนึงถึงระดับการป้องกันที่มีอยู่ อาจมีการระบุพื้นที่เฉพาะสำหรับการติดตามระดับการป้องกัน ประเภทของผลกระทบที่ต้องการ/ตามแผน และข้อกำหนดอื่นๆ สำหรับการติดตามในอนาคตที่นี่

  • การจัดการข่าวกรองมุ่งเป้าไปที่การค้นหาและสะสมข้อมูลที่ได้รับในระบบและกลไกการป้องกันแบบรวมของบุคคลที่สามที่จำเป็นสำหรับการกำหนดเป้าหมายและการโจมตีที่จัดเป็นพิเศษในบล็อกที่ระบุหรือทั้งระบบ เป้าหมาย: ได้รับการทดสอบที่มีประสิทธิภาพสูงสุด ดังนั้นจึงมีสองประเภท: แบบพาสซีฟและแบบแอคทีฟ โดยแบบแรกจะดำเนินการโดยไม่มีอิทธิพลเชิงรุกต่อระบบ และแบบที่สองตรงกันข้ามโดยสิ้นเชิง

  • การวิเคราะห์ผลลัพธ์ที่ระบุ ขั้นตอนนี้ช่วยให้คุณสามารถระบุจุดอ่อนที่สุดที่จะใช้สำหรับการเจาะเข้าสู่ระบบเชิงรุกเพิ่มเติม

  • การใช้ผลลัพธ์ที่ได้รับ ตามตำแหน่งที่ระบุของ "การเจาะระบบอย่างง่าย" ของระบบป้องกัน การโจมตีที่เตรียมไว้จะดำเนินการกับซอฟต์แวร์ทั้งในรูปแบบของการโจมตีภายนอกและภายใน อิทธิพลภายนอกเป็นภัยคุกคามต่อระบบจากภายนอก โดยที่ภัยคุกคามภายนอกโดยตรงที่ส่งผลต่อระบบและความพยายามพิเศษในการเข้าถึงข้อมูลของระบบที่ได้รับการป้องกันจะถูกจำลอง การโจมตีภายในแสดงถึงระยะที่สองของผลกระทบ ซึ่งเริ่มต้นหลังจากการเจาะเข้าสู่ระบบจากภายนอกได้สำเร็จ ช่วงของเป้าหมายสำหรับอิทธิพลเพิ่มเติมนั้นกว้างและหลากหลาย สิ่งสำคัญคือการประนีประนอมของระบบที่พวกเขาเจาะเข้าไป

  • ผลลัพธ์ของการดำเนินการทำให้สามารถระบุวัตถุประสงค์ของภัยคุกคามที่ระบุแต่ละรายการและกำหนดศักยภาพสำหรับกระบวนการธุรกิจภายในของระบบโดยรวมและส่วนประกอบแต่ละส่วนโดยเฉพาะ
  • ข้อสรุปคือกลุ่มเอกสารประกอบของงานที่ดำเนินการและผลลัพธ์ที่ได้รับ อธิบายภัยคุกคามที่อาจเกิดขึ้นและขอบเขตของผลกระทบเชิงลบเมื่อบรรลุเป้าหมายผลกระทบ

    • การทดสอบด้วยเครื่องมืออัตโนมัติไม่เพียงแต่มีประสิทธิภาพ แต่ยังมีประโยชน์มากเมื่อใช้เครื่องมือพิเศษสูงอีกด้วย สะดวกในการใช้งาน ใช้เวลาน้อยที่สุด และประสิทธิผลช่วยให้คุณสร้างข้อสรุปที่ "ชัดเจน" เกี่ยวกับงานที่ทำเสร็จได้


    รายการเครื่องมือยอดนิยม ได้แก่ Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af คอลเลกชันระบบ Linux นำเสนอสิ่งที่น่าสนใจและใช้งานได้มากมาย


    สำหรับงานให้เลือกเครื่องมือที่ตรงตามความต้องการ เช่น

    • การปฏิบัติจริงของการเริ่มต้น การใช้งาน และการบำรุงรักษาเพิ่มเติม

    • ความสะดวกในการสแกน

    • ระดับของระบบอัตโนมัติเมื่อระบุช่องโหว่

    • ระดับความพร้อมของการทดสอบพื้นที่ที่ค้นพบก่อนหน้านี้ซึ่งอ่อนแอต่อการโจมตีจากภายนอก

    • ระดับของความสามารถในการสร้างเอกสารการรายงานที่มีรายละเอียดและเรียบง่ายเกี่ยวกับงานที่ทำและผลลัพธ์ที่ได้รับ

    เป็นการผสมผสานวิธีการข้างต้นเข้าด้วยกัน นี่เป็นวิธีทดสอบการเจาะที่เหมาะสมที่สุด เนื่องจากสามารถรวมข้อดีของทั้งสองวิธีเข้าด้วยกัน และทำให้รวดเร็วและมีรายละเอียดมากที่สุด

    ประเภทของการทดสอบการเจาะ

    การแบ่งส่วนจะขึ้นอยู่กับเครื่องมือที่ใช้และการตรวจสอบวัตถุ:


    • สังคมหรือมนุษย์ ซึ่งผู้คนเชื่อมต่อกันซึ่งสามารถรับข้อมูลที่จำเป็นจากระยะไกลหรือในท้องถิ่นและประมวลผลได้อย่างชัดเจน

    • แอปพลิเคชันซอฟต์แวร์ที่ใช้ในการระบุข้อบกพร่องด้านความปลอดภัย มีการใช้ตัวเลือกต่างๆ สำหรับข้อเสนอทางเว็บและบริการพิเศษของบริการที่ใช้หรือแหล่งข้อมูลบุคคลที่สามในเวลาเดียวกัน

    • ทรัพยากรเครือข่ายที่ช่วยให้คุณระบุความเป็นไปได้ของการเข้าถึงหรือการเจาะของแฮ็กเกอร์โดยไม่ได้รับอนุญาตโดยผู้ใช้ที่ไม่ได้รับอนุญาต

    • ส่วนลูกค้าใช้ในการทำงาน การใช้งานพิเศษติดตั้งบนเว็บไซต์หรือแอปพลิเคชันของลูกค้า

    • การเข้าถึงระยะไกลดำเนินการโดยการทดสอบ VPN หรือวัตถุที่คล้ายกันที่ช่วยให้สามารถเข้าถึงระบบนี้ได้อย่างเหมาะสม

    • การเชื่อมต่อไร้สาย มีวัตถุประสงค์เพื่อทดสอบแอปพลิเคชัน บริการ และเครื่องมือไร้สาย

    การจำแนกประเภทของวิธีการติดตามยังคำนึงถึงประเภทของแนวทางในการดำเนินการด้วย อะไรช่วยให้คุณเน้นได้:

    • สีขาว โดยที่ผู้ทดสอบสามารถเข้าถึงข้อมูลเกี่ยวกับฟังก์ชันและเครื่องมือของระบบที่กำลังทดสอบได้ อะไรทำให้งานของเขามีประสิทธิภาพและประสิทธิผลมากที่สุดเท่าที่จะเป็นไปได้ เนื่องจากการครอบครองข้อมูลดังกล่าวช่วยให้คุณเข้าใจความซับซ้อนและคุณลักษณะของระบบที่อยู่ระหว่างการทดสอบ และทำการทดสอบด้วยการจุ่มสูงสุด

    • สีดำให้การเข้าถึงข้อมูลพื้นฐานหรือระดับสูงเกี่ยวกับระบบ ผู้ทดสอบรู้สึกเหมือนแฮ็กเกอร์มากกว่าพนักงานที่ทำงานจากภายในระบบ ความเข้มของแรงงานระดับสูง วิธีนี้ต้องใช้เวลาและความรู้อย่างถี่ถ้วนตลอดจนประสบการณ์ในการดำเนินการ ดังนั้นจึงมีความเป็นไปได้สูงที่จะพลาดหรือการทดสอบไม่สมบูรณ์

    • การเข้าถึงข้อมูลระบบเป็นสีเทาหรือจำกัดเพียงพอที่จะสร้างการโจมตีภายนอกจำลอง

    ขีดจำกัดการทดสอบการเจาะ

    มีข้อจำกัดมากมายเกี่ยวกับช่วงของอิทธิพลดังกล่าว แต่ข้อจำกัดหลักๆ ได้แก่:

    • ระยะเวลาสั้น ๆ โดยมีต้นทุนเริ่มต้นสูงในขั้นตอนนี้

    • การจำกัดจำนวนการทดสอบต่อหน่วยเวลา

    • ความเป็นไปได้ที่จะเกิดความล้มเหลวในการเจาะในส่วนของระบบ

    • ข้อมูลที่ได้รับมีช่องโหว่ในระดับสูง

    บทสรุป

    แฮกเกอร์ยุคใหม่พร้อมชุดโปรแกรมและการอัปเดตอย่างต่อเนื่อง เครื่องมือที่มีประสิทธิภาพเพื่อทำการโจมตีอย่างมีประสิทธิภาพ ดังนั้นพวกเขาจึงมักจะเข้าสู่ระบบที่สนใจโดยมีจุดประสงค์โดยตรงที่จะประนีประนอมเครือข่ายหรือใช้ประโยชน์จากทรัพยากรของมัน การตรวจสอบการบุกรุกในกรณีนี้จะมีประสิทธิภาพสูงสุดในฐานะเครื่องมือในการตรวจจับช่องโหว่ในระบบรักษาความปลอดภัย และช่วยให้คุณสามารถลดโอกาสที่จะเกิดภัยคุกคามภายนอกต่อซอฟต์แวร์โดยรวมได้


ในช่วงสองสามปีที่ผ่านมามีเหตุการณ์มากมายที่เพิ่มความสนใจของสาธารณชนในหัวข้อการโจมตีของแฮ็กเกอร์อย่างมาก เรื่องอื้อฉาวที่เกี่ยวข้องกับการแฮ็กระบบของพรรคประชาธิปัตย์สหรัฐ, การปิดการใช้งานระบบโครงสร้างพื้นฐานด้านพลังงานของกระทรวงการคลังและกระทรวงการคลังของยูเครน, ไวรัสแรนซัมแวร์ที่ไม่เพียงเข้ารหัสไฟล์เท่านั้น แต่ยังบล็อกการทำงานของอุปกรณ์อุตสาหกรรมและการแพทย์ด้วย ,MIRAL บอตเน็ตยักษ์จาก อุปกรณ์ในครัวเรือนซึ่งทำให้ครึ่งหนึ่งของสหรัฐอเมริกาและไลบีเรียขาดการสื่อสาร ผู้โจมตีรุมทึ้งธนาคารราวกับหมาป่าแกะที่ไร้ทางสู้... แม้แต่ SWIFT ก็ยังถูกโจมตี! แฮกเกอร์จากคอภาพยนตร์ได้กลายเป็นส่วนหนึ่งของความเป็นจริงของผู้คนหลายพันล้านคน

เป็นเรื่องปกติที่ธุรกิจในปัจจุบันจะลงทุนทรัพยากรเพื่อการรักษาความปลอดภัยในทางปฏิบัติเป็นหลัก ซึ่งต่างจากการปฏิบัติตามข้อกำหนดด้านกฎระเบียบอย่างเป็นทางการโดยใช้วิธีการเพียงเล็กน้อย และเป็นเรื่องปกติสำหรับเขาที่ต้องการตรวจสอบว่าระบบรักษาความปลอดภัยที่สร้างขึ้นสามารถป้องกันฉลามออนไลน์ได้อย่างมีประสิทธิภาพเพียงใด

ครั้งนี้เราตัดสินใจที่จะมุ่งเน้นไปที่แง่มุมเชิงปฏิบัติของการรักษาความปลอดภัยข้อมูล (IS) ที่เกี่ยวข้องกับการโจมตีทางคอมพิวเตอร์และการป้องกันโดยตรงต่อการโจมตีเหล่านั้น สำหรับการแฮ็กที่ดำเนินการโดย "หมวกขาว" เช่น ผู้เชี่ยวชาญที่เลียนแบบการกระทำของผู้โจมตีอย่างถูกกฎหมายจะใช้คำว่า "การทดสอบการเจาะ" (เพนเทสต์) คำนี้ซ่อนการวิจัยด้านความปลอดภัยไว้หลายด้าน และแต่ละหัวข้อก็มีผู้เชี่ยวชาญเป็นของตัวเอง ในบทความนี้ เราจะมาทำความเข้าใจว่าเพนเทสต์คืออะไร เหตุใดจึงจำเป็น และเส้นแบ่งระหว่างการโจมตีของแฮ็กเกอร์และการทดสอบการเจาะระบบอยู่ตรงไหน

Pentest ถือเป็นการตรวจสอบความปลอดภัยของข้อมูลประเภทหนึ่ง และนี่คือความแตกต่างที่สำคัญจากการแฮ็กจริง แฮกเกอร์กำลังมองหาเส้นทางที่สั้นที่สุดในการควบคุมระบบของเหยื่อ หากพบหลุมที่เส้นรอบวง ผู้โจมตีจะมุ่งเน้นไปที่การรวบรวมและพัฒนาการโจมตีจากภายใน และเพนเทสเตอร์ที่ได้รับคำสั่งให้ทำการทดสอบเครือข่ายภายนอกจะต้องตรวจสอบโฮสต์แล้วโฮสต์เล่าอย่างละเอียดถี่ถ้วน แม้ว่าจะพบรูทั้งหมดแล้วก็ตาม หากโฮสต์เป็นประเภทเดียวกัน (เช่น เวิร์กสเตชันที่เหมือนกัน 1,000 เครื่อง) แน่นอนว่าผู้วิจัยสามารถสร้างตัวอย่างการควบคุมได้ แต่เป็นที่ยอมรับไม่ได้ที่จะข้ามระบบที่แตกต่างกันโดยพื้นฐาน นี่อาจเป็นวิธีที่ง่ายที่สุดสำหรับลูกค้าในการระบุเพนเทสต์คุณภาพต่ำ

Pentest ไม่ได้แทนที่การตรวจสอบความปลอดภัยของข้อมูลอย่างเต็มรูปแบบ โดดเด่นด้วยมุมมองที่แคบของระบบที่กำลังศึกษาอยู่ Pentest เกี่ยวข้องกับผลที่ตามมา ไม่ใช่สาเหตุของข้อบกพร่องด้านความปลอดภัยของข้อมูล ทำไมต้องดำเนินการเลย? เมื่ออุตสาหกรรมผลิตอุปกรณ์ทางทหารรูปแบบใหม่ วิศวกรจะคำนวณคุณสมบัติของชุดเกราะและคุณลักษณะของอาวุธอย่างรอบคอบ แต่ในระหว่างการยอมรับทางทหาร อุปกรณ์ดังกล่าวยังคงถูกขนออกไปที่สนามฝึก ยิงใส่ ระเบิด ฯลฯ การทดลองเป็นเกณฑ์ของความจริง Pentest ช่วยให้เราเข้าใจว่ากระบวนการรักษาความปลอดภัยข้อมูลของเราถูกสร้างขึ้นตามที่เราคิดหรือไม่ ระบบรักษาความปลอดภัยของเราเชื่อถือได้หรือไม่ การกำหนดค่าบนเซิร์ฟเวอร์นั้นถูกต้องหรือไม่ เราเข้าใจเส้นทางที่แฮ็กเกอร์ตัวจริงจะใช้หรือไม่ ดังนั้น เราจึงอาจรู้สึกว่าการทดสอบ Pentesting เป็นสิ่งจำเป็นสำหรับบริษัทที่ลงทุนมหาศาลในด้านความปลอดภัยของข้อมูลแล้ว ในทางทฤษฎีสิ่งนี้เป็นจริง แต่ในทางปฏิบัติมักจะแตกต่างออกไปมาก

ฉันคิดสูตร Pentest ขึ้นมาดังนี้:

การวิจัยเป็นส่วนที่ชัดเจนที่สุดของเพนเทสต์ เช่นเดียวกับในภาพยนตร์: คนแปลกหน้าสวมเสื้อฮู้ดทำลายระบบป้องกันไอทีในเวลากลางคืน ในความเป็นจริงทุกอย่างมักจะค่อนข้างธรรมดากว่า แต่ ภาพนี้อนุญาตให้ผู้ทดสอบไม่ปฏิบัติตามระเบียบการแต่งกายของบริษัท

โดยปกติแล้วการรายงานไม่ใช่ส่วนโปรดของผู้ทดสอบการเจาะระบบ แต่มีความสำคัญอย่างยิ่ง ลูกค้าของงานจะต้องได้รับคำอธิบายโดยละเอียดเกี่ยวกับความพยายามในการเจาะที่ประสบความสำเร็จและไม่สำเร็จทั้งหมด คำอธิบายที่ชัดเจนเกี่ยวกับช่องโหว่ และที่สำคัญมากคือคำแนะนำในการกำจัดช่องโหว่เหล่านั้น ในส่วนสุดท้าย มีเหตุผลที่จะต้องให้ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลเฉพาะทางเข้ามามีส่วนร่วม เนื่องจากการรู้วิธีทำลายข้อมูลไม่ได้หมายความว่าจะต้องรู้วิธีแก้ไขอย่างถูกต้องและปลอดภัยในความเป็นจริงของโครงสร้างพื้นฐานด้านไอทีขององค์กรเลย

และองค์ประกอบสุดท้ายที่มักจะจัด Pentest ทั้งหมดก็คือการแสดง การตรวจสอบดังกล่าวถือเป็นลำดับความสำคัญที่เหนือกว่าการตรวจสอบอื่นๆ ในแง่ของความชัดเจน โดยเฉพาะสำหรับผู้ที่ไม่ใช่มืออาชีพ นี้ วิธีที่ดีที่สุดแสดงให้เห็นถึงข้อบกพร่องด้านความปลอดภัยของข้อมูลแก่ฝ่ายบริหารของ บริษัท ในรูปแบบที่ผู้ที่ไม่ใช่ผู้เชี่ยวชาญสามารถเข้าถึงได้ บทสรุปผู้บริหารโดยย่อ (สองสามหน้า) พร้อมสแกนหนังสือเดินทางของ CEO หน้าชื่อเรื่องรายงานที่เป็นความลับและฐานลูกค้าสามารถก่อให้เกิดประโยชน์ต่อความปลอดภัยของข้อมูลของบริษัทได้มากกว่ารายงานความยาว 200 หน้าทั้งหมดที่ตามมา นี่คือเหตุผลว่าทำไมบริษัทที่ไม่เคยเกี่ยวข้องกับความปลอดภัยของข้อมูลมาก่อนจึงมักสั่งเพนเทสต์ และธุรกิจและมักจะเป็นฝ่ายไอทีไม่เข้าใจถึงความร้ายแรงของความเสี่ยงที่มีอยู่

พารามิเตอร์การทดสอบ

Pentest สามารถจำแนกได้มากที่สุด วิธีทางที่แตกต่าง. เราจะเน้นเฉพาะสิ่งที่มีคุณค่าในทางปฏิบัติเท่านั้นเมื่อกำหนดค่าเพนเทสต์สำหรับตัวคุณเอง

เป้าหมายของการโจมตีที่ลูกค้ากำหนดอาจแตกต่างกันอย่างมากในแต่ละเพนเทสต์ “เพียงแค่แฮ็กเรา” มักจะหมายถึงการยึดการควบคุมโครงสร้างพื้นฐานด้านไอที (สิทธิ์ของผู้ดูแลระบบโดเมน อุปกรณ์เครือข่าย) การประนีประนอมของระบบธุรกิจและข้อมูลที่เป็นความลับ และมีเพนเทสต์ที่กำหนดเป้าหมายอย่างหวุดหวิด ตัวอย่างเช่น ส่วนหนึ่งของการรับรองข้อกำหนดด้านความปลอดภัยของข้อมูลการ์ด PCI DSS วัตถุประสงค์ของ Pentest ประจำปีคือ เพื่อลดทอนข้อมูลของการ์ด ที่นี่ในวันแรกของการทำงาน เครือข่ายของธนาคารอาจถูกยึดอย่างสมบูรณ์ แต่หากป้อมปราการสุดท้ายที่มีข้อมูลลับไม่ตก องค์กรก็จะผ่านการทดสอบได้สำเร็จ

แบบจำลองความรู้เกี่ยวกับระบบจะกำหนดตำแหน่งเริ่มต้นของเครื่องทดสอบการเจาะ จาก ข้อมูลที่สมบูรณ์เกี่ยวกับระบบ ( กล่องสีขาว) จนขาดหมด (กล่องดำ) บ่อยครั้งที่มีตัวเลือกตรงกลาง (กล่องสีเทา) เช่น เพนเทสเตอร์เลียนแบบการกระทำของผู้ใช้ที่ไม่มีสิทธิ์ซึ่งมีข้อมูลบางอย่างเกี่ยวกับระบบ ซึ่งอาจเป็นเสมียนธรรมดา บริษัทหุ้นส่วน ลูกค้าที่สามารถเข้าถึงได้ พื้นที่ส่วนบุคคลและอื่น ๆ กล่องสีขาวเป็นของการตรวจสอบมากกว่าแบบเพนเทสต์แบบคลาสสิก ใช้เมื่อต้องการศึกษาความปลอดภัยในพื้นที่แคบโดยละเอียด ตัวอย่างเช่น กำลังทดสอบพอร์ทัลลูกค้าใหม่ ผู้วิจัยจะได้รับข้อมูลทั้งหมดเกี่ยวกับระบบ ซึ่งมักจะเป็นซอร์สโค้ด ซึ่งจะช่วยศึกษาระบบอย่างละเอียด แต่แทบจะไม่จำลองการโจมตีจริงเลย ลูกค้าที่อยู่ในช่วงทดสอบ Black Box ต้องการรับการจำลองการโจมตีโดยแฮ็กเกอร์ที่ไม่มีข้อมูลวงในเกี่ยวกับระบบ

โมเดลความรู้มีความคาบเกี่ยวอย่างมากกับแนวคิดของโมเดลผู้บุกรุก ใครกำลังโจมตีเรา: แฮกเกอร์ภายนอก, คนวงใน, ผู้ดูแลระบบ? การแบ่งส่วนนี้เป็นไปตามอำเภอใจมาก ประนีประนอม เวิร์กสเตชันจากมุมมองทางเทคนิค ผู้ใช้ทั่วไปหรือผู้รับเหมาจะเปลี่ยนแฮ็กเกอร์ภายนอกให้กลายเป็นผู้บุกรุกภายในทันที

ระดับการรับรู้ของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลจะกำหนดว่าใครจะรู้เกี่ยวกับงานที่กำลังดำเนินการและในรายละเอียดใดบ้าง บ่อยครั้ง นอกเหนือจากอุปกรณ์แล้ว บุคลากรยังถูกทดสอบด้วย ดังนั้นงานจึงได้รับการประสานงานโดยฝ่ายรักษาความปลอดภัยข้อมูลหรือผู้อำนวยการฝ่ายไอที และผู้ดูแลระบบเชื่อว่าพวกเขากำลังต่อสู้กับแฮกเกอร์ตัวจริง หากแน่นอน พวกเขาสังเกตเห็นการโจมตีด้วยซ้ำ แบบฝึกหัดทางไซเบอร์ดังกล่าวทำให้สามารถประเมินได้ไม่เพียงแต่การมีอยู่ของช่องโหว่ในระบบเท่านั้น แต่ยังรวมถึงความสมบูรณ์ของกระบวนการรักษาความปลอดภัยข้อมูล ระดับของการโต้ตอบระหว่างแผนกต่างๆ เป็นต้น สิ่งที่ตรงกันข้ามคือการเลียนแบบการกระทำของผู้โจมตีเพื่อฝึกระบบการป้องกัน ในกรณีนี้ เพนเทสเตอร์ทำงานในพื้นที่ขนาดเล็ก และผู้ดูแลระบบจะบันทึกปฏิกิริยาของเครื่องมือรักษาความปลอดภัยและระบบไอที ปรับการตั้งค่า เตรียมกฎสำหรับ SIEM ฯลฯ ตัวอย่างเช่น สถานการณ์จะถูกจำลองเมื่อแฮ็กเกอร์ได้เจาะกลุ่มปิดไปแล้ว เขาจะเพิ่มสิทธิพิเศษของเขาในระบบได้อย่างไร? Pentester ทำงานทีละตัวกับเวกเตอร์การโจมตีทั้งหมดที่เขารู้จัก เพื่อให้มั่นใจว่าระบบรักษาความปลอดภัยจะได้รับการฝึกอบรมที่สมบูรณ์แบบที่สุด

ประเภทของการโจมตี

มีประเภทการโจมตีหลายประเภทพอๆ กับเพนเทสเตอร์ ด้านล่างนี้ฉันจะแบ่งประเภทของการโจมตีพื้นฐานที่เราใช้ แน่นอนว่าเพนเทสต์ที่สมบูรณ์ที่สุดคือการโจมตีในทุกทิศทางที่เป็นไปได้ แต่ข้อจำกัดด้านงบประมาณ เวลา ขอบเขต และงานที่อยู่ระหว่างการทดสอบบังคับให้คุณเลือก

Pentest โครงสร้างพื้นฐานภายนอก - การวิเคราะห์ขอบเขตเครือข่ายจากอินเทอร์เน็ต Pentester พยายามประนีประนอมบริการเครือข่ายที่มีอยู่ และหากเป็นไปได้ ก็อาจพัฒนาการโจมตีภายในเครือข่าย หลายคนเชื่อว่านี่เป็นการเลียนแบบการโจมตีจริงที่มุ่งเจาะเครือข่ายของบริษัทจากภายนอก ในความเป็นจริง ผู้โจมตีในปัจจุบันสามารถเอาชนะขอบเขตเครือข่ายได้ใน 80–90% ของกรณีทั้งหมดโดยใช้วิธีวิศวกรรมสังคม ไม่จำเป็นต้องเจาะเข้าไปในกำแพงป้อมปราการหากมีอุโมงค์มหัศจรรย์อยู่ข้างใต้ อย่างไรก็ตาม ก็มักจะมีรูอยู่ที่นี่เช่นกัน ตัวอย่างเช่น เมื่อเร็ว ๆ นี้เราได้ดำเนินงานให้กับโรงงานเครื่องบินขนาดใหญ่ ซึ่งในระหว่างนั้นแม้จะอยู่ในขั้นตอนการวิเคราะห์อัตโนมัติ เครื่องสแกนก็สามารถเดารหัสผ่านของระบบได้ รีโมทเอพีซีเอส. ความประมาทเลินเล่อของผู้รับเหมาที่ลืมปิดการเข้าถึงระยะไกลทำให้แฮกเกอร์สามารถเพิ่มแรงกดดันในท่อส่งของเหลวทางเทคนิคตามลำดับความสำคัญ ทั้งหมดนี้มีความหมายตามตัวอักษรและเป็นรูปเป็นร่าง

Pentest ก็เหมือนกับการตรวจสุขภาพโดยทันตแพทย์ ควรทำอย่างสม่ำเสมอเพื่อป้องกันปัญหาในระยะแรกๆ จะดีกว่า

เงาไอที

การรุกล้ำมักเกิดขึ้นโดยใช้ระบบที่อยู่นอกเรดาร์ของไอที เซิร์ฟเวอร์ทั้งหมดในบริเวณรอบนอกได้รับการอัปเดตแล้ว แต่พวกเขาลืมเกี่ยวกับระบบโทรศัพท์ IP หรือระบบกล้องวงจรปิดไปแล้ว และแฮกเกอร์ก็อยู่ข้างในแล้ว สำหรับโครงสร้างพื้นฐานดังกล่าวที่ไม่อยู่ในสายตาของผู้ดูแลระบบ มีคำศัพท์พิเศษ - Shadow IT Gartner ประมาณการว่าภายในปี 2020 การแฮ็กมากถึงหนึ่งในสามจะเกี่ยวข้องกับ Shadow IT ในความเห็นของเรา นี่เป็นการประมาณการที่สมจริงอย่างยิ่ง

ตัวอย่างเช่น วันหนึ่ง Pentester ของเราพบระบบคอลเซ็นเตอร์ที่ไม่ได้รับการอัปเดตในบริเวณที่มีการป้องกันอย่างสมบูรณ์แบบของธนาคาร ซึ่งทำให้ระบบ AS ของธนาคารหลักทั้งหมดถูกบุกรุกอย่างสมบูรณ์ภายใน 2 วัน ปรากฎว่าไม่ใช่แผนกไอทีที่รับผิดชอบพวกเขา แต่เป็นผู้ดำเนินการโทรศัพท์ ในอีกกรณีหนึ่ง จุดเริ่มต้นสำหรับการเพนเทสต์คือเครือข่ายพนักงานต้อนรับ ซึ่งแยกออกจากเครือข่ายโดยสิ้นเชิง ลองนึกภาพความประหลาดใจของลูกค้าเมื่อสองสามวันต่อมา Pentester รายงานว่าเครือข่ายถูกยึดอย่างสมบูรณ์ เขาจัดการแฮ็กเครื่องพิมพ์ที่ไม่ได้รับการอัปเดต อัปโหลดเชลล์เข้าไปและเข้าถึง VLAN การจัดการเครื่องพิมพ์ หลังจากประนีประนอมพวกเขาทั้งหมดแล้ว Pentester ก็สามารถเข้าถึงส่วนสำนักงานทั้งหมดของบริษัทได้

Pentest โครงสร้างพื้นฐานภายในจำลองการกระทำของคนในหรือโหนดที่ติดไวรัสภายในเครือข่าย เครือข่ายจะต้องถูกสร้างขึ้นในลักษณะที่การประนีประนอมของเวิร์กสเตชันหรือเซิร์ฟเวอร์แต่ละเครื่องไม่นำไปสู่การพังทลายของการป้องกันโดยสมบูรณ์ ในความเป็นจริง มากกว่าครึ่งหนึ่งของกรณีในทางปฏิบัติของเรา ไม่เกินหนึ่งวันทำการที่ผ่านจากสิทธิ์ "การเข้าถึงเครือข่าย" ไปยัง "ผู้ดูแลระบบโดเมน"

เครือข่ายของบริษัทอาจมีขนาดใหญ่มาก ดังนั้นในบางกรณี ลูกค้าควรกำหนดเป้าหมายการโจมตีสำหรับเพนเทสเตอร์อย่างชัดเจน ตัวอย่างเช่น การเข้าถึง SAP และเอกสารทางการเงินที่ระบุว่า "เป็นความลับ" สิ่งนี้จะช่วยให้ Pentester ใช้เวลาได้อย่างมีประสิทธิภาพมากขึ้นและจำลองการโจมตีของแฮ็กเกอร์แบบกำหนดเองได้จริง

ทรัพยากรบนเว็บเป็นตัวแทนของโลกที่แยกจากมุมมองของการบุกรุก ด้วยเทคโนโลยีที่แตกต่างกันมากมายและการโจมตีเฉพาะ เป็นที่ชัดเจนว่าเว็บสามารถเข้าใจได้ว่าเป็นสิ่งใดก็ตามที่สามารถเข้าถึงเครือข่ายได้ ในที่นี้เราหมายถึงเว็บไซต์ พอร์ทัล และ API เฉพาะต่างๆ ที่เข้าถึงได้จากเครือข่าย การปฏิบัติแสดงให้เห็นว่าโดยเฉลี่ยแล้ว สำหรับบริษัท การวิเคราะห์ขอบเขตเครือข่ายทั้งหมดจะใช้เวลาน้อยกว่าเว็บไซต์เดียว โดยเฉพาะอย่างยิ่งหากมีองค์ประกอบเชิงโต้ตอบ บัญชีส่วนบุคคล ฯลฯ พื้นที่นี้กำลังประสบกับความเจริญอย่างแท้จริง โดยมีสาเหตุหลักมาจากการพัฒนาธุรกิจอิเล็กทรอนิกส์โดยธนาคารและการเข้าสู่ร้านค้าปลีกจำนวนมากบนอินเทอร์เน็ต

ผลลัพธ์หลักของการโจมตีทรัพยากรบนเว็บมักจะเป็นการประนีประนอมข้อมูลจาก DBMS และความเป็นไปได้ของการโจมตีไคลเอนต์ (เช่น พบ XSS ประเภทต่างๆ บนเว็บไซต์ของธนาคารทุก ๆ วินาที) บ่อยครั้งการประนีประนอมเว็บเซิร์ฟเวอร์ทำให้คุณสามารถเจาะเครือข่ายของบริษัทได้ แต่บ่อยครั้งหากข้อมูลที่คุณกำลังมองหาถูกบุกรุกอยู่แล้ว ผู้โจมตีอาจไม่จำเป็น

เมื่อวิเคราะห์เว็บ สิ่งสำคัญคือต้องตรวจสอบไม่เพียงแต่ส่วนทางเทคนิคเท่านั้น แต่ยังรวมถึงตรรกะของการดำเนินงานและการใช้งานฟังก์ชั่นทางธุรกิจด้วย บางครั้งคุณยังสามารถได้รับส่วนลด 99% ในร้านค้าออนไลน์หรือใช้ของผู้อื่น คะแนนโบนัสโดยปรับเปลี่ยนบรรทัดคำขอไปยังเซิร์ฟเวอร์ในแถบที่อยู่เล็กน้อย

การโจมตีบนเว็บสามารถดำเนินการภายในเครือข่ายได้ เนื่องจากมีความปลอดภัย ทรัพยากรภายในมักจะไม่คิด แต่ในความเป็นจริงแฮกเกอร์ส่วนใหญ่โจมตีโครงสร้างพื้นฐานก่อน เนื่องจากนี่เป็นเส้นทางที่สั้นที่สุดไปยังผู้ดูแลระบบโดเมน พวกเขาเข้าเว็บเมื่อไม่มีอะไรทำงานหรือเมื่อจำเป็นต้องเข้าสู่กลุ่มเครือข่ายที่แยกออกจากกัน

ความสนใจที่เพิ่มขึ้นในการทดสอบความต้านทาน DDoS นั้นเห็นได้ชัดเจนเป็นพิเศษในช่วงสองสามปีที่ผ่านมา ข้อมูลเกี่ยวกับการโจมตีครั้งใหญ่ปรากฏในสื่ออยู่ตลอดเวลา แต่เรื่องนี้ไม่ได้จำกัดอยู่แค่เพียงเท่านั้น ในส่วนของการค้าปลีกออนไลน์ ในช่วงที่มียอดขายสูงสุด (ก่อนวันหยุด) การโจมตีจะเกิดขึ้นเกือบต่อเนื่อง จะทำอย่างไรกับการโจมตีแบบดั้งเดิมที่มุ่งเป้าไปที่ช่องทางการสื่อสารหรือทรัพยากรเซิร์ฟเวอร์โดยการส่งปริมาณข้อมูลจำนวนมากโดยทั่วไปนั้นชัดเจน การศึกษาความต้านทานของทรัพยากรต่อการโจมตีระดับแอปพลิเคชันเป็นเรื่องที่น่าสนใจมากกว่า แม้แต่ไคลเอนต์รายเดียวที่สร้างคำขอเฉพาะไปยังเว็บไซต์จำนวนค่อนข้างน้อยก็สามารถขัดข้องได้ ตัวอย่างเช่น ข้อความค้นหาเฉพาะในช่องค้นหาไซต์สามารถทำลายส่วนหลังได้อย่างสมบูรณ์

วิศวกรรมสังคม เช่น การใช้ความตั้งใจของมนุษย์ ความประมาท หรือการขาดการฝึกอบรมในการแฮ็ก กลายเป็นวิธีที่นิยมที่สุดในการเจาะเครือข่ายของบริษัทในปัจจุบัน

นอกจากนี้ยังมีความเห็นว่าไม่มีประโยชน์สำหรับเศษนี้ คำนี้รวมเอาเทคนิคจำนวนมาก รวมถึงการส่งข้อความหลอกลวงทางไปรษณีย์ โทรศัพท์ และการสื่อสารส่วนตัวเพื่อเข้าถึงสถานที่หรือระบบ การกระจายแฟลชไดรฟ์พร้อมไฟล์แนบที่เป็นอันตรายใกล้สำนักงานของบริษัทเหยื่อ และอื่นๆ อีกมากมาย

การโจมตี Wi-Fi มีสาเหตุมาจากการเจาะระบบภายในอย่างผิดพลาด หากสมาร์ทโฟนของคุณไม่รับสัญญาณ Wi-Fi ของบริษัทนอกทางเข้า ก็ไม่ได้รับประกันว่าผู้โจมตีจะไม่สามารถเข้าถึงได้ เสาอากาศแบบกำหนดทิศทางจากอีเบย์ซึ่งมีราคา 100 ดอลลาร์ช่วยให้เราทำงานจากระยะไกลกว่าหนึ่งกิโลเมตรจากจุดเข้าใช้งานได้ ในการกักขัง Wi-Fi ไม่ถือเป็นจุดเจาะเข้าไปในเครือข่ายเสมอไป มักใช้เพื่อโจมตีผู้ใช้บ่อยขึ้น ตัวอย่างเช่น เพนเทสเตอร์จะจอดที่ทางเข้าขององค์กรก่อนเริ่มวันทำงานและปรับใช้เครือข่ายที่มีชื่อเดียวกัน (SSID) เป็น Wi-Fi ขององค์กร อุปกรณ์ในกระเป๋าและกระเป๋าของพนักงานพยายามเข้าร่วมเครือข่ายที่คุ้นเคย และส่ง... การเข้าสู่ระบบโดเมนและรหัสผ่านสำหรับการตรวจสอบสิทธิ์ Pentester จะใช้การรั่วไหลเหล่านี้เพื่อเข้าถึงอีเมลของผู้ใช้ เซิร์ฟเวอร์ VPN ฯลฯ

การวิเคราะห์แอปพลิเคชันมือถือนั้นง่ายขึ้นสำหรับผู้โจมตีโดยสามารถดาวน์โหลดได้อย่างง่ายดายจากร้านค้าและตรวจสอบรายละเอียดในแซนด์บ็อกซ์และกู้คืนซอร์สโค้ด สำหรับแหล่งข้อมูลบนเว็บทั่วไปใคร ๆ ก็สามารถฝันถึงความหรูหราเช่นนี้ได้ นี่คือสาเหตุที่เวกเตอร์การโจมตีนี้ได้รับความนิยมมากในปัจจุบัน ลูกค้ามือถือปัจจุบันนี้พบเห็นได้ทั่วไปไม่เฉพาะในธนาคารและการค้าปลีกเท่านั้น พวกมันถูกปล่อยไปทั่วสถานที่ และความปลอดภัยคือสิ่งสุดท้ายที่พวกเขานึกถึง

ตามอัตภาพ การศึกษาแอปพลิเคชันบนมือถือสามารถแบ่งออกเป็น 3 องค์ประกอบ ได้แก่ การวิเคราะห์ซอร์สโค้ดที่กู้คืนสำหรับช่องโหว่ด้านความปลอดภัย การศึกษาแอปพลิเคชันใน Sandbox และการวิเคราะห์วิธีการโต้ตอบระหว่างแอปพลิเคชันและเซิร์ฟเวอร์ (เนื้อหาแพ็คเกจ, API , ช่องโหว่ของเซิร์ฟเวอร์เอง) เมื่อเร็ว ๆ นี้ เรามีกรณีที่ API ฝั่งเซิร์ฟเวอร์ของแอปพลิเคชันธนาคารบนมือถือทำงานในลักษณะที่สามารถสร้างแพ็กเก็ตที่ทำให้เกิดการโอนเงินจำนวนหนึ่งจากบัญชีธนาคารใด ๆ ไปยังบัญชีอื่น ๆ ได้ และนี่ไม่ใช่การวิจัยก่อนการเปิดตัวแอปพลิเคชัน - มีการใช้งานจริงมาเป็นเวลานาน แผนการฉ้อโกงจำนวนมากในปัจจุบันยังถูกนำมาใช้โดยใช้แอปพลิเคชันมือถือ เนื่องจากการต่อสู้กับการฉ้อโกงถูกลืมบ่อยกว่าความปลอดภัยของข้อมูล

การพิจารณาวิเคราะห์ซอร์สโค้ดในฐานะเพนเทสต์นั้นไม่ถูกต้องทั้งหมด โดยเฉพาะอย่างยิ่งหากลูกค้าส่งซอร์สโค้ดเพื่อการวิจัยในรูปแบบเปิด นี่เป็นการตรวจสอบความปลอดภัยของแอปพลิเคชันกล่องขาวมากกว่า อย่างไรก็ตาม งานนี้มักจะดำเนินการร่วมกับ Pentesting เพื่อให้แน่ใจว่าการตรวจจับช่องโหว่ในระดับที่สูงขึ้น ดังนั้นจึงคุ้มค่าที่จะกล่าวถึงที่นี่ Pentest ช่วยให้คุณสามารถยืนยันหรือลบล้างข้อบกพร่องที่พบในระหว่างการวิเคราะห์โค้ด (ท้ายที่สุดแล้ว ในโครงสร้างพื้นฐานเฉพาะ ไม่ใช่ปัญหาด้านความปลอดภัยทั้งหมดที่สามารถนำไปใช้ได้จริง) สิ่งนี้จะช่วยลดจำนวนผลบวกลวงที่เกิดจากการวิเคราะห์โค้ดโรคระบาดได้อย่างมาก โดยเฉพาะผลบวกแบบอัตโนมัติ ในเวลาเดียวกัน จากการวิเคราะห์โค้ด มักพบรูที่ Pentester ไม่สามารถคาดเดาได้

จากประสบการณ์ของเรา การวิเคราะห์โค้ดของแอปพลิเคชันบนมือถือและบริการบนเว็บมักได้รับคำสั่งบ่อยที่สุด เนื่องจากเป็นแอปพลิเคชันที่เสี่ยงต่อการถูกโจมตีมากที่สุด

Pentest ก็เหมือนกับการตรวจสุขภาพโดยทันตแพทย์ ควรทำอย่างสม่ำเสมอเพื่อป้องกันปัญหาในระยะแรกๆ จะดีกว่า

ข้อจำกัดของ Pentest

ข้อจำกัดหลักที่แยกแยะเพนเทสต์จากการโจมตีจริง ซึ่งทำให้ยากสำหรับหมวกขาว คือประมวลกฎหมายอาญาและจริยธรรม ตัวอย่างเช่น Pentester ส่วนใหญ่มักจะไม่สามารถโจมตีระบบของคู่ค้าของลูกค้า คอมพิวเตอร์ที่บ้านของพนักงาน หรือโครงสร้างพื้นฐานของผู้ให้บริการโทรคมนาคม เขาไม่ได้ใช้การข่มขู่ การคุกคาม การแบล็กเมล์ การติดสินบน และวิธีการอื่น ๆ ที่มีประสิทธิภาพมากของอาชญากรในวิศวกรรมสังคม สิ่งที่น่าเชื่อยิ่งกว่านั้นคือผลลัพธ์ของการเจาะทะลุที่ประสบความสำเร็จภายในกรอบของเพนเทสต์ที่ "บริสุทธิ์" หากเพนเทอร์ของคุณฝ่าฝืนกฎหมายซึ่งเป็นส่วนหนึ่งของงานของเขา ลองคิดสิบครั้งว่าคุณควรอนุญาตให้บุคคลดังกล่าวอยู่ใกล้ระบบกุญแจของคุณหรือไม่

ในที่สุด

Pentest เช่นเดียวกับการตรวจสุขภาพ ได้รับการแนะนำตามมาตรฐานส่วนใหญ่ให้ดำเนินการอย่างน้อยปีละครั้ง ในเวลาเดียวกัน เป็นความคิดที่ดีที่จะเปลี่ยนผู้เชี่ยวชาญที่ปฏิบัติงานเป็นระยะๆ เพื่อหลีกเลี่ยงไม่ให้ภาพเบลอและประเมินความปลอดภัยจากมุมที่ต่างกัน ท้ายที่สุดแล้ว ผู้เชี่ยวชาญหรือทีมจะพัฒนาความเชี่ยวชาญเฉพาะทางในระดับหนึ่งหรืออย่างอื่น

การทดสอบ Pentest เป็นเวลา ค่าใช้จ่าย และความเครียดสำหรับผู้เชี่ยวชาญด้านความปลอดภัย แต่เป็นการยากที่จะหาวิธีประเมินความปลอดภัยของโครงสร้างพื้นฐานด้านไอทีที่เป็นภาพและสมจริงมากขึ้น ไม่ว่าในกรณีใด ผู้เชี่ยวชาญตามสัญญาจะหาช่องโหว่ได้ดีกว่าแฮ็กเกอร์ ท้ายที่สุดสิ่งแรกมักจะสิ้นสุดสำหรับบริการรักษาความปลอดภัยข้อมูลด้วยการจัดสรรเงินทุนเพิ่มเติมเพื่อความปลอดภัยและอย่างที่สอง - การค้นหางานใหม่

การทดสอบการเจาะข้อมูลเป็นวิธีการประเมินความปลอดภัยของโครงสร้างพื้นฐานด้านไอทีของบริษัทผ่านการสร้างแบบจำลองการโจมตีที่ได้รับอนุญาตโดยผู้บุกรุก

ค้นหาค่าใช้จ่ายในการทดสอบ

×

กรอกแบบฟอร์มข้อเสนอแนะ คุณจะได้รับแบบสอบถามเพื่อกำหนดต้นทุนการบริการ

การเก็บรักษาข้อมูลที่เป็นความลับและชื่อเสียงของบริษัทขึ้นอยู่กับความน่าเชื่อถือของโครงสร้างพื้นฐานด้านไอทีที่ได้รับการปกป้องจากผู้โจมตี ดังนั้นจึงเป็นเรื่องสำคัญมากที่จะต้องตรวจสอบความปลอดภัยในทางปฏิบัติ บ่อยครั้ง แม้แต่ชุดเครื่องมือรักษาความปลอดภัยที่เหมาะสมที่สุดก็อาจมีการตั้งค่าที่ไม่ถูกต้อง ซึ่งนำไปสู่ช่องโหว่และเพิ่มโอกาสที่ภัยคุกคามจะถูกนำไปใช้

งานทดสอบการเจาะมีวัตถุประสงค์เพื่อ:

ได้รับการประเมินระดับความปลอดภัยในปัจจุบันอย่างครอบคลุมและเป็นอิสระ

ได้รับการประเมินความตระหนักรู้ของพนักงานเกี่ยวกับปัญหาด้านความปลอดภัยของข้อมูลโดยอิสระ

ในระหว่างการทำงาน จะมีการดำเนินการวิเคราะห์และทดสอบความปลอดภัยทั้งภายนอกและภายในโดยใช้วิธีวิศวกรรมสังคม

ปัญหาได้รับการแก้ไขเมื่อทำการวิเคราะห์ความปลอดภัย:

  • การระบุช่องโหว่ด้านความปลอดภัยของข้อมูลและวิธีการแสวงหาผลประโยชน์
  • ตรวจสอบความเป็นไปได้ของการเจาะจากเครือข่ายภายนอกเข้าสู่เครือข่ายคอมพิวเตอร์ในพื้นที่
  • การพัฒนาคำแนะนำเพื่อปรับปรุงระดับความปลอดภัยโดยการกำจัดช่องโหว่ที่ระบุ

หากการกระทำ (เช่น การใช้ประโยชน์จากช่องโหว่บางอย่าง) อาจนำไปสู่ความล้มเหลวในการดำเนินงานของทรัพยากรที่กำลังศึกษาอยู่ งานดังกล่าวจะดำเนินการหลังจากได้รับอนุมัติเพิ่มเติมเท่านั้น หากจำเป็น ขึ้นอยู่กับสถานการณ์การทำงานที่เลือก หลังจากการทดสอบแล้ว งานจะดำเนินการเพื่อขจัดผลกระทบด้านลบต่อทรัพยากร

หากในระหว่างการวิเคราะห์ความปลอดภัย มีการตัดสินใจเกี่ยวกับความจำเป็นในการกำจัดช่องโหว่ที่ระบุโดยทันที ให้ดำเนินการต่อไปนี้:

  • การบันทึกผลลัพธ์ของการแสวงหาผลประโยชน์จากช่องโหว่ (ในรูปแบบของภาพหน้าจอ การบันทึกการดำเนินการของผู้เชี่ยวชาญ บันทึกการทำงานของระบบ ฯลฯ)
  • กำหนดความจำเป็นและตกลงแนวทางในการกำจัดจุดอ่อน
  • ขจัดจุดอ่อน

ขั้นตอนของการทดสอบ

เมื่อดำเนินการวิเคราะห์ความปลอดภัย เครื่องสแกนช่องโหว่สากลจะถูกใช้เพื่อตรวจจับช่องโหว่ในแอปพลิเคชัน ระบบปฏิบัติการ และโครงสร้างพื้นฐานเครือข่าย รวมถึงซอฟต์แวร์เฉพาะทาง งานทดสอบการเจาะจะดำเนินการในสามขั้นตอนและรวมถึงขั้นตอนต่อไปนี้:

ขั้นที่ 1 – การวิเคราะห์ความปลอดภัยภายนอก:

  • จัดทำแผนดำเนินการวิเคราะห์ความปลอดภัยภายนอกและตกลงกับคณะทำงาน

ขั้นตอนที่ 2 – การวิเคราะห์ความปลอดภัยภายใน:

งานนี้ดำเนินการที่ไซต์ของลูกค้า

  • จัดทำแผนการวิเคราะห์ความปลอดภัยภายในและตกลงกับคณะทำงาน
  • การวิเคราะห์ผล การจัดทำรายงาน และการอนุมัติของคณะทำงาน

ขั้นที่ 3 – การทดสอบโดยใช้วิธีวิศวกรรมสังคม:

งานนี้ดำเนินการจากระยะไกลโดยใช้เครือข่ายข้อมูลภายนอก (อินเทอร์เน็ต)

  • จัดทำแผนการทดสอบโดยใช้วิธีวิศวกรรมสังคมและตกลงกับคณะทำงาน
  • การวิเคราะห์ผล การจัดทำรายงาน และการอนุมัติของคณะทำงาน

ดำเนินการวิเคราะห์ความปลอดภัยภายนอก

วัตถุประสงค์ของการทำงานในขั้นตอนนี้คือเพื่อทดสอบความสามารถของผู้โจมตีในการเข้าถึงทรัพยากรและข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต

การวิเคราะห์ความปลอดภัยดำเนินการโดยใช้โมเดล "กล่องดำ" (ขาดการเข้าถึงที่ได้รับอนุญาต ข้อมูลการกำหนดค่าเริ่มต้น และมาตรการรักษาความปลอดภัยข้อมูลที่ใช้)

ในฐานะที่เป็นส่วนหนึ่งของการวิเคราะห์ความปลอดภัยภายนอก งานประเภทต่อไปนี้จะถูกดำเนินการ:

  • การรวบรวมข้อมูลที่เปิดเผยต่อสาธารณะเกี่ยวกับทรัพยากรภายนอกที่สามารถเข้าถึงได้จากเครือข่ายข้อมูลภายนอก
  • ค้นหาช่องโหว่ของทรัพยากรและส่วนประกอบโครงสร้างพื้นฐานโดยใช้เครื่องสแกนความปลอดภัยและซอฟต์แวร์พิเศษ
  • การเขียนสคริปต์ข้ามไซต์
  • การปลอมแปลงคำขอข้ามไซต์
  • เปิดการเปลี่ยนเส้นทาง
  • การจัดการข้อผิดพลาดที่ไม่ถูกต้องซึ่งให้ข้อมูลเพิ่มเติมเกี่ยวกับระบบที่กำลังทดสอบ

ดำเนินการวิเคราะห์ความปลอดภัยภายใน

วัตถุประสงค์ของการทำงานในขั้นตอนนี้คือเพื่อทดสอบความสามารถของผู้โจมตีในการดำเนินการเข้าถึงทรัพยากรและข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต (ต่อไปนี้จะเรียกว่า ASD)

การวิเคราะห์ความปลอดภัยดำเนินการโดยใช้โมเดล "กล่องสีเทา" (ให้การเข้าถึงระบบที่ได้รับอนุญาต)

ในส่วนของการวิเคราะห์ความปลอดภัยภายใน จะมีการดำเนินการประเภทต่อไปนี้:

  • การรวบรวมข้อมูลบนโครงสร้างพื้นฐาน (บริการเครือข่าย ระบบปฏิบัติการ และแอพพลิเคชั่นซอฟต์แวร์ของทรัพยากรภายนอก) การระบุช่องโหว่โดยใช้ซอฟต์แวร์พิเศษและ เครื่องสแกนสากลความปลอดภัย
  • ค้นหาช่องโหว่ของทรัพยากรของลูกค้าและส่วนประกอบโครงสร้างพื้นฐานโดยใช้เครื่องสแกนความปลอดภัยและซอฟต์แวร์พิเศษ
  • การใช้ประโยชน์จากช่องโหว่ที่ระบุโดยใช้ซอฟต์แวร์พิเศษและด้วยตนเองเพื่อตรวจสอบความเกี่ยวข้องของช่องโหว่ที่ระบุและความเป็นไปได้ในการรับเอกสารการออกแบบสำหรับส่วนประกอบผลิตภัณฑ์ซอฟต์แวร์และข้อมูลที่เป็นความลับ

ในกระบวนการค้นหาช่องโหว่ จะมีการตรวจสอบช่องโหว่ประเภทหลักๆ ต่อไปนี้ เหนือสิ่งอื่นใด:

  • การฉีดชิ้นส่วนโค้ด (เช่น การฉีด คำสั่ง SQLการนำคำสั่งระบบปฏิบัติการไปใช้
  • ใช้การรับรองความถูกต้องและขั้นตอนการจัดการเซสชันอย่างไม่ปลอดภัย
  • การเขียนสคริปต์ข้ามไซต์
  • ข้อผิดพลาดในการควบคุมการเข้าถึง (เช่น ลิงก์โดยตรงไปยังออบเจ็กต์ที่มีข้อมูลที่เป็นความลับ ช่องโหว่ในการเข้าถึงไดเรกทอรี)
  • การกำหนดค่าซอฟต์แวร์ที่ไม่ปลอดภัย (เช่น การเปิดใช้งานรายการไดเร็กทอรี)
  • การเปิดเผยข้อมูลที่เป็นความลับ (เช่น การให้ข้อมูลส่วนบุคคลของผู้ใช้รายอื่นแก่ผู้ใช้)
  • ข้อผิดพลาดที่จำกัดการเข้าถึงฟังก์ชันบางอย่างของผู้ใช้
  • การปลอมแปลงคำขอข้ามไซต์
  • การจัดการข้อผิดพลาดที่ไม่ถูกต้องซึ่งให้ข้อมูลเพิ่มเติมเกี่ยวกับระบบที่กำลังทดสอบ
  • การใช้ระบบปฏิบัติการและซอฟต์แวร์ที่มีช่องโหว่ที่ทราบ
  • เปิดการเปลี่ยนเส้นทาง
  • การประมวลผลเอนทิตี XML ภายนอก
  • การจัดการข้อผิดพลาดที่ไม่ถูกต้องซึ่งให้ข้อมูลเพิ่มเติมเกี่ยวกับระบบที่กำลังทดสอบ
  • การใช้งาน รหัสผ่านง่ายๆระหว่างการตรวจสอบสิทธิ์

ดำเนินการทดสอบโดยใช้วิธีวิศวกรรมสังคม

วัตถุประสงค์ของการทำงานในขั้นตอนนี้คือเพื่อประเมินความตระหนักของพนักงานลูกค้าในประเด็นด้านความปลอดภัยของข้อมูล

ส่วนหนึ่งของการทดสอบวิศวกรรมสังคม การโจมตีจะดำเนินการกับพนักงานของลูกค้าในสถานการณ์ต่อไปนี้:

  • ฟิชชิ่ง - การโจมตีเกิดขึ้น อีเมล. ตัวอย่างการโจมตี: พนักงานได้รับลิงก์ในนามของบริษัทซึ่งมี “บริการใหม่และมีประโยชน์มาก” สำหรับงานของเขา จดหมายประกอบด้วยคำอธิบายของบริการและวิธีที่จะช่วยพนักงานคนใดคนหนึ่งในการทำงานของพวกเขา นอกจากนี้จดหมายยังขอให้คุณตรวจสอบฟังก์ชันการทำงานและว่าทุกอย่างทำงานถูกต้องหรือไม่ งานนี้มีวัตถุประสงค์เพื่อให้พนักงานไปที่บริการนี้และพยายามลงทะเบียนโดยใช้ข้อมูลรับรองโดเมน
  • ม้าโทรจัน - การโจมตีดำเนินการทางอีเมล ตัวอย่างการโจมตี: พนักงานถูกส่งไป ไฟล์ปฏิบัติการในขณะที่เนื้อหาของจดหมายอาจแตกต่างกันขึ้นอยู่กับตำแหน่งของพนักงาน: สัญญาสำหรับผู้จัดการ, รายการข้อผิดพลาดสำหรับโปรแกรมเมอร์ ฯลฯ งานนี้มีวัตถุประสงค์เพื่อให้แน่ใจว่าพนักงานเปิดตัวโปรแกรมบน คอมพิวเตอร์ท้องถิ่นและเพื่อบันทึกข้อเท็จจริงของการเปิดตัวโปรแกรมดังกล่าว
  • การโจมตีทางโทรศัพท์ - การโจมตีจะดำเนินการผ่าน สายเข้า. งานนี้มุ่งเป้าไปที่การได้รับความไว้วางใจจากพนักงานโดยสร้างเรื่องปกที่น่าเชื่อถือ จากนั้นจึงค้นหาข้อมูลที่เป็นความลับหรือข้อมูลประจำตัวของพนักงาน ตัวอย่างของคำอธิบาย: “พนักงานด้านเทคนิคคนใหม่ support ทำหน้าที่แรกในการปรับใช้บริการและจำเป็นต้องตรวจสอบว่าทำงานได้อย่างถูกต้องหรือไม่ ขอความช่วยเหลือจากพนักงาน: เข้าสู่ระบบโดยอิสระหรือบอกชื่อผู้ใช้และรหัสผ่านของคุณให้เขาทราบ”

การวิเคราะห์ผลลัพธ์

ผลลัพธ์ของงานเป็นรายงานที่มีข้อมูลดังต่อไปนี้

เครื่องมือพื้นฐานที่ใช้ในการตรวจสอบความปลอดภัยของระบบคือเครื่องมือสำหรับการรวบรวมข้อมูลระบบและการทดสอบการเจาะระบบโดยอัตโนมัติ เราเสนอให้พิจารณาหลักการทำงานของเครื่องมือดังกล่าวโดยใช้ตัวอย่างผลิตภัณฑ์ Rapid7 Metasploit จาก Rapid7 ซึ่งเป็นหนึ่งในผู้ผลิตชั้นนำด้านโซลูชันการวิเคราะห์สำหรับความปลอดภัยของข้อมูล ซึ่งได้รับการจัดอันดับอย่างสูงจากบริษัทวิจัยและที่ปรึกษาที่มีอิทธิพล รวมถึง Gartner และ Forrester

การแนะนำ

การทดสอบการเจาะระบบ (เพนเทสต์) เป็นหนึ่งในวิธีที่มีประสิทธิภาพที่สุดในการประเมินคุณภาพของระบบรักษาความปลอดภัย ดำเนินการโดยมีวัตถุประสงค์เพื่อระบุช่องโหว่ในโครงสร้างพื้นฐานด้านไอที แสดงให้เห็นถึงความเป็นไปได้ในการใช้ประโยชน์จากช่องโหว่และเตรียมคำแนะนำเพื่อกำจัดช่องโหว่เหล่านั้น ขั้นตอนการทดสอบดำเนินการตามความคิดริเริ่มของเจ้าของ ระบบข้อมูลและมีวัตถุประสงค์เพื่อป้องกันเหตุการณ์ด้านความปลอดภัยของข้อมูล ซึ่งมักมาพร้อมกับการสูญเสียทางการเงินและชื่อเสียง คำอธิบายที่ไม่พึงประสงค์กับลูกค้าและตัวแทนขององค์กรพันธมิตร ตลอดจนผลที่ไม่พึงประสงค์อื่น ๆ

ใน สหพันธรัฐรัสเซียปัจจัยสำคัญที่กำหนดความจำเป็นในการดำเนินการทดสอบการเจาะคือข้อกำหนดด้านกฎระเบียบ ฝ่ายหลังพิจารณาการตรวจสอบประสิทธิภาพของระบบการป้องกันเป็นมาตรการที่สำคัญอย่างยิ่ง และข้อกำหนดที่เกี่ยวข้องจะรวมอยู่ในเอกสารด้านกฎระเบียบและระเบียบวิธี ก่อนอื่นในเรื่องนี้ควรกล่าวถึงเอกสารกำกับดูแลที่ครอบคลุมระบบข้อมูลจำนวนมาก - คำสั่งของ FSTEC ของรัสเซียหมายเลข 17 และ 21

เอกสารเหล่านี้กำหนดมาตรการป้องกันในรูปแบบของ "การทดสอบระบบความปลอดภัยของข้อมูลโดยพยายามเข้าถึงระบบข้อมูลโดยไม่ได้รับอนุญาต (มีอิทธิพล) โดยเลี่ยงผ่านระบบความปลอดภัยของข้อมูล" ในขั้นตอนการรับรอง การรับรองระบบสารสนเทศที่เกี่ยวข้องกับการตรวจสอบประสิทธิภาพของระบบรักษาความปลอดภัยยังเป็นที่ต้องการของระบบข้อมูลที่ประมวลผลความลับของรัฐด้วย

ในระดับสากล ขอแนะนำให้สังเกตมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน PCI DSS (มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน) การปฏิบัติตามข้อกำหนดของมาตรฐาน PCI DSS เป็นสิ่งจำเป็นสำหรับทุกองค์กรที่เกี่ยวข้องกับการประมวลผลบัตรชำระเงิน Visa และ MasterCard: ร้านค้า ศูนย์ประมวลผล ผู้รับบัตร ผู้ออกและผู้ให้บริการ ตลอดจนองค์กรอื่น ๆ ทั้งหมดที่จัดเก็บ ดำเนินการ หรือส่งผู้ถือ การ์ดข้อมูลและข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน ข้อกำหนดของมาตรฐานกำหนดให้มีการวิเคราะห์ช่องโหว่และการทดสอบการเจาะระบบทั้งภายในและภายนอกเครือข่ายระบบสารสนเทศ การทดสอบการเจาะทั้งภายนอกและภายในควรดำเนินการอย่างน้อยปีละครั้ง และหลังจากการปรับเปลี่ยนหรืออัปเกรดโครงสร้างพื้นฐาน/แอปพลิเคชันที่สำคัญใดๆ

การทดสอบการเจาะระบบ (เพนเทสต์) สามารถทำได้โดยเป็นส่วนหนึ่งของการฝึกอบรมขั้นสูงสำหรับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลและการได้รับทักษะการปฏิบัติโดยนักเรียนที่กำลังศึกษาในสาขาเฉพาะทางที่เกี่ยวข้องกับความปลอดภัยของข้อมูล รวมถึงการทดสอบโดยผู้พัฒนาเครื่องมือรักษาความปลอดภัยข้อมูลของผลิตภัณฑ์ของตนเอง

แน่นอนว่าสำหรับวัตถุประสงค์ทั้งหมดเหล่านี้ สิ่งที่เป็นที่ต้องการมากที่สุดคือโซลูชันการจัดการภัยคุกคามแบบผสานรวมที่ครอบคลุมความปลอดภัยของเครือข่าย ความปลอดภัยของแอปพลิเคชันบนเว็บ ความปลอดภัยของฐานข้อมูล และกลยุทธ์การทดสอบการเจาะระบบ และมีฟังก์ชันการทำงานเพียงพอที่จะปฏิบัติตามข้อกำหนดของกฎระเบียบในประเทศและระหว่างประเทศ และใช้ในกระบวนการเรียนรู้ โซลูชันดังกล่าว ได้แก่ Rapid7 Metasploit ที่ผลิตโดย Rapid7 ซึ่งก่อตั้งขึ้นในปี 2543 และเป็นหนึ่งในผู้ผลิตผลิตภัณฑ์ชั้นนำสำหรับการวิเคราะห์และจัดระเบียบระบบรักษาความปลอดภัยข้อมูลในสภาพแวดล้อมไอที ข้อได้เปรียบที่สำคัญ ซอฟต์แวร์ Rapid7 ช่วยให้มองเห็นสถานะการรักษาความปลอดภัยของสินทรัพย์และผู้ใช้ในทุกสภาพแวดล้อม รวมถึงระบบเสมือนและมือถือ ตลอดจนระบบคลาวด์สาธารณะและส่วนตัว

ในการประเมินโซลูชัน Rapid7 Metasploit คุณสามารถใช้โซลูชันจากผู้ผลิตรายเดียวกัน - เครื่องเสมือน Metasploitable ที่มีช่องโหว่สำหรับการสาธิตที่ติดตั้งไว้ อูบุนตู ลินุกซ์. เครื่องเสมือนเข้ากันได้กับ VMWare, VirtualBox และแพลตฟอร์มการจำลองเสมือนทั่วไปอื่น ๆ

ความช่วยเหลือที่สำคัญคือ Rapid7 Metasploit เข้ากันได้กับเครื่องสแกนช่องโหว่ Rapid7 Nexpose สามารถเริ่มการเปิดตัวได้ และใช้ผลลัพธ์ของอย่างหลังด้วย

มาดูขั้นตอนทั่วไปสำหรับการทำงานกับ Rapid7 Metasploit

วิธีทำงานกับ Rapid7 Metasploit

ใน ปริทัศน์การทำงานกับ Rapid7 Metasploit ประกอบด้วยขั้นตอนต่อไปนี้:

  1. การสร้างโครงการ โปรเจ็กต์ประกอบด้วยพื้นที่ทำงานที่ใช้ในการสร้างการทดสอบการเจาะและการกำหนดค่าของงานที่จะดำเนินการ การทดสอบการเจาะแต่ละครั้งจะดำเนินการจากโครงการของตัวเอง
  2. การรวบรวมข้อมูล ในขั้นตอนนี้ Rapid7 Metasploit จะรวบรวมข้อมูลเกี่ยวกับเครือข่ายเป้าหมาย: ติดตั้งแล้ว ระบบปฏิบัติการ, เปิดพอร์ต, รันโฮสต์และกระบวนการ เครื่องสแกนช่องโหว่ Rapid7 Nexpose ยังสามารถใช้ได้ในขั้นตอนนี้ ในระหว่างการสแกน ข้อมูลที่ได้รับทั้งหมดจะถูกบันทึกลงในโปรเจ็กต์โดยอัตโนมัติ
  3. การใช้ช่องโหว่ การโจมตีสามารถทำได้ด้วยตนเองหรือใช้ฐานข้อมูลการหาประโยชน์ ซึ่งใช้ข้อมูลเครือข่ายที่ได้รับในขั้นตอนที่ 2
  4. การดำเนินการกับระบบที่ถูกบุกรุก หลังจากเข้าถึงแล้ว จะมีการใช้เพย์โหลดการหาประโยชน์ โดยเริ่มเซสชันโต้ตอบเพื่อรวบรวมข้อมูลเพิ่มเติม และยังสามารถใช้โมดูลหลังการหาประโยชน์เพื่อรวบรวมรหัสผ่านที่จัดเก็บไว้ในระบบปฏิบัติการและแอปพลิเคชัน ภาพหน้าจอ รูปภาพจาก กล้องเว็บ บันทึกการกดแป้น สะสม ไฟล์การกำหนดค่า, การเปิดตัวแอพพลิเคชั่น เป็นต้น

การเปรียบเทียบรุ่น Rapid7 Metasploit

Rapid7 Metasploit มีให้เลือกหลายรุ่น โดยจะแตกต่างกันไปตามขอบเขตของฟังก์ชันที่มีให้และประเภทของใบอนุญาตในการใช้งาน รุ่นผลิตภัณฑ์ต่อไปนี้มีอยู่ในปัจจุบัน:

  • กรอบ
  • ชุมชน
  • ด่วน

ตารางแสดงข้อมูลเกี่ยวกับฟังก์ชันเป้าหมายที่ใช้งานในผลิตภัณฑ์แต่ละรุ่น เพื่อความสะดวกในการใช้สีต่างๆ ฟังก์ชั่นเป้าหมายจะแบ่งออกเป็นกลุ่มตามวัตถุประสงค์หลัก:

  • รวบรวมข้อมูลเกี่ยวกับคุณลักษณะส่วนประกอบและช่องโหว่ของเครือข่าย
  • การทดสอบการเจาะ
  • ดำเนินการฟิชชิ่ง
  • การทดสอบแอปพลิเคชันเว็บ
  • การสร้างรายงาน
  • ควบคุม.

ตารางที่ 1. การเปรียบเทียบรุ่น Rapid7 Metasploit

ลักษณะเฉพาะ มือโปร ด่วน ชุมชน
การนำเข้าข้อมูลการสแกน
(นำเข้าข้อมูลการสแกน)
การสแกนด้วยการตรวจจับ
(สแกนการค้นพบ)
บูรณาการกับระบบการจัดการช่องโหว่ของ Nexpose
(บูรณาการการสแกน Nexpose)
ส่งออกข้อมูล
(การส่งออกข้อมูล)
เปิดตัวช่องโหว่ด้วยตนเอง
(การแสวงหาผลประโยชน์ด้วยตนเอง)
เว็บอินเตอร์เฟส
(เว็บอินเตอร์เฟส)
การจัดการเซสชัน
(การจัดการเซสชั่น)
การจัดการข้อมูลรับรอง
(การจัดการข้อมูลรับรอง)
ทะลุผ่านจุดแข็ง
(เดือยพร็อกซี)
โมดูลที่ดำเนินการหลังจากการประนีประนอม
(โมดูลหลังการแสวงหาผลประโยชน์)
การล้างเซสชัน
(ทำความสะอาดเซสชั่น)
วิธีการคัดเลือก
(กำลังดุร้าย)
การรวบรวมหลักฐาน
(การรวบรวมหลักฐาน)
เข้าสู่ระบบการตรวจสอบ
(รายงานการตรวจสอบ)
การรายงานกิจกรรม
(รายงานกิจกรรม)
การรายงานโฮสต์ที่ถูกบุกรุกและมีช่องโหว่
(รายงานโฮสต์ที่ถูกบุกรุกและมีความเสี่ยง)
การรายงานข้อมูลรับรอง
(รายงานข้อมูลรับรอง)
รายงานผลการดำเนินงานด้านการบริการ
(รายงานการบริการ)
การใช้ข้อมูลรับรองซ้ำ
(นำข้อมูลประจำตัวไปใช้ซ้ำ)
ความพยายามที่จะเลี่ยงผ่านโปรแกรมป้องกันไวรัส
(การหลบเลี่ยงไวรัส)
พยายามเลี่ยงระบบตรวจจับและป้องกันการบุกรุก
(การหลีกเลี่ยง IPS/IDS)
กำลังเริ่มเซสชันใหม่
(การเรียกใช้เซสชั่นใหม่)
กระบวนการทางเทคโนโลยีของการประนีประนอม
(เวิร์กโฟลว์การแสวงหาผลประโยชน์)
การเล่นภารกิจ
(เล่นซ้ำงาน)
การติดฉลากข้อมูล
(ข้อมูลการแท็ก)
การรายงานการปฏิบัติตามข้อกำหนด PCI DSS
(รายงาน PCI)
การรายงานการปฏิบัติตามข้อกำหนด FISMA
(รายงาน FISMA)
"Master" สำหรับการทดสอบการเจาะที่รวดเร็ว
(ตัวช่วยสร้าง PenTest ด่วน)
"ตัวช่วยสร้าง" สำหรับการตรวจสอบช่องโหว่
(ตัวช่วยสร้างการตรวจสอบช่องโหว่)
บูรณาการกับระบบสแกนคุณภาพรหัสโซนาร์
(การบูรณาการโครงการ Sonar)
"ปรมาจารย์" สำหรับฟิชชิ่ง
(ตัวช่วยสร้างฟิชชิ่ง)
การวิเคราะห์ทางสังคมวิทยา
(วิศวกรรมสังคม)
"ตัวช่วยสร้าง" สำหรับการทดสอบแอปพลิเคชันเว็บ
(ตัวช่วยสร้างการทดสอบ Web App)
การทดสอบแอปพลิเคชันเว็บ
(การทดสอบแอปพลิเคชันเว็บ)
การเจาะผ่านจุดแข็งโดยใช้ VPN tunneling
(การหมุน VPN)
เครื่องกำเนิดเพย์โหลด
(เครื่องกำเนิดเพย์โหลด)
มาโครดำเนินการหลังจากการประนีประนอม
(มาโครหลังการแสวงหาผลประโยชน์)
เซสชันถาวร
(เซสชันถาวร)
โมดูลเมตา
(เมตาโมดูล)
การทำงานเป็นทีม
(การทำงานร่วมกันเป็นทีม)
ห่วงโซ่งาน
(สายโซ่งาน)
สำรองและเรียกคืน
(สำรองและเรียกคืน)
การรายงานที่กำหนดเอง
(การรายงานที่กำหนดเอง)
การรายงานทางสังคมวิทยา
(รายงานวิศวกรรมสังคม)
การรายงานการประเมินแอปพลิเคชันเว็บ
(รายงานการประเมินแอปพลิเคชันเว็บ)

Metasploit Framework edition มีความโดดเด่นเนื่องจากทำหน้าที่เป็นพื้นฐานสำหรับการสร้างผลิตภัณฑ์เชิงพาณิชย์ เป็นโครงการโอเพ่นซอร์สที่ให้การเข้าถึงฐานข้อมูลการหาประโยชน์สำหรับแอปพลิเคชัน ระบบปฏิบัติการ และแพลตฟอร์มต่างๆ การควบคุมดำเนินการผ่านอินเทอร์เฟซ บรรทัดคำสั่ง. ผู้ใช้ Metasploit Framework สามารถสร้างและเพิ่มช่องโหว่ใหม่ลงในฐานข้อมูล หรือใช้ที่มีอยู่เป็นเครื่องมือเพิ่มเติมเมื่อทำการทดสอบการเจาะระบบ

รุ่นที่เหลือเป็นรุ่นเชิงพาณิชย์ พวกเขาใช้การจัดการเพิ่มเติมผ่านทางเว็บอินเตอร์เฟส และฟังก์ชั่นบางอย่างจะถูกเพิ่ม ขึ้นอยู่กับรุ่น พวกนี้ซะส่วนใหญ่ ฟังก์ชั่นเพิ่มเติมมีวัตถุประสงค์เพื่อทำให้งานทดสอบทั่วไปเป็นอัตโนมัติ: การวิเคราะห์ช่องโหว่, เทคนิคทางสังคม, การสร้างเพย์โหลด, การโจมตีแบบเดรัจฉาน

ข้อสรุป

Rapid7 Metasploit มีหลากหลาย ฟังก์ชั่น. โซลูชันสามารถทำงานได้ทั้งผ่านทางเว็บอินเตอร์เฟสหรืออินเทอร์เฟซบรรทัดคำสั่ง - ตัวเลือกจะถูกกำหนดตามคำขอของผู้ใช้ อย่างไรก็ตาม ชุดฟังก์ชันทั้งหมดจะใช้งานได้เฉพาะเมื่อทำงานโดยใช้เว็บอินเตอร์เฟสเท่านั้น Rapid7 Metasploit รองรับระบบปฏิบัติการ ครอบครัววินโดวส์และลินุกซ์

คุณสมบัติที่โดดเด่นอีกสองสามประการของ Rapid7 Metasploit:

  • ความเป็นไปได้ในการเลือกรุ่นที่ตรงกับความต้องการของแต่ละกรณี
  • ความสามารถในการใช้ผลการวิเคราะห์ช่องโหว่จากโซลูชันของบุคคลที่สาม
  • ความเป็นไปได้ของการฝึกอบรมเกี่ยวกับระบบที่มีช่องโหว่ที่ออกแบบมาเป็นพิเศษ
  • การรวมผลิตภัณฑ์ (ใน Framework edition) กับการแจกจ่าย Linux:
    • กาลี ลินุกซ์
    • Backtrack linux (ยกเลิก)
    • เพนทู
    • แบล็คอาร์ค
    • กล่องแบ็คบ็อกซ์

Rapid7 Metasploit มีข้อจำกัดระดับการปฏิบัติงานหลายประการที่ควรค่าแก่การพิจารณา:

  • การติดตั้งและการทำงานที่ถูกต้องในภายหลังของผลิตภัณฑ์สามารถทำได้หลังจากปิดการใช้งานไฟร์วอลล์และโปรแกรมป้องกันไวรัสเท่านั้น
  • ขอแนะนำให้ติดตั้ง Rapid7 Nexpose และ Metasploit บนเครื่องมือที่แยกจากกัน เทคโนโลยีคอมพิวเตอร์. ในกรณีนี้ สามารถติดตั้ง Rapid7 Metasploit ในเครื่องเสมือนได้
  • ขาดการแปลเอกสารการปฏิบัติงานเป็นภาษารัสเซียอย่างสมบูรณ์ พร้อมคู่มือการใช้งาน ภาษาอังกฤษสามารถพบได้บนเว็บไซต์ของผู้ผลิตในส่วน Metasploit