Keng qamrovli kirish testi. Penetratsion test nima? Veb-ilovaga hujumni amalga oshirish

Penetratsion test - bu tizimning turli muammolari va sinovlarini hisobga oladigan, tahlil qiladigan va echimlarni taqdim etadigan usullarning kombinatsiyasi. U kirish testini bosqichma-bosqich amalga oshiradigan tizimli protseduraga asoslangan. Quyida penetratsion testning etti bosqichi keltirilgan:

Rejalashtirish va tayyorgarlik

Rejalashtirish va tayyorgarlik penetratsion testning maqsad va vazifalarini aniqlashdan boshlanadi.

Mijoz va sinovchi birgalikda maqsadlarni aniqlaydilar, shunda ikkala tomon ham bir xil maqsadlar va tushunishga ega bo'ladilar. Umumiy kirish testining maqsadlari:

  • Zaifliklarni aniqlash va texnik tizimlarning xavfsizligini yaxshilash.
  • Tashqi uchinchi tomon tomonidan AT xavfsizligini ta'minlash.
  • Tashkiliy/kadrlar infratuzilmasi xavfsizligini yaxshilash.

O'qish

Razvedka dastlabki ma'lumotlarni tahlil qilishni o'z ichiga oladi. Ko'pincha testerda dastlabki ma'lumotlardan, ya'ni IP-manzil yoki IP-manzillar blokidan boshqa ko'p ma'lumotlar yo'q. Sinovchi mavjud ma'lumotlarni tahlil qilish va kerak bo'lganda foydalanuvchidan olish so'rovlari bilan boshlanadi Qo'shimcha ma'lumot, tizim tavsiflari, tarmoq rejalari va boshqalar. Bu qadam passiv kirish testidir. Yagona maqsad - tizimlar haqida to'liq va batafsil ma'lumot olish.

Ochilish

Ushbu nuqtada, penetratsion tester zaifliklarni aniqlash uchun maqsadli aktivlarni skanerlash uchun avtomatlashtirilgan vositalardan foydalanishi mumkin. Ushbu vositalar odatda so'nggi zaifliklar haqida ma'lumot beruvchi o'z ma'lumotlar bazalariga ega. Biroq, sinovchi aniqlaydi

  • Tarmoq kashfiyoti- masalan, ochish qo'shimcha tizimlar, serverlar va boshqa qurilmalar.
  • Xost kashfiyoti- belgilaydi ochiq portlar ushbu qurilmalarda.
  • Xizmatni so'roq qilish- ularda ishlaydigan haqiqiy xizmatlarni aniqlash uchun so'rov portlari.

Axborot va xavf tahlili

Ushbu bosqichda tester tizimga dinamik ravishda kirib borish uchun sinov bosqichlaridan oldin to'plangan ma'lumotlarni tahlil qiladi va baholaydi. Tizimlarning ko'pligi va infratuzilmaning kattaligi tufayli bu uzoq vaqt talab etadi. Tahlil qilishda sinovchi quyidagi elementlarni hisobga oladi:

  • Penetratsion testning o'ziga xos maqsadlari.
  • Tizim uchun potentsial xavflar.
  • Keyingi faol kirish testi uchun xavfsizlikning mumkin bo'lgan kamchiliklarini baholash uchun zarur bo'lgan taxminiy vaqt.

Biroq, aniqlangan tizimlar ro'yxatidan tester faqat potentsial zaifliklarni o'z ichiga olganlarni sinab ko'rishni tanlashi mumkin.

Faol bosqinchilik urinishlari

Bu eng muhim qadam va ehtiyotkorlik bilan bajarilishi kerak. Ushbu bosqich kashfiyot bosqichida aniqlangan va haqiqiy xavf tug'diradigan potentsial zaifliklar darajasini o'z ichiga oladi. Ushbu qadam potentsial zaifliklarni tekshirish kerak bo'lganda amalga oshirilishi kerak. Yaxlitlik talablari juda yuqori bo'lgan tizimlar uchun muhim tozalash protseduralarini bajarishdan oldin potentsial zaifliklar va xavflarni diqqat bilan ko'rib chiqish kerak.

Yakuniy tahlil

Bu qadam, birinchi navbatda, shu vaqtga qadar qilingan (yuqorida muhokama qilingan) barcha qadamlarni va potentsial xavflar ko'rinishidagi zaifliklarni baholashni ko'rib chiqadi. Bundan tashqari, sinovchi zaifliklar va xavflarni bartaraf etishni tavsiya qiladi. Avvalo, tester sinovlarning shaffofligini va aniqlangan zaifliklarni ta'minlashi kerak.

Hisobotni tayyorlash

Hisobotni tayyorlash umumiy sinov tartib-qoidalaridan boshlanishi, so'ngra zaifliklar va xavflarni tahlil qilishi kerak. Yuqori xavflar va muhim zaifliklarga ustunlik berish kerak, keyin esa pastroq tartib.

Biroq, yakuniy hisobotni hujjatlashtirishda quyidagi fikrlarni hisobga olish kerak:

  • Penetratsion testlarning umumiy ko'rinishi.
  • batafsil ma'lumot har bir qadam va qalam sinovi paytida to'plangan ma'lumotlar haqida.
  • Barcha aniqlangan zaifliklar va xavflar haqida batafsil ma'lumot.
  • Tozalash va mahkamlash tizimlari uchun ehtiyot qismlar.
  • Kelajakdagi xavfsizlik bo'yicha takliflar.

Har bir biznes egasi, IT mutaxassisi va oddiy kompyuter foydalanuvchisi kamida bir marta kiber tahdidlarga duch kelgan. IN zamonaviy dunyo ular tobora kuchayib bormoqda va nafaqat biznesga, balki davlatga ham katta zarar etkazishga qodir.

Hackerlarning ikki toifasi mavjud:

Oq shlyapalar- xavfsizlikni ta'minlash, noqonuniy bosqinlarga qarshi kurashish bo'yicha ishlar.

Qora xakerlar (qora shapka)- qonunni buzish, shaxsiy ma'lumotlarni o'g'irlash, bo'sh bank hisoblari.

Bizning jamoamiz korporativ ofis tarmog'ingiz, veb-saytlaringiz va ilovalaringizdagi zaifliklarni aniqlash uchun testlar o'tkazish vazifasini o'z zimmasiga oladi. Va shuningdek, yordam bilan ijtimoiy muhandislik Biz kompaniyangizdagi eng yomon himoyalangan bo'limlarni aniqlay olamiz va himoyani kuchaytirish bo'yicha tavsiyalar beramiz.

Pentestingga (xavfsizlik testi) nima kiradi?

Kompaniyaning xavfsizlik testi quyidagilarni o'z ichiga olishi mumkin:
  • Tashqi tarmoq va perimetr tahlili
  • Pentest (kirish testi)
  • Ichki tarmoq sinovi
  • Zaifliklar va ekspluatatsiyalarni qidiring
  • Ijtimoiy muhandislik
  • Kompaniya veb-saytlarini sinovdan o'tkazish
  • Sinov mobil ilovalar kompaniyalar
  • Sinov hisoboti va tavsiyalar

Sinovlarning aniq ro'yxati mijozning ehtiyojlarini o'rgangandan so'ng, muzokaralar bosqichida aniqlanadi.

Penetratsion sinov narxi

Tashqi korporativ tarmoq testi

Narx so'rov bo'yicha

Penetratsion test (pentest)

Narx so'rov bo'yicha

Veb va mobil ilovalarni sinovdan o'tkazish

Narx so'rov bo'yicha

Ijtimoiy muhandislik

Narx so'rov bo'yicha

Xavfsizlik sinovi

Narx so'rov bo'yicha

Kiberjinoyatlarni tekshirish

Narx so'rov bo'yicha


MUHIM

“Afsuski, ko'pincha kompaniyalar bu haqda o'ylashni boshlaydilar axborot xavfsizligi ular allaqachon azob chekkanlarida. Xakerlar sizning kompaniyangiz hajmi va uning aylanmasi haqida emas, balki xakerlik hujumiga uchragan kompaniyalar soni haqida qayg'uradilar.

Kompaniyangizni kiber tahdidlardan himoya qiling!

Xo'sh, pentest nima?

Sinov - bu qidiruv va penetratsion test - bu uchinchi tomon resurslari va foydalanuvchilarining kirib borishi uchun zaiflik darajasi har xil bo'lgan nuqtalar va hududlarning maksimal sonini eng chuqur va samarali qidirish turlaridan biridir. Bunday hujumlar ma'lum ma'lumotlarni kiritish yoki olish uchun zararli yoki bilvosita amalga oshirilishi mumkin.


Ushbu uslub alohida amalga oshirilishi mumkin va uchinchi tomon hujumlari va hujumlarining eng keng doirasiga qarshi samarali himoya choralarini yaratish uchun muntazam yoki bir martalik sinov tizimlariga kiritilishi mumkin.

Tizim zaifligining etiologiyasi

Xavfsizlikning yo'qolishi har qanday tizim faoliyatining turli bosqichlarida sodir bo'lishi mumkin, ammo har qanday holatda bu quyidagi omillarning ta'siriga bog'liq:

  • dizayn xatosi,

  • tizim bilan bog'liq dasturiy ta'minot va uskunalar kombinatsiyasining past funktsional konfiguratsiyasini tanlashda noto'g'ri konfiguratsiya jarayoni;

  • tarmoq chiqish tizimidagi xavfsizlik kamchiliklari. Xavfsizlik darajasi qanchalik baland tarmoq ulanishi, salbiy ta'sir ehtimoli va zararli ta'sirning tizimga kirib borishi ehtimoli qanchalik past bo'lsa,

  • shaxsiy yoki jamoaviy ish paytida tarmoqni loyihalash, ishlatish yoki texnik xizmat ko'rsatishda zararli yoki tasodifiy xatolik yuzaga kelganda ifodalangan inson omili;

  • maxfiy ma'lumotlarni himoyalanmagan uzatishda ifodalangan aloqa komponenti;

  • tizimning asossiz yuqori darajadagi murakkabligi. Undan ma'lumotlar chiqib ketish kanallarini kuzatishdan ko'ra, uning xavfsizligi darajasini nazorat qilish har doim osonroqdir. Oddiy va funktsional tizimlarda nima qilish ularning murakkab hamkasblariga qaraganda osonroq,

  • bilim etishmasligi. To'g'ridan-to'g'ri yoki bilvosita tizimdan foydalanish bilan bog'liq bo'lgan mutaxassislar o'rtasida xavfsizlik masalalari bo'yicha professional tayyorgarlikning etarli darajada yo'qligi.

Sinov zaiflikni baholashdan farq qiladi

Ulardan foydalanish maqsadining o'xshashligiga qaramasdan. Ya'ni, eng xavfsiz dasturiy mahsulotni qidirish va tartibga solish. Ular boshqacha ishlaydi.


Penetratsion test qo'lda va ma'lum yuqori ixtisoslashgan tizimlar va vositalar yordamida amalga oshiriladigan real monitoring orqali amalga oshiriladi. Zararli ta'sirlarni taqlid qilish orqali amalga oshiriladigan narsa zaiflik joylarini aniqlashga imkon beradi.


Zaiflik darajasini aniqlash ma'lum turdagi hujumlar paytida ma'lumotlar chiqib ketishi mumkin bo'lgan bo'shliqlarni aniqlash uchun ish oqimlarini sinchkovlik bilan o'rganishdan kelib chiqadi. Bu xakerlar ta'siriga moyil bo'lgan hududlarni topishga yordam beradi, bu sinovdan o'tkazilayotgan tizimning umumiy xavfsizlik darajasini belgilaydi. Uni amalga oshirish jarayonida aniqlangan "zaifliklar" aniqlanadi, tuzatiladi va yo'q qilinadi.


Shunday qilib, zaiflik darajasini aniqlash belgilangan ish jarayonidir. Va penetratsion test "vaziyatga ko'ra" ishlaydi umumiy maqsad uni himoya qilishdagi bo'shliqlarni aniqlash uchun tizimga imkon qadar kuchli ta'sir ko'rsatish.

Bu nima uchun

Bu siz foydalanayotgan dasturning xavfsizlik tizimidagi kamchiliklarni topish va tuzatish imkonini beradi. Bu, uning maqsadlari va amalga oshirish darajasidan qat'i nazar, uchinchi tomonning salbiy ta'sirining kirib kelishining oldini olish bo'yicha faol ishdir. Bu nafaqat mavjud bo'lgan, balki tashqaridan kelayotgan tahdidlardan ham eng vakolatli himoya tizimini yaratishga yordam beradi.

Bunday monitoring quyidagilarga imkon beradi:

  • tashqi salbiy ta'sirlarga duchor bo'lishidan va ma'lumotlarning sizib chiqishiga sabab bo'lishidan oldin tizimdagi zaif/zaifliklarni toping. Bu ajoyib alternativ tez-tez yangilanishlar tizimlari. Chunki ikkinchisi ularni hisobga olmasdan avval tuzatilgan tizimning muvofiqligi va ishlash tezligiga ta'sir qiladi. Yangilanishlarni nazoratsiz amalga oshirishdan ko'ra ularni nazorat qilish yaxshiroqdir;

  • ishga tushirilgan xavfsizlik vositasini baholang. Ishlab chiquvchilarga o'z vakolatlarini, shuningdek, joriy xavfsizlik standartlariga muvofiqlik darajasini real baholash imkonini beradi. Bundan tashqari, penetratsion test sizga biznes xatarlarini, shuningdek, ruxsat etilgan va yangi faollashtirilgan dasturiy ta'minot komponentlaridan birgalikda foydalanish o'rtasidagi o'zaro almashish paytida kamaytirilishi mumkin bo'lgan himoyaning boshqa komponentlarini aniqlash imkonini beradi. Aniqlangan xavf-xatarlar darajasini va yuzaga kelishi mumkin bo'lgan tahdidlarning salbiy ta'sirini kamaytirish va yo'q qilishni tizimlashtirish va ustuvorlik qilish imkonini beradi;
  • mavjud xavfsizlik standartlarini yaxshilash uchun xavflarni aniqlash.

Monitoring jarayoni

Bugungi kunda penetratsion test ko'plab texnikalar yordamida amalga oshirilishi mumkin, ammo asosiy va eng afzal qilinganlari:

Qo'lda test quyidagi algoritmga muvofiq amalga oshiriladi

  • Mavjud himoya darajasini hisobga olgan holda, bo'lajak monitoringning ehtiyojlarini, foydalanish doirasini, maqsadlarini hisobga olgan holda ma'lumotlarni rejalashtirish yoki ehtiyotkorlik bilan yig'ish. Himoya darajasini monitoring qilish uchun maxsus hududlar, kerakli/rejalashtirilgan ta'sir turi va kelajakdagi monitoring uchun boshqa talablar ham bu erda ko'rsatilishi mumkin.

  • ma'lum bloklarga yoki butun tizimga maqsadli va maxsus tashkillashtirilgan hujumlar uchun zarur bo'lgan tizim va uchinchi tomon, birlashtirilgan, himoya mexanizmlari bo'yicha olingan ma'lumotlarni qidirish va to'plashga qaratilgan razvedka manipulyatsiyalari. Maqsad: eng samarali testni olish. Shunday qilib, ikkita nav mavjud: passiv va faol, bu erda birinchisi tizimga faol ta'sir qilmasdan amalga oshiriladi, ikkinchisi esa uning to'liq teskarisi.

  • aniqlangan natijalarni tahlil qilish. Ushbu bosqich tizimga keyingi agressiv kirish uchun ishlatiladigan eng zaif nuqtalarni aniqlashga imkon beradi,

  • olingan natijalardan foydalanish. Himoya tizimlarining "oson kirib borishi" uchun aniqlangan joylarga asoslanib, dasturiy ta'minotga tashqi va ichki hujumlar shaklida tayyorlangan hujum amalga oshiriladi. Tashqi ta'sirlar tizimga tashqaridan tahdid bo'lib, tizimga ta'sir qiluvchi bevosita tashqi tahdidlar va undan himoyalangan tizim ma'lumotlariga ruxsatsiz kirishga ixtisoslashgan urinishlar taqlid qilinadi. Ichki hujumlar ta'sirning ikkinchi bosqichini ifodalaydi, bu tizimga tashqaridan muvaffaqiyatli kirib borganidan keyin boshlanadi. Ularning keyingi ta'siri uchun maqsadlar doirasi keng va xilma-xildir. Asosiysi, ular kirgan tizimning murosasi,

  • Operatsiya natijalari har bir aniqlangan tahdidning maqsadlarini aniqlash va uning butun tizimning ichki biznes jarayonlari va xususan uning alohida tarkibiy qismlari uchun potentsialini aniqlash imkonini beradi;
  • Xulosa - bu amalga oshirilgan ishlar va olingan natijalarning hujjatlar to'plami bo'lib, potentsial tahdidlarni va ta'sir maqsadlariga erishishda ularning salbiy ta'sirini tavsiflaydi.

    • Avtomatlashtirilgan asboblar bilan sinovdan o'tkazish nafaqat samarali, balki yuqori ixtisoslashgan vositalardan foydalanganda ham juda foydali. Foydalanish qulay, talab qilinadigan vaqt minimal va uning samaradorligi bajarilgan ish haqida "kristal tiniq" xulosalar yaratishga imkon beradi.


    Eng mashhur vositalar ro'yxatiga quyidagilar kiradi: Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af. Linux tizimi to'plamlari juda ko'p qiziqarli va funktsional narsalarni taklif qiladi.


    Ish uchun muayyan ehtiyojlarga javob beradigan vositalarni tanlang, masalan:

    • ishga tushirish, foydalanish va keyingi texnik xizmat ko'rsatishning amaliyligi,

    • skanerlash qulayligi,

    • zaifliklarni aniqlashda avtomatlashtirish darajasi,

    • tashqi hujumlar uchun zaif bo'lgan ilgari topilgan hududlarni sinovdan o'tkazish darajasi;

    • bajarilgan ishlar va olingan natijalar bo'yicha batafsil va oddiy hisobot hujjatlarini yaratish qobiliyati darajasi.

    Yuqoridagi usullarning kombinatsiyasi birgalikda. Bu penetratsiyani tekshirishning optimal usuli, chunki u ikkala usulning afzalliklarini birlashtirib, imkon qadar tez va batafsil bo'lishi mumkin.

    Penetratsion testlarning turlari

    Bo'linish ishlatiladigan asboblar va monitoring ob'ektlariga qarab amalga oshiriladi:


    • ijtimoiy yoki insoniy, bu erda masofadan yoki mahalliy ravishda kerakli ma'lumotlarni olish va uni aniq qayta ishlash mumkin bo'lgan odamlar bog'lanadi;

    • xavfsizlik kamchiliklarini aniqlash uchun foydalaniladigan dastur. Bir vaqtning o'zida foydalaniladigan xizmat yoki uchinchi tomon manbalarining veb-takliflari va ixtisoslashtirilgan xizmatlari uchun bir nechta variantlardan foydalaniladi,

    • ruxsatsiz xakerlar kirishi yoki ruxsatsiz foydalanuvchi tomonidan kirib borish imkoniyatini aniqlash imkonini beruvchi tarmoq resursi;

    • ishda ishlatiladigan mijoz qismi maxsus ilovalar mijozning veb-saytida yoki ilovasida o'rnatilgan,

    • masofaviy kirish VPN testi yoki ushbu tizimga to'g'ri kirish imkonini beruvchi shunga o'xshash ob'ekt tomonidan amalga oshiriladi,

    • simsiz ulanish, simsiz ilovalar, xizmatlar va ularning vositalarini sinab ko'rishga qaratilgan.

    Monitoring usullarini tasniflash, shuningdek, uni amalga oshirishga yondashuv turini hisobga olgan holda amalga oshiriladi. Nimani ajratib ko'rsatishga imkon beradi:

    • oq, bu erda tester sinovdan o'tayotgan tizimning funktsiyalari va vositalari haqidagi ma'lumotlarga kirish huquqiga ega. Uning ishini iloji boricha samarali va samarali qiladigan narsa. Chunki bunday ma'lumotlarga ega bo'lish sizga sinovdan o'tayotgan tizimning nozik tomonlari va xususiyatlarini tushunishga imkon beradi va shuning uchun sinovni maksimal immersiya bilan amalga oshiradi,

    • qora tizim haqidagi asosiy yoki yuqori darajadagi ma'lumotlarga kirish imkonini beradi. Sinovchi o'zini tizim ichida ishlaydigan xodimdan ko'ra ko'proq xakerga o'xshatadi. Mehnat intensivligining yuqori darajasi bu usul vaqt va puxta bilim, shuningdek, uni amalga oshirish tajribasini talab qiladi. Shuning uchun testning o'tkazib yuborilishi yoki to'liq bo'lmasligi ehtimoli yuqori,

    • simulyatsiya qilingan tashqi hujumni yaratish uchun etarli bo'lgan tizim ma'lumotlariga kulrang yoki cheklangan kirish.

    Penetratsiyani tekshirish chegaralari

    Bunday ta'sir doirasi bo'yicha ko'plab cheklovlar mavjud, ammo asosiylari:

    • ushbu protseduraning yuqori boshlang'ich qiymati bilan qisqa muddat,

    • vaqt birligi uchun sinovlar sonining cheklanishi,

    • tizim tomonidan penetratsiyaning buzilishi ehtimoli,

    • olingan ma'lumotlarning yuqori darajadagi zaifligi.

    Xulosa

    Doimiy yangilanadigan dasturlar to'plamiga ega zamonaviy xakerlar va samarali vositalar samarali hujumlarni amalga oshirish. Shuning uchun ular ko'pincha tarmoqni buzish yoki uning resurslaridan foydalanish niyatida qiziqish tizimlariga kirishadi. Bu holda kirish monitoringi har qanday xavfsizlik tizimlarida zaifliklarni aniqlash vositasi sifatida eng samarali hisoblanadi. Va bu sizga umuman dasturiy ta'minot uchun tashqi tahdidlarning potentsialini minimallashtirishga imkon beradi.


So'nggi ikki yil xakerlik hujumlari mavzusiga jamoatchilik qiziqishini keskin oshirgan voqealarga boy bo'ldi. AQSh Demokratik partiyasi tizimlarini buzish, Ukraina Moliya vazirligi va G'aznachiligining energiya infratuzilmasi tizimlarini o'chirib qo'yish, nafaqat fayllarni shifrlaydigan, balki sanoat va tibbiy asbob-uskunalarning ishlashini bloklaydigan to'lov dasturi viruslari bilan bog'liq janjal. , MIRAL, yirik botnet uy jihozlari AQSH va Liberiyaning yarmini aloqasiz qoldirgan hujumchilar ommaviy ravishda banklarni himoyasiz qoʻylarning boʻrilariga oʻxshatib qoʻyishdi... Hatto SWIFT ham hujum ostida! Kino fanatlarining xakerlari milliardlab odamlarning haqiqatining bir qismiga aylandi.

Bugungi kunda biznes eng avvalo minimal mablag'lar bilan tartibga solish talablarini rasmiy ravishda qondirishdan farqli o'laroq, resurslarni amaliy xavfsizlikka sarflashi tabiiydir. Shuningdek, u qurilgan xavfsizlik tizimi onlayn akulalardan qanchalik samarali himoya qilishini tekshirishni xohlashi ham tabiiy.

Bu safar biz faqat kompyuter hujumlari va ulardan to'g'ridan-to'g'ri himoya qilish bilan bog'liq axborot xavfsizligi (IS)ning amaliy jihatlariga e'tibor qaratishga qaror qildik. "Oq shlyapalar" tomonidan amalga oshirilgan xakerlik uchun, ya'ni. tajovuzkorlarning harakatlarini qonuniy ravishda taqlid qiluvchi mutaxassislar "penetratsiya testi" (pentest) atamasidan foydalanadilar. Ushbu atama xavfsizlikni tadqiq qilishning bir nechta sohalarini yashiradi va ularning har biri o'z mutaxassislariga ega. Ushbu maqolada biz pentest nima ekanligini, nima uchun kerakligini va xakerlik hujumi va penetratsion test o'rtasidagi chegara qayerda ekanligini tushunamiz.

Pentest asosan axborot xavfsizligi auditining turlaridan biridir. Va bu uning haqiqiy xakerlikdan asosiy farqidir. Xaker qurbonning tizimlarini boshqarish uchun eng qisqa yo'lni qidirmoqda. Agar perimetrda teshik topilsa, tajovuzkor hujumni ichki tomonda mustahkamlash va rivojlantirishga e'tibor qaratadi. Va tashqi tarmoq sinovini o'tkazish buyurilgan pentester, hatto bir nechta teshiklar allaqachon topilgan bo'lsa ham, xostdan keyin xostni sinchkovlik bilan tekshirishi kerak. Agar xostlar bir xil turdagi bo'lsa (masalan, 1000 ta bir xil ish stantsiyalari), tadqiqotchi, albatta, nazorat namunasini yaratishi mumkin, ammo tubdan boshqa tizimlarni o'tkazib yuborish mumkin emas. Bu, ehtimol, mijoz uchun past sifatli pentestni aniqlashning eng oson yo'li.

Pentest to'liq axborot xavfsizligi auditini almashtirmaydi. U o'rganilayotgan tizimlarning tor yo'naltirilgan ko'rinishi bilan tavsiflanadi. Pentest asosan axborot xavfsizligidagi kamchiliklarning sabablari bilan emas, balki oqibatlari bilan shug'ullanadi. Nega buni umuman amalga oshirish kerak? Sanoat harbiy texnikaning yangi modelini ishlab chiqarayotganda, muhandislar zirhning xususiyatlarini va qurollarning xususiyatlarini sinchkovlik bilan hisoblab chiqadilar, ammo harbiy qabul qilish paytida jihozlar hali ham o'quv maydonchasiga chiqariladi, o'q uziladi, portlatiladi va hokazo. Tajriba - bu haqiqat mezoni. Pentest axborot xavfsizligi jarayonlari biz o'ylagandek qurilganmi, xavfsizlik tizimlarimiz ishonchlimi, serverlardagi konfiguratsiya to'g'rimi, haqiqiy xaker qanday yo'l tutishini tushunamizmi yoki yo'qligini tushunishga imkon beradi. Shunday qilib, pentesting axborot xavfsizligiga katta miqdorda sarmoya kiritgan kompaniyalar uchun zarur degan taassurot paydo bo'lishi mumkin. Nazariy jihatdan bu to'g'ri, lekin amalda bu ko'pincha butunlay boshqacha.

Men quyidagi pentest formulasini o'ylab topdim:

Tadqiqot pentestning eng aniq qismidir. Xuddi filmlardagi kabi: qalpoqli g'alati yigitlar tunda IT himoyasini yo'q qiladi. Aslida, hamma narsa ko'pincha bir oz ko'proq prozaikdir, lekin bu rasm pentesters korporativ kiyim kodiga rioya qilmaslikka imkon beradi.

Hisobot berish odatda penetratsion testerning ishining sevimli qismi emas, lekin bu juda muhim. Ishning buyurtmachisi barcha muvaffaqiyatli va muvaffaqiyatsiz kirish urinishlarining batafsil tavsifini, zaifliklarning aniq tavsifini va eng muhimi, ularni bartaraf etish bo'yicha tavsiyalarni olishi kerak. Oxirgi qism uchun axborot xavfsizligi bo'yicha ixtisoslashgan mutaxassislarni jalb qilish oqilona, ​​chunki uni qanday buzishni bilish korporativ IT infratuzilmasida uni qanday qilib to'g'ri va xavfsiz tarzda tuzatishni bilishni anglatmaydi.

Va butun pentest tez-tez tashkil etiladigan oxirgi komponent shoudir. Bunday audit, ayniqsa, professional bo'lmaganlar uchun aniqlik nuqtai nazaridan har qanday boshqasidan ustun bo'lgan tartibdir. Bu Eng yaxshi yo'l axborot xavfsizligini ta’minlashdagi kamchiliklarni mutaxassis bo‘lmaganlar uchun ochiq shaklda kompaniya rahbariyatiga ko‘rsatish. Bosh direktorning pasporti skanerlangan holda qisqacha (bir necha sahifa) Ijroiya xulosasi, sarlavha sahifasi maxfiy hisobot va mijozlar bazasi kompaniyaning axborot xavfsizligiga keyingi 200 sahifalik hisobotdan ko'ra ko'proq foyda keltirishi mumkin. Shuning uchun pentestlar ko'pincha ilgari axborot xavfsizligi bilan shug'ullanmagan kompaniyalar tomonidan buyurtma qilinadi va biznes va ko'pincha IT mavjud xavflarning jiddiyligini tushunmaydi.

Sinov parametrlari

Pentestlarni eng ko'p tasniflash mumkin turli yo'llar bilan. O'zingiz uchun pentestni sozlashda biz faqat amaliy ahamiyatga ega bo'lgan narsalarga e'tibor qaratamiz.

Mijoz tomonidan qo'yilgan hujumning maqsadi pentestdan pentestgacha juda farq qilishi mumkin. “Faqat bizni buzish” odatda IT infratuzilmasini nazorat qilishni anglatadi (domen administratori huquqlari, tarmoq uskunalari), biznes tizimlari va maxfiy ma'lumotlarning buzilishi. Va tor maqsadli pentestlar mavjud. Misol uchun, PCI DSS karta ma'lumotlari xavfsizligi talablari uchun sertifikatlashning bir qismi sifatida yillik majburiy pentestning maqsadi karta ma'lumotlarini buzishdir. Bu erda, ishning birinchi kunida, bank tarmog'i to'liq qo'lga olinishi mumkin, ammo agar maxfiy ma'lumotlarga ega bo'lgan so'nggi qal'a tushmasa, tashkilot sinovdan muvaffaqiyatli o'tadi.

Tizim haqidagi bilim modeli penetratsion testerning boshlang'ich pozitsiyasini aniqlaydi. Kimdan to'liq ma'lumot tizim haqida ( Oq quti) butunlay yo'qolguncha (Qora quti). Ko'pincha o'rta variant ham mavjud (kulrang quti), masalan, pentester tizim haqida ba'zi ma'lumotlarga ega bo'lgan imtiyozsiz foydalanuvchining harakatlarini taqlid qiladi. Bu oddiy xizmatchi, hamkor kompaniya, kirish huquqiga ega mijoz bo'lishi mumkin Shaxsiy kabinet va h.k. Oq quti klassik pentestdan ko'ra ko'proq auditdir. U tor sohada xavfsizlikni batafsil o'rganish kerak bo'lganda foydalaniladi. Masalan, yangi mijozlar portali sinovdan o'tkazilmoqda. Tadqiqotchiga tizimdagi barcha ma'lumotlar, ko'pincha manba kodi taqdim etiladi. Bu tizimni batafsil o'rganishga yordam beradi, ammo haqiqiy hujumlarni deyarli simulyatsiya qilmaydi. Qora quti pentest mijozlari tizim haqida ichki ma'lumotga ega bo'lmagan xaker tomonidan hujumning to'liq simulyatsiyasini olishni xohlashadi.

Bilim modeli tajovuzkor modeli tushunchasi bilan juda mos keladi. Bizga kim hujum qilmoqda: tashqi xakermi, insaydermi, administratormi? Bu bo'linish juda o'zboshimchalik bilan. Murosaga kelish ish stantsiyasi Texnik nuqtai nazardan, oddiy foydalanuvchi yoki pudratchi tashqi xakerni bir zumda ichki buzg'unchiga aylantiradi.

Axborot xavfsizligi bo'yicha mutaxassislarning xabardorlik darajasi amalga oshirilayotgan ish haqida kim va qanday tafsilotlarni bilishini aniqlaydi. Ko'pincha, asbob-uskunalar bilan bir qatorda, xodimlar ham sinovdan o'tkaziladi, shuning uchun ish axborot xavfsizligi yoki IT direktori tomonidan muvofiqlashtiriladi va ma'murlar, agar ular, albatta, hujumni sezsalar, haqiqiy xakerlarga qarshi kurashayotganiga ishonishadi. Bunday kibermashqlar nafaqat tizimlarda zaifliklar mavjudligini, balki axborot xavfsizligi jarayonlarining etukligini, bo'limlar o'rtasidagi o'zaro aloqa darajasini va boshqalarni baholashga imkon beradi. To'liq teskarisi - mudofaa tizimlarini o'rgatish uchun hujumchining harakatlariga taqlid qilish. Bunday holda, pentester kichik maydonda ishlaydi va ma'murlar xavfsizlik vositalari va IT tizimlarining reaktsiyasini qayd qiladi, sozlamalarni o'zgartiradi, SIEM qoidalarini tayyorlaydi va hokazo. Misol uchun, xaker allaqachon yopiq segmentga kirib borganida, vaziyat simulyatsiya qilinadi. U tizimlardagi imtiyozlarini qanday oshiradi? Pentester xavfsizlik tizimlarini to'liq o'qitishni ta'minlash uchun unga ma'lum bo'lgan barcha hujum vektorlarida birma-bir ishlaydi.

Hujum turlari

Hujum turlarining tasnifi pentesters kabi ko'p. Quyida biz foydalanadigan asosiy hujumlarning tasnifini beraman. Albatta, eng to'liq pentest barcha mumkin bo'lgan yo'nalishlarda hujumdir. Ammo byudjet, vaqt, ko'lam va pentest vazifalarining cheklovlari sizni tanlashga majbur qiladi.

Tashqi infratuzilma pentest - Internetdan tarmoq perimetrini tahlil qilish. Pentester mavjud tarmoq xizmatlarini buzishga harakat qiladi va iloji bo'lsa, tarmoq ichida hujumni ishlab chiqadi. Ko'pchilik bu kompaniya tarmog'iga tashqaridan kirishga qaratilgan haqiqiy hujumga taqlid qilishiga ishonishadi. Darhaqiqat, bugungi kunda tajovuzkorlar ijtimoiy muhandislik usullaridan foydalangan holda 80-90% hollarda tarmoq perimetrini engib o'tishadi. Qal'a devorlarini sindirishning hojati yo'q, agar ular ostida ajoyib tunnel bo'lsa. Biroq, bu erda ham ko'pincha teshiklar mavjud. Masalan, biz yaqinda yirik samolyot zavodi uchun ish olib bordik, uning davomida hatto avtomatik tahlil bosqichida ham skaner tizim uchun parolni topdi. masofaviy boshqarish APCS. Masofaviy kirishni o'chirib qo'yishni unutgan pudratchining beparvoligi xakerga texnik suyuqliklar bilan quvurlardagi bosimni kattalik tartibida oshirishga imkon berdi. Bu to'g'ridan-to'g'ri va majoziy ma'noda nazarda tutilgan barcha narsalar bilan.

Pentest tish shifokoridagi tekshiruvga o'xshaydi: dastlabki bosqichlarda muammolarni oldini olish uchun uni muntazam ravishda o'tkazish yaxshiroqdir.

Shadow IT

Penetratsiyalar ko'pincha IT radaridan tashqarida bo'lgan tizimlar yordamida sodir bo'ladi. Perimetrdagi barcha serverlar yangilangan, ammo ular IP telefoniya yoki video kuzatuv tizimini unutgan. Va xaker allaqachon ichkarida. Ma'murlar e'tiboridan chetda qolgan bunday infratuzilma uchun maxsus atama mavjud - Shadow IT. Gartner hisob-kitoblariga ko‘ra, 2020-yilga borib barcha buzg‘unchiliklarning uchdan bir qismi Shadow IT-ga tegishli bo‘ladi. Bizningcha, bu mutlaqo real baho.

Misol uchun, bir kuni bizning pentester bankning mukammal himoyalangan perimetrida yangilanmagan call-markaz tizimlarini topdi, bu orqali barcha asosiy bank AS tizimlari 2 kun ichida butunlay buzilgan. Ma'lum bo'lishicha, ular uchun IT bo'limi emas, balki telefon operatorlari javobgar bo'lgan. Boshqa holatda, pentest uchun kirish joyi korporativdan butunlay ajratilgan qabulxonalar tarmog'i edi. Bir necha kundan so'ng pentester tarmoq to'liq qo'lga olingani haqida xabar berganida, mijozning ajablanganini tasavvur qiling. U yangilanmagan printerni buzishga, unga qobiq yuklashga va printerni boshqarish VLAN-ga kirishga muvaffaq bo'ldi. Ularning barchasini buzgan holda, pentester kompaniyaning barcha ofis segmentlariga kirish huquqiga ega bo'ldi.

Ichki infratuzilmaning pentesti tarmoq ichidagi insayder yoki infektsiyalangan tugunning harakatlarini simulyatsiya qiladi. Tarmoq shunday qurilgan bo'lishi kerakki, alohida ish stantsiyalari yoki serverlarning murosasi himoyaning to'liq buzilishiga olib kelmaydi. Darhaqiqat, bizning amaliyotimizdagi holatlarning yarmidan ko'pida "tarmoq rozetkasiga kirish" huquqlaridan "domen administratori" ga bir ish kunidan ortiq vaqt o'tmaydi.

Kompaniyaning tarmog'i juda katta bo'lishi mumkin, shuning uchun ba'zi hollarda mijoz pentester uchun hujum maqsadlarini aniq belgilashi kerak. Masalan, "Maxfiy" deb belgilangan SAP va moliyaviy hujjatlarga kirish. Bu pentesterga o'z vaqtini samaraliroq o'tkazish va haqiqiy shaxsiy xaker hujumini simulyatsiya qilish imkonini beradi.

Veb-resurslar pentesting nuqtai nazaridan alohida dunyoni ifodalaydi, turli xil texnologiyalar va maxsus hujumlar. Internet deganda tarmoqqa kirish imkoniga ega bo'lgan har qanday narsani tushunish mumkinligi aniq. Bu erda biz tarmoqdan foydalanish mumkin bo'lgan turli veb-saytlar, portallar va maxsus APIlarni nazarda tutamiz. Amaliyot shuni ko'rsatadiki, kompaniya uchun o'rtacha tarmoqning butun perimetrini tahlil qilish bitta veb-saytga qaraganda kamroq vaqtni oladi, ayniqsa unda interaktiv elementlar, shaxsiy hisob va boshqalar bo'lsa. Bu soha, birinchi navbatda, banklar tomonidan elektron biznesning rivojlanishi va chakana savdoning Internetga ommaviy kirib borishi tufayli haqiqiy yuksalishni boshdan kechirmoqda.

Veb-resursga hujumning asosiy natijalari odatda ma'lumotlar bazasi ma'lumotlarining buzilishi va mijozlarga hujum qilish ehtimoli (masalan, har ikkinchi bankning veb-saytlarida XSS ning har xil turlari mavjud). Biroz kamroq tez-tez, veb-serverni buzish kompaniyaning tarmog'iga kirishga imkon beradi, lekin ko'pincha, agar siz izlayotgan ma'lumotlar allaqachon buzilgan bo'lsa, bu tajovuzkor uchun kerak bo'lmasligi mumkin.

Internetni tahlil qilishda nafaqat texnik qismni, balki biznes funktsiyalarini ishlash va amalga oshirish mantiqini ham tekshirish kerak. Siz hali ham ba'zan onlayn-do'konda 99% chegirma olishingiz yoki boshqa birovning chegirmalaridan foydalanishingiz mumkin bonus ball, manzil satridagi serverga so'rov qatorini biroz o'zgartiring.

Internetga hujumlar tarmoq ichida ham amalga oshirilishi mumkin, chunki xavfsizlik ichki resurslar odatda bu haqda o'ylamaydilar, lekin aslida ko'pchilik xakerlar birinchi navbatda infratuzilmaga hujum qilishadi, chunki bu domen administratoriga eng qisqa yo'l. Ular boshqa hech narsa ishlamaganida yoki alohida tarmoq segmentlariga kirishlari kerak bo'lganda Internetni egallaydilar.

DDoS qarshilik testlariga qiziqish ortib borayotgani so'nggi ikki yil ichida ayniqsa sezilarli bo'ldi. Katta hujumlar haqidagi ma'lumotlar doimo matbuotda paydo bo'ladi, ammo masala ular bilan cheklanmaydi. Onlayn chakana savdo segmentida, masalan, sotuvlar cho'qqisida (bayramlar oldidan) hujumlar deyarli doimiy ravishda sodir bo'ladi. Katta hajmdagi trafikni jo'natish orqali aloqa kanali yoki server resurslarini tugatishga qaratilgan ibtidoiy hujumlar bilan nima qilish kerakligi umuman tushunarli. Resursning dastur darajasidagi hujumlarga chidamliligini o'rganish qiziqroq. Hatto bitta mijoz veb-saytga nisbatan oz sonli maxsus so'rovlarni yaratib, uni buzishi mumkin. Misol uchun, sayt qidirish maydonidagi maxsus so'rovlar orqa tomonni butunlay yo'q qilishi mumkin.

Ijtimoiy muhandislik, ya'ni. Odamlarning e'tiborsizligi, beparvoligi yoki buzg'unchilikka tayyorgarlik ko'rmaslik bugungi kunda kompaniya tarmog'iga kirishning eng mashhur usuliga aylandi.

Bundan tashqari, bu hurdadan foyda yo'q degan fikr mavjud. Ushbu atama juda ko'p usullarni o'z ichiga oladi, jumladan, pochta, telefon va shaxsiy aloqa orqali soxta xabarlarni yuborish, ob'ekt yoki tizimlarga kirish, flesh-disklarni zararli qo'shimchalar bilan jabrlanuvchi kompaniyaning ofisiga tarqatish va boshqalar.

Wi-Fi tarmog'iga hujumlar noto'g'ri ichki pentesting bilan bog'liq. Agar sizning smartfoningiz kirish joyidan tashqarida korporativ Wi-Fi-ni qabul qilmasa, bu tajovuzkorlar unga erisha olmasligiga kafolat bermaydi. Ebay-dan 100 dollar turadigan yo'naltiruvchi antenna bizga kirish nuqtasidan bir kilometrdan ko'proq masofada ishlashga imkon berdi. Pentestingda Wi-Fi har doim ham tarmoqqa kirish nuqtasi sifatida qaralmaydi. Ko'pincha u foydalanuvchilarga hujum qilish uchun ishlatiladi. Masalan, pentester ish kuni boshlanishidan oldin korxonaning kirish qismida to'xtaydi va korporativ Wi-Fi bilan bir xil nomdagi (SSID) tarmoqni o'rnatadi. Xodimlarning sumkalari va cho'ntaklaridagi qurilmalar tanish tarmoqqa qo'shilishga harakat qiladi va autentifikatsiya qilish uchun domenga login va parolni uzatadi. Keyin pentester ushbu qochqinlarni foydalanuvchilarning elektron pochtasiga, VPN serverlariga va hokazolarga kirish uchun ishlatadi.

Mobil ilovalarni tahlil qilish tajovuzkor uchun soddalashtirilgan, chunki ularni do'kondan osongina yuklab olish va boshlang'ich kodni tiklash orqali sinov muhitida batafsil ko'rib chiqish mumkin. Oddiy veb-resurslar uchun bunday hashamatni faqat orzu qilish mumkin. Shuning uchun bu hujum vektori bugungi kunda juda mashhur. Mobil mijozlar Hozirgi kunda ular nafaqat banklar va chakana savdolarda juda keng tarqalgan. Ular hamma joyda qo'yib yuboriladi va xavfsizlik ular haqida o'ylaydigan oxirgi narsadir.

An'anaviy ravishda mobil ilovani o'rganishni 3 komponentga bo'lish mumkin: xavfsizlik teshiklari uchun tiklangan manba kodini tahlil qilish, dasturni sinov muhitida o'rganish va dastur va server o'rtasidagi o'zaro ta'sir usullarini tahlil qilish (paket mazmuni, API). , serverning zaif tomonlari). Yaqinda bizda mobil bank ilovasining server tomonining API-si shunday ishlaganki, istalgan bank hisobvarag'idan istalgan boshqa hisob raqamiga o'zboshimchalik bilan pul o'tkazishga olib keladigan paketni yaratish mumkin bo'lgan holatga duch keldik. Va bu dastur ishga tushirilgunga qadar tadqiqot emas edi - u uzoq vaqt davomida ishlab chiqarilgan. Bugungi kunda ko'plab firibgarlik sxemalari mobil ilovalar yordamida ham amalga oshirilmoqda, chunki firibgarlikka qarshi kurash axborot xavfsizligidan ham ko'proq unutiladi.

Manba kodini tahlil qilishni pentest deb hisoblash mutlaqo to'g'ri emas, ayniqsa mijoz tadqiqot uchun manba kodlarini ochiq shaklda taqdim etsa. Bu ko'proq oq quti ilovasi xavfsizligi auditidir. Biroq, bu ish ko'pincha zaiflikni aniqlashning yuqori darajasini ta'minlash uchun pentesting bilan birgalikda amalga oshiriladi, shuning uchun bu erda eslatib o'tish kerak. Pentest sizga kodni tahlil qilish paytida topilgan kamchiliklarni tasdiqlash yoki rad etish imkonini beradi (axir, ma'lum bir infratuzilmada barcha xavfsizlik muammolaridan foydalanib bo'lmaydi). Bu kodni tahlil qilishda, ayniqsa avtomatlashtirilganda, noto'g'ri pozitivlar sonini sezilarli darajada kamaytiradi. Shu bilan birga, kodni tahlil qilish natijasida ko'pincha pentester taxmin qilmagan teshiklar topiladi.

Bizning tajribamizga ko'ra, mobil ilovalar va veb-xizmatlarning kod tahlili ko'pincha buyurtma qilinadi, chunki ular hujumlarga eng moyil.

Pentest tish shifokoridagi tekshiruvga o'xshaydi: erta bosqichlarda muammolarni oldini olish uchun uni muntazam ravishda o'tkazish yaxshiroqdir.

Pentest cheklovlari

Pentestni haqiqiy hujumdan ajratib turadigan, oq qalpoqlarni qiyinlashtiradigan asosiy cheklovlar jinoyat kodeksi va axloq qoidalaridir. Masalan, pentester ko'pincha mijozning sheriklari tizimlariga, xodimlarning uy kompyuterlariga yoki aloqa operatorlari infratuzilmasiga hujum qila olmaydi, ijtimoiy muhandislikda qo'rqitish, tahdid, shantaj, poraxo'rlik va jinoyatchilarning boshqa juda samarali usullaridan foydalanmaydi. "Sof" pentest doirasida muvaffaqiyatli kirish natijalari yanada ishonchli. Agar sizning pentesteringiz o'z ishining bir qismi sifatida qonunni buzsa, bunday odamni asosiy tizimlaringizga yaqinlashishiga ruxsat berish kerakmi yoki yo'qmi, o'n marta o'ylab ko'ring.

Nihoyat

Pentest, tibbiy ko'rik kabi, ko'pchilik standartlar tomonidan yiliga kamida bir marta o'tkazilishi tavsiya etiladi. Shu bilan birga, ko'rinishni xiralashtirmaslik va xavfsizlikni turli burchaklardan baholash uchun ishni amalga oshiradigan mutaxassislarni vaqti-vaqti bilan o'zgartirish yaxshidir. Axir har qanday mutaxassis yoki jamoa u yoki bu darajada qandaydir ixtisoslikni rivojlantiradi.

Pentesting xavfsizlik mutaxassislari uchun vaqt, xarajat va stressdir, ammo IT infratuzilmasi xavfsizligini baholashning yanada vizual va real usulini topish qiyin. Qanday bo'lmasin, xakerdan ko'ra, shartnoma tuzilgan mutaxassis teshikni topishi yaxshiroqdir. Axir, birinchisi ko'pincha axborot xavfsizligi xizmati uchun xavfsizlik uchun qo'shimcha mablag'lar ajratish bilan tugaydi, ikkinchisi - yangi ish qidirish.

Penetratsion test - bu tajovuzkorlar hujumlarini vakolatli modellashtirish orqali kompaniyaning AT infratuzilmasi xavfsizligini baholash usuli.

Sinov narxini bilib oling

×

Fikr-mulohaza shaklini to'ldiring, sizga xizmat narxini aniqlash uchun so'rovnoma yuboriladi

Maxfiy ma'lumotlarning saqlanishi va kompaniyaning obro'si IT infratuzilmasi tajovuzkorlardan qanchalik ishonchli himoyalanganiga bog'liq. Shuning uchun uning xavfsizligini amalda tekshirish juda muhimdir. Ko'pincha, xavfsizlik vositalarining optimal to'plamida ham noto'g'ri konfiguratsiya sozlamalari bo'lishi mumkin, bu zaifliklarga olib keladi va tahdidlarning amalga oshirilishi ehtimolini oshiradi.

Penetratsion test ishlari quyidagilarga qaratilgan:

Xavfsizlikning joriy darajasini mustaqil va har tomonlama baholashni olish.

Xodimlarning axborot xavfsizligi masalalaridan xabardorligini mustaqil baholashni olish.

Ish davomida ijtimoiy muhandislik usullaridan foydalangan holda tashqi va ichki xavfsizlik tahlili va sinovlari o'tkaziladi.

Xavfsizlik tahlilini o'tkazishda hal qilingan muammolar:

  • Axborot xavfsizligi zaif tomonlarini va ulardan foydalanish usullarini aniqlash.
  • Tashqi tarmoqlardan mahalliy kompyuter tarmog'iga kirish imkoniyatini tekshirish.
  • Aniqlangan zaifliklarni bartaraf etish orqali xavfsizlik darajasini oshirish bo'yicha tavsiyalar ishlab chiqish.

Agar harakatlar (masalan, ma'lum zaifliklardan foydalanish) o'rganilayotgan resurslarning ishlamay qolishiga olib kelishi mumkin bo'lsa, bunday ishlar faqat qo'shimcha ma'qullangandan keyin amalga oshiriladi. Agar kerak bo'lsa, tanlangan ish stsenariysiga qarab, testdan so'ng resurslarga salbiy ta'sirni bartaraf etish bo'yicha ishlar olib boriladi.

Agar xavfsizlikni tahlil qilish ishi davomida aniqlangan zaifliklarni darhol bartaraf etish zarurligi to'g'risida qaror qabul qilinsa, quyidagi harakatlar amalga oshiriladi:

  • zaifliklardan foydalanish natijalarini qayd etish (skrinshotlar ko'rinishida, mutaxassislar harakatlarini qayd etish, tizimning ishlash jurnallari va boshqalar).
  • ehtiyojni aniqlash va zaiflikni bartaraf etish usullarini kelishib olish
  • zaiflikni bartaraf etish

Sinov bosqichlari

Xavfsizlikni tahlil qilish ishlarini bajarishda universal zaiflik skanerlari ilovalar, OT va tarmoq infratuzilmasi, shuningdek, maxsus dasturiy ta'minotdagi zaifliklarni aniqlash uchun ishlatiladi. Penetratsion sinov ishlari uch bosqichda amalga oshiriladi va quyidagi bosqichlarni o'z ichiga oladi:

1-bosqich - tashqi xavfsizlik tahlili:

  • Xavfsizlikning tashqi tahlilini o'tkazish rejasini tuzish va uni ishchi guruh bilan kelishish

2-bosqich - ichki xavfsizlik tahlili:

Ish mijozning saytida amalga oshiriladi.

  • Ichki xavfsizlikni tahlil qilish rejasini tuzish va uni ishchi guruh bilan kelishish
  • Natijalarni tahlil qilish, hisobot tayyorlash va uni ishchi guruh tomonidan tasdiqlash

3-bosqich - ijtimoiy muhandislik usullaridan foydalangan holda sinov:

Ish tashqi ma'lumotlar tarmoqlari (Internet) yordamida masofadan turib amalga oshiriladi.

  • Ijtimoiy muhandislik usullaridan foydalangan holda test rejasini tuzish va uni ishchi guruh bilan kelishish
  • Natijalarni tahlil qilish, hisobot tayyorlash va uni ishchi guruh tomonidan tasdiqlash

Tashqi xavfsizlik tahlilini o'tkazish

Ishning ushbu bosqichining maqsadi tajovuzkorning resurslarga va maxfiy ma'lumotlarga ruxsatsiz kirish qobiliyatini tekshirishdir.

Xavfsizlik tahlili "qora quti" modeli yordamida amalga oshiriladi (ruxsat etilgan kirishning yo'qligi, dastlabki konfiguratsiya ma'lumotlari va foydalanilgan axborot xavfsizligi choralari).

Tashqi xavfsizlik tahlilining bir qismi sifatida quyidagi ish turlari amalga oshiriladi:

  • tashqi ma'lumotlar tarmoqlaridan foydalanish mumkin bo'lgan tashqi resurslar to'g'risida hamma uchun ochiq ma'lumotlar to'plami
  • xavfsizlik skanerlari va maxsus dasturlardan foydalangan holda resurslar va ularning infratuzilma komponentlarining zaif tomonlarini qidirish
  • saytlararo skript
  • saytlararo so'rovni qalbakilashtirish
  • yo'naltirishni oching
  • sinovdan o'tayotgan tizim haqida qo'shimcha ma'lumot beruvchi noto'g'ri xatolarni qayta ishlash

Ichki xavfsizlik tahlilini o'tkazish

Ishning ushbu bosqichining maqsadi tajovuzkorning resurslarga va maxfiy ma'lumotlarga ruxsatsiz kirishni (keyingi o'rinlarda ASD deb yuritiladi) amalga oshirish qobiliyatini sinab ko'rishdir.

Xavfsizlik tahlili "kulrang quti" modeli yordamida amalga oshiriladi (tizimlarga ruxsat berilgan kirishni ta'minlaydi).

Ichki xavfsizlikni tahlil qilish doirasida quyidagi ish turlari amalga oshiriladi:

  • infratuzilma (tarmoq xizmatlari, operatsion tizimlar va tashqi resurslarning amaliy dasturlari) boʻyicha maʼlumotlarni toʻplash, ixtisoslashtirilgan dasturiy taʼminot yordamida zaifliklarni aniqlash va universal skanerlar xavfsizlik
  • xavfsizlik skanerlari va maxsus dasturiy ta'minotdan foydalangan holda mijoz resurslari va ularning infratuzilma komponentlarining zaif tomonlarini qidirish
  • ixtisoslashtirilgan dasturiy ta'minot yordamida aniqlangan zaifliklardan foydalanish va aniqlangan zaifliklarning dolzarbligini qo'lda aniqlash va dasturiy mahsulot komponentlari va maxfiy ma'lumotlar uchun dizayn hujjatlarini olish imkoniyati.

Zaifliklarni qidirish jarayonida, jumladan, quyidagi asosiy zaiflik turlarining mavjudligi tekshiriladi:

  • kod qismlarini in'ektsiya qilish (masalan, in'ektsiya SQL bayonotlari, operatsion tizim buyruqlarini amalga oshirish
  • ishonchsiz amalga oshirilgan autentifikatsiya va seansni boshqarish tartib-qoidalari
  • saytlararo skript
  • kirishni boshqarish xatolari (masalan, maxfiy ma'lumotlarga ega bo'lgan ob'ektlarga to'g'ridan-to'g'ri havolalar, kataloglarni o'tishda zaifliklar)
  • xavfsiz dasturiy ta'minot konfiguratsiyasi (masalan, kataloglar ro'yxatini yoqish)
  • maxfiy ma'lumotlarni oshkor qilish (masalan, foydalanuvchiga boshqa foydalanuvchilarning shaxsiy ma'lumotlarini taqdim etish)
  • foydalanuvchining ma'lum funktsiyalarga kirishini cheklovchi xatolar
  • saytlararo so'rovni qalbakilashtirish
  • sinovdan o'tayotgan tizim haqida qo'shimcha ma'lumot beruvchi noto'g'ri xatolarni qayta ishlash
  • ma'lum zaifliklarga ega OS va dasturiy ta'minotdan foydalanish
  • yo'naltirishni oching
  • tashqi XML ob'ektlarini qayta ishlash
  • sinovdan o'tayotgan tizim haqida qo'shimcha ma'lumot beruvchi noto'g'ri xatolarni qayta ishlash
  • foydalanish oddiy parollar autentifikatsiya paytida

Ijtimoiy muhandislik usullaridan foydalangan holda test o'tkazish

Ishning ushbu bosqichining maqsadi mijozlar xodimlarining axborot xavfsizligi masalalari bo'yicha xabardorligini baholashdir.

Ijtimoiy muhandislik sinovlarining bir qismi sifatida mijozlar xodimlariga hujumlar quyidagi stsenariylarda amalga oshiriladi:

  • Fishing - hujum orqali amalga oshiriladi Elektron pochta. Hujumga misol: Xodimga kompaniya nomidan uning ishi uchun "yangi va juda foydali xizmat" bilan havola yuboriladi. Maktubda xizmatning tavsifi va uning ma'lum bir xodimga ishida qanday yordam berishi kerakligi ko'rsatilgan. Bundan tashqari, xat sizdan funksionallikni va hamma narsa to'g'ri ishlayotganligini tekshirishingizni so'raydi. Ish xodimni ushbu xizmatga kirishga va domen hisob ma'lumotlari yordamida ro'yxatdan o'tishga harakat qilishga qaratilgan.
  • Troyan oti - hujum elektron pochta orqali amalga oshiriladi. Hujumga misol: Xodim yuborildi bajariladigan fayl, xatning mazmuni xodimning lavozimiga qarab har xil bo'lishi mumkin bo'lsa-da: menejer uchun shartnoma, dasturchi uchun xatolar ro'yxati va h.k. Ish xodimning dasturni ishga tushirishini ta'minlashga qaratilgan. mahalliy kompyuter va bunday dasturni ishga tushirish faktini qayd etish.
  • Telefon hujumi - hujum orqali amalga oshiriladi telefon qo'ng'irog'i. Ish ishonchli qopqoq hikoyasini o'ylab, keyin xodimning maxfiy ma'lumotlari yoki ma'lumotlarini aniqlash orqali xodimning ishonchini qozonishga qaratilgan. Afsonaga misol: “Yangi texnik xodim. qo'llab-quvvatlash xizmati xizmatni joylashtirishning birinchi vazifasini bajaradi va uning to'g'ri ishlashini tekshirishi kerak. Xodimdan yordam so'raydi: mustaqil ravishda tizimga kiring yoki unga foydalanuvchi nomingiz va parolingizni ayting.

Natijalarni tahlil qilish

Ishning natijasi quyidagi ma'lumotlarni o'z ichiga olgan hisobotdir.

Tizim xavfsizligini tekshirish uchun ishlatiladigan asosiy vositalar tizim ma'lumotlarini avtomatik ravishda yig'ish va kirish testini o'tkazish uchun vositalardir. Biz nufuzli tadqiqot va konsalting kompaniyalari, jumladan Gartner va Forrester tomonidan yuqori baholangan axborot xavfsizligi bo'yicha tahliliy yechimlarni ishlab chiqaruvchilardan biri bo'lgan Rapid7 kompaniyasining Rapid7 Metasploit mahsuloti misolida bunday vositalarning ishlash tamoyilini ko'rib chiqishni taklif qilamiz.

Kirish

Penetratsion test (pentest) xavfsizlik tizimining sifatini baholashning eng samarali usullaridan biridir. U AT infratuzilmasidagi zaifliklarni aniqlash, zaifliklardan foydalanish imkoniyatlarini ko'rsatish, shuningdek ularni bartaraf etish bo'yicha tavsiyalar tayyorlash maqsadida amalga oshiriladi. Sinov tartib-qoidalari egasining tashabbusi bilan amalga oshiriladi axborot tizimi va ko'pincha moliyaviy va obro'-e'tibor yo'qotishlar, mijozlar va hamkor tashkilotlar vakillari bilan noxush tushuntirishlar, shuningdek, boshqa noxush oqibatlar bilan birga keladigan axborot xavfsizligi intsidentlarining oldini olishga qaratilgan.

IN Rossiya Federatsiyasi Penetratsion testlarni o'tkazish zarurligini belgilovchi muhim omil - bu tartibga soluvchi talablar. Ikkinchisi himoya tizimining samaradorligini tekshirishni o'ta muhim chora sifatida ko'rib chiqadi va tegishli qoidalar me'yoriy-uslubiy hujjatlarga kiritilgan. Avvalo, bu borada muhim miqdordagi axborot tizimlarini qamrab oluvchi me'yoriy hujjatlarni - Rossiya FSTECning 17 va 21-sonli buyruqlarini eslatib o'tish o'rinlidir.

Ushbu hujjatlar sertifikatlashtirish bosqichida “axborot tizimiga ruxsatsiz kirishga (ta’sir o‘tkazishga) urinish, uning axborot xavfsizligi tizimini chetlab o‘tish orqali axborot xavfsizligi tizimini sinovdan o‘tkazish” ko‘rinishidagi himoya chorasini belgilaydi. Xavfsizlik tizimining samaradorligini tekshirishni nazarda tutuvchi axborot tizimlarini sertifikatlash davlat sirlarini qayta ishlovchi axborot tizimlariga ham talabga ega.

Xalqaro miqyosda to'lov kartalari sanoatining ma'lumotlar xavfsizligi standarti PCI DSS (Payment Card Industry Data Security Standard) ni ta'kidlash tavsiya etiladi. PCI DSS standarti qoidalariga rioya qilish Visa va MasterCard toʻlov kartalariga ishlov berish bilan shugʻullanuvchi barcha tashkilotlar: savdogarlar, protsessing markazlari, ekvayerlar, emitentlar va xizmat koʻrsatuvchi provayderlar, shuningdek, egasini saqlaydigan, qayta ishlovchi yoki uzatuvchi boshqa barcha tashkilotlar uchun majburiydir. ma'lumotlar kartalari va nozik autentifikatsiya ma'lumotlari. Standart qoidalari zaifliklarni tahlil qilish va axborot tizimi tarmog'ining ichida ham, tashqarisida ham kirish testini o'tkazishni nazarda tutadi. Tashqi va ichki penetratsion sinovlar yiliga kamida bir marta va infratuzilma/ilovalarga sezilarli o'zgartirishlar yoki yangilanishlar kiritilgandan so'ng o'tkazilishi kerak.

Penetratsion test (pentest) axborot xavfsizligi bo'yicha mutaxassislarning malakasini oshirish va axborot xavfsizligi bilan bog'liq mutaxassisliklar bo'yicha tahsil olayotgan talabalar tomonidan amaliy ko'nikmalarni egallash, shuningdek, axborot xavfsizligi vositalarini ishlab chiquvchilar tomonidan o'z mahsulotlarini sinab ko'rish uchun amalga oshirilishi mumkin.

Shubhasiz, ushbu maqsadlarning barchasi uchun tarmoq xavfsizligi, veb-ilovalar xavfsizligi, ma'lumotlar bazasi xavfsizligi va penetratsiyani tekshirish strategiyalarini qamrab oluvchi va mahalliy va xalqaro qoidalar talablariga javob beradigan funktsional imkoniyatlarni o'z ichiga olgan tahdidlarni boshqarish bo'yicha integratsiyalashgan yechim eng ko'p talab qilinadi. va o'quv jarayonida foydalanish. Bunday yechimlar qatoriga 2000-yilda asos solingan va IT muhitida axborot xavfsizligi tizimlarini tahlil qilish va tartibga solish uchun mahsulotlar ishlab chiqaruvchi yetakchi kompaniyalardan biri bo‘lgan Rapid7 tomonidan ishlab chiqarilgan Rapid7 Metasploit kiradi. Muhim afzallik dasturiy ta'minot Rapid7 har qanday muhitda, jumladan virtual va mobil, shuningdek, ommaviy va shaxsiy bulutlarda aktivlar va foydalanuvchilarning xavfsizlik holatini ko'rish imkonini beradi.

Rapid7 Metasploit yechimini baholash uchun siz bir xil ishlab chiqaruvchining yechimidan foydalanishingiz mumkin - demo zaif Metasploitable virtual mashinasi bilan jihozlangan. Ubuntu Linux. Virtual mashina VMWare, VirtualBox va boshqa keng tarqalgan virtualizatsiya platformalari bilan mos keladi.

Muhim yordam shundaki, Rapid7 Metasploit Rapid7 Nexpose zaiflik skaneri bilan mos keladi, uni ishga tushirishni boshlashi va ikkinchisining natijalaridan foydalanishi mumkin.

Keling, Rapid7 Metasploit bilan ishlashning umumiy tartibini ko'rib chiqaylik.

Rapid7 Metasploit bilan qanday ishlash kerak

IN umumiy ko'rinish Rapid7 Metasploit bilan ishlash quyidagi bosqichlardan iborat:

  1. Loyiha yaratish. Loyiha penetratsion testni yaratish va bajariladigan vazifalar konfiguratsiyasini yaratish uchun ishlatiladigan ish maydonini o'z ichiga oladi. Har bir kirish testi o'z loyihasidan amalga oshiriladi.
  2. Ma'lumotlar to'plami. Ushbu bosqichda Rapid7 Metasploit maqsadli tarmoq haqida ma'lumot to'playdi: o'rnatilgan OS, ochiq portlar, ishlaydigan xostlar va jarayonlar. Ushbu bosqichda Rapid7 Nexpose zaiflik skaneridan ham foydalanish mumkin. Skanerlash paytida barcha olingan ma'lumotlar avtomatik ravishda loyihaga saqlanadi.
  3. Ekspluatatsiyalardan foydalanish. Hujum qo'lda yoki ekspluatatsiya ma'lumotlar bazasi yordamida amalga oshirilishi mumkin. Bu 2-bosqichda olingan tarmoq ma'lumotlaridan foydalanadi.
  4. Buzilgan tizimda amalga oshirilgan harakatlar. Kirish huquqiga ega bo'lgandan so'ng, ekspluatatsiya yukidan foydalaniladi, uning yordamida qo'shimcha ma'lumot to'plash uchun interfaol seanslar boshlanadi va operatsion tizim va ilovalarda saqlangan parollarni, skrinshotlar, rasmlarni avtomatik ravishda yig'ish uchun post-ekspluatatsiya modullaridan foydalanish ham mumkin. veb-kameralar, klaviatura bosishlarini yozib olish, yig'ish konfiguratsiya fayllari, ilovalarni ishga tushirish va boshqalar.

Rapid7 Metasploit nashrlarini taqqoslash

Rapid7 Metasploit bir nechta nashrlarda mavjud bo'lib, ular taqdim etilgan funktsiyalar doirasi va foydalanish uchun litsenziya turi bilan farqlanadi. Hozirgi vaqtda mahsulotning quyidagi nashrlari mavjud:

  • Ramka
  • Jamiyat
  • Ekspress

Jadvalda mahsulotning har bir nashrida qaysi maqsadli funktsiyalar amalga oshirilganligi haqida ma'lumot berilgan. Qulaylik uchun turli xil ranglardan foydalangan holda, maqsadli funktsiyalar asosiy maqsadlariga ko'ra guruhlarga bo'linadi:

  • Komponent xususiyatlari va tarmoq zaifliklari haqida ma'lumot to'plang.
  • Penetratsiya sinovi.
  • Fishing vazifalarini bajaring.
  • Veb-ilovalarni sinovdan o'tkazish.
  • Hisobotlarni yaratish.
  • Boshqaruv.

Jadval 1. Rapid7 Metasploit nashrlarini solishtirish

Xarakterli Pro Ekspress Jamiyat
Skanerlash ma'lumotlari import qilinmoqda
(Skanerlangan ma'lumotlarni import qilish)
Aniqlash bilan skanerlash
(Kashfiyotni skanerlash)
Nexpose zaifliklarni boshqarish tizimi bilan integratsiya
(Nexpose skanerlash integratsiyasi)
Ma'lumotlarni eksport qilish
(Ma'lumotlarni eksport qilish)
Ekspluatatsiyalarni qo'lda ishga tushirish
(Qo'lda foydalanish)
Veb-interfeys
(Veb interfeys)
Sessiya boshqaruvi
(sessiya boshqaruvi)
Hisob ma'lumotlarini boshqarish
(Hisob ma'lumotlarini boshqarish)
Kuchli nuqta orqali kirib borish
(Proksi-pivot)
Murosadan keyin bajariladigan modullar
(Post ekspluatatsiya modullari)
Seansni tozalash
(Seansni tozalash)
Tanlash usuli
(qo'pol kuch)
Dalillarni yig'ish
(Dalillar to'plash)
Tekshiruvni ro'yxatga olish
(Audit hisoboti)
Faoliyat haqida hisobot
(Faoliyat hisoboti)
Buzilgan va himoyasiz xostlar haqida xabar berish
(Buzilgan va zaif xostlar hisoboti)
Hisob qaydnomasi
(Hisob ma'lumotlari hisoboti)
Xizmat ko'rsatish bo'yicha hisobot
(Xizmatlar hisoboti)
Hisob ma'lumotlarini qayta ishlatish
(Hisob ma'lumotlaridan qayta foydalanish)
Antivirusni chetlab o'tishga urinish
(Antivirusdan qochish)
Bosqinlarni aniqlash va oldini olish tizimlarini chetlab o'tishga urinish
(IPS/IDSdan qochish)
Seans qayta boshlanmoqda
(sessiyani takrorlash)
Murosa qilishning texnologik jarayoni
(Espluatatsiya ish jarayoni)
Vazifalarni o'ynash
(Vazifani takrorlash)
Ma'lumotlarni etiketlash
(Teglash ma'lumotlari)
PCI DSS muvofiqligi haqida hisobot
(PCI hisoboti)
FISMA muvofiqligi haqida hisobot
(FISMA hisoboti)
Tez kirish testi uchun "Master"
(Tezkor PenTest ustasi)
Zaifliklarni tekshirish uchun "Sehrgar"
(Zaiflikni tekshirish ustasi)
Sonar kod sifatini skanerlash tizimi bilan integratsiya
(Project Sonar integratsiyasi)
Fishing uchun "master"
(Fishing ustasi)
Ijtimoiy-texnik tahlil
(Ijtimoiy muhandislik)
Veb-ilovalarni sinab ko'rish uchun "Sehrgar"
(Veb ilovalarni tekshirish ustasi)
Veb-ilovalarni sinovdan o'tkazish
(Veb ilova sinovi)
VPN tunnel yordamida kuchli nuqta orqali kirish
(VPN aylanish)
Yuk yuk generatori
(Yuklash generatori)
Makroslar kelishuvdan keyin bajarildi
(Espluatatsiyadan keyingi makroslar)
Doimiy sessiyalar
(Doimiy sessiyalar)
Meta modullar
(Metamodullar)
Jamoaviy ish
(Jamoa hamkorligi)
Vazifa zanjirlari
(Vazifa zanjiri)
Zaxiralash va tiklash
(Zaxiralash va tiklash)
Shaxsiy hisobot
(Maxsus hisobot)
Ijtimoiy-texnik hisobot
(Ijtimoiy muhandislik hisoboti)
Veb-ilovani baholash hisoboti
(Veb-ilovani baholash hisoboti)

Metasploit Framework nashri bir-biridan ajralib turadi, chunki u tijorat mahsulotlarini yaratish uchun asos bo'lib xizmat qiladi. Bu turli ilovalar, operatsion tizimlar va platformalar uchun ekspluatatsiyalar ma'lumotlar bazasiga kirishni ta'minlaydigan ochiq kodli loyihadir. Boshqarish interfeys orqali amalga oshiriladi buyruq qatori. Metasploit Framework foydalanuvchisi ma'lumotlar bazasiga yangi ekspluatatsiyalarni yaratishi va qo'shishi yoki kirish testlarini o'tkazishda mavjudlaridan qo'shimcha vosita sifatida foydalanishi mumkin.

Qolgan nashrlar tijorat bo'lib, ular qo'shimcha ravishda veb-interfeys orqali boshqaruvni amalga oshiradilar va nashrga qarab, ma'lum funktsiyalar qo'shiladi. Ko'pincha bular qo'shimcha funktsiyalar umumiy sinov vazifalarini avtomatlashtirishga qaratilgan: zaiflik tahlili, sotsiotexnika, foydali yukni yaratish, shafqatsiz kuch hujumlari.

xulosalar

Rapid7 Metasploit keng assortimentga ega funksionallik. Yechim veb-interfeys yoki buyruq qatori interfeysi orqali ishlashi mumkin - variant foydalanuvchining iltimosiga binoan belgilanadi. Biroq, funktsiyalarning to'liq to'plami faqat veb-interfeys yordamida ishlaganda mavjud. Rapid7 Metasploit operatsion tizimlarni qo'llab-quvvatlaydi Windows oilasi va Linux.

Rapid7 Metasploit-ning yana bir nechta o'ziga xos xususiyatlari:

  • Muayyan ishning ehtiyojlariga javob beradigan nashrni tanlash imkoniyati.
  • Uchinchi tomon yechimlaridan zaiflik tahlili natijalaridan foydalanish qobiliyati.
  • Maxsus ishlab chiqilgan zaif tizimda o'qitish imkoniyati.
  • Mahsulotning Linux distributivlari bilan integratsiyasi (Framwork nashrida):
    • Kali Linux
    • Backtrack linux (to'xtatilgan)
    • Pentoo
    • BlackArch
    • Backbox

Rapid7 Metasploit bir nechta operatsion darajadagi cheklovlarga ega, ularni ko'rib chiqishga arziydi:

  • Mahsulotni o'rnatish va keyinchalik to'g'ri ishlashi faqat xavfsizlik devori va antivirusni o'chirib qo'ygandan keyin mumkin.
  • Rapid7 Nexpose va Metasploit-ni alohida vositalarga o'rnatish tavsiya etiladi kompyuter texnologiyasi. Bunday holda, Rapid7 Metasploit-ni virtual mashinaga o'rnatish mumkin.
  • Operatsion hujjatlarning rus tiliga to'liq tarjimasi yo'qligi. Yo'riqnoma bilan Ingliz tili ishlab chiqaruvchining veb-saytida Metasploit bo'limida topish mumkin.