Тест на проникновение, или пентест — моделирование кибератак для поиска уязвимостей в защите ИТ-инфраструктуры. Он показывает, насколько легко хакер может проникнуть в корпоративную сеть и информационные системы. Тестировщики анализируют внешние и внутренние угрозы с помощью автоматизированных инструментов и вручную. После тестирования компания получает подробный отчёт, в котором есть описание уязвимостей и их критичности, а также развёрнутые рекомендации по их устранению.
Зачем проводить пентест
Компания IBM подсчитала, что в 2020 году средний ущерб от утечек данных достиг 3,86 млн долл. Больше половины утечек связана с атаками злоумышленников.
Чаще всего от кибератак страдает здравоохранение, 7,13 млн. долл. ущерба приходится на компании из этой сферы. В прошлом году цифра была меньше: 6,45 млн. долл. Это объясняется тем, что медицинские записи — один из самых важных видов персональных данных, их потеря критична для компаний. При этом 70 % опрошенных компанией IBM считают, что с массовым переходом на удалённую работу ущерб от утечки данных увеличится.
В среднем компании требуется 280 дней, чтобы найти и устранить утечки. Если сократить это время хотя бы до 200 дней ущерб снизится на 1 млн. долл.
В некоторых случаях компании обязаны проводить пентест. Например, согласно стандарту PCI DSS, компании, которые работают с банковскими картами, должны проводить пентест каждый год. Такие же требования предъявляет Банк России к компаниям, которые занимаются переводами.
Какие задачи у пентестера
- Проверить, может ли персонал компании получить доступ к конфиденциальным данным.
- Выяснить может ли рядовой сотрудник самостоятельно повысить уровень доступа.
- Найти слабые места в безопасности в корпоративной сети и информационных системах, способы их эксплуатации.
- Проверить, можно ли проникнуть в локальную сеть извне.
- Дать подробные рекомендации, как устранить найденные уязвимости.
Для каких сервисов и систем проводят пентест
Перед началом тестирования компания-заказчик вместе с исполнителем составляет перечень компонентов ИТ-инфраструктуры, которые необходимо проверить. А также указывает, какие сервисы нужно исключить.
Как правило, проверяют:
- структуры управления базами данных, включая системы аутентификации, хранилища данных учётных записей, пароли и механизмы контроля доступа, механизм авторизации и механизм управления сессиями;
- сетевое оборудование;
- сетевые службы и сервисы, включая протоколы взаимодействия клиент-сервер и служб SSL/TLS.
- специализированное ПО, важное для бизнес-процессов;
- ОС серверов и пользовательских ПК.
Как проводят пентест
Тестирование можно проводить вручную и/или с помощью специального ПО. Внешний анализ защищённости проводят по модели Black Box, имитирующей атаки злоумышленника, не знакомого с ИТ-инфраструктурой компании.
Для внутреннего тестирования используют модели Grey Box или White Box. В первом случае создают ситуацию, когда взломщик — это один из сотрудников компании. Во втором проникновение происходит с использованием всех данных об инфраструктуре компании, её оборудования и ПО.
Есть несколько методик для проведения пентестов. Какую из них выбрать — решают, исходя из задач тестирования.
OSSTMM
Методику OSSTMM можно использовать как инструкцию при организации комплексного пентеста. Методика OSSTMM включает план, метрики и рекомендации для написания отчёта. В результате компания получит персональную оценку уровня безопасности, которая учитывает её особенности.
Тестирование проводят по пяти каналам, отвечающим за безопасность:
- человека во время взаимодействия с другими людьми;
- материальных элементов (активов),
- Wi-Fi-сети и оборудования, других средств корпоративной связи,
- внешней телекоммуникационной инфраструктуры.
NIST SP800-115
Подходит для применения в разных сферах, в том числе в финансах и ИТ. Это техническое руководство, в котором объясняется, как оценивать уровень рисков и как их уменьшить, в какой последовательности проводить пентест. Отдельно разбирается защита от кибератак.
В стандарте есть описание:
- документов и правил,
- способов тестирования безопасности парольной политики,
- методики обработки данных, полученных в результате теста;
- советы, как написать подробный отчёт.
OWASP
Методология описывает, как проводить пентест веб-приложений, включая каждую стадию разработки. Подходит для ручного пентеста или для автоматизированного (при помощи OWASP ZAP).
В OWASP входит четыре блока с подробным описанием тестирования приложений и сайтов:
- Top 10 — описание распространённых уязвимостей.
- Testing Guide — методики, по которым можно тестировать приложения.
- Developer Guide — советы по созданию безопасного кода.
- Code Review — способы тестирования уязвимости действующего кода для разработчиков и продуктологов.
ISSAF
Описывает утилиты для пентеста, и даёт рекомендации по их применению. Для каждого этапа тестирования предусмотрен набор конкретных инструментов.
В ISSAF прописан чёткий порядок действий для проведения пентеста:
- собрать все необходимые данные,
- подготовить карту сети,
- найти слабые места,
- проникнуть в корпоративную сеть,
- получить и сохранить доступ,
- получить закрытые данные пользователей и сайтов,
- спрятать следы взлома.
PTES
По этой методике можно провести базовое или расширенное тестирование. PTES содержит описание целей пентеста, а также руководство по проведению повторного тестирования. Это позволяет проверить, удалось ли компании закрыть выявленные уязвимости.
PTES проводят в несколько этапов:
- Изучение информации об ИТ-инфраструктуре заказчика.
- Моделирование угроз, во время которого выявляются векторы атаки.
- Анализ слабых мест и оценка рисков.
- Моделирование действий злоумышленника.
- Подготовка отчёта, советы по устранению уязвимостей.
Два примера из практики
Приведём примеры пентестов, которые ITGLOBAL.COM выполнила для международного платежного сервиса FINOM и компании-разработчика Digital Attitude.
FINOM оказывает цифровые финансовые услуги для бизнеса в Италии, Франции и Германии. В личных кабинетах пользователей находится история платежей, информация о дебетовых и кредитных картах, и, фактически, обо всех финансовых процессах компании. Поэтому важно, чтобы этот элемент сервиса был неуязвим для злоумышленников. Тестировщики ITGLOBAL.COM использовали модель Black Box, сымитировав реальные кибератаки. Пентест выявил несколько некритичных уязвимостей, которые клиент сразу закрыл. Было решено продолжить тестирование и организовать проверку Android- и iOS-приложений.
Digital Attitude, «золотой партнёр» Microsoft, разрабатывает платформу, которая помогает при работе с корпоративным ПО. При успешной попытке взлома злоумышленник, теоретически, мог бы удалённо получить доступ к рабочим компьютерам персонала компании. Чтобы найти уязвимые места в системе, тестировщики ITGLOBAL.COM снова провели пентест. Выяснилось, что компания хорошо защищена. Специалисты по ИБ нашли одну уязвимость среднего уровня критичности, которую компания быстро устранила.
Несмотря на то, что в обоих случаях не было найдено ни одной критической уязвимости, эксплуатация найденных слабых мест могла бы нанести серьезный финансовый и репутационный ущерб. Эти кейсы — еще и пример того, что западные компании относятся к ИБ, и в частности к защите персональных данных клиентов, очень ответственно. В Европе и США спрос на пентест настолько высок, что за этой услугой выстраивается очередь. Как отметил представитель Digital Attitude, у авторитетных ИБ-компаний план по пентестам расписан на год вперед.