Что такое пен-тестирование или тестирование на проникновение?
Тестирование на проникновение - это процесс санкционированного взлома информационной системы по просьбе клиента с целью выявления слабых мест в информационной системе. В этом заключается основное отличие данного процесса от реального взлома. Специалист (пентенстер), получивший от клиента заказ на устранение неполадок во внешней сети, должен точно исследовать один узел за другим, даже если многие слабые места уже были найдены. Один и тот же тип хоста (оборудования) (например, 500 одинаковых рабочих станций) позволит пентестеру сделать тестовую выборку, но перескакивание через радикально отличающиеся системы недопустимо. Тестирование на проникновение не является заменой удовлетворительного аудита ИБ, но это самый простой способ для клиентов выявить некачественные пен-тесты. Этот метод характеризуется особым взглядом на исследуемую систему. Пен-тестирование имеет дело с результатами, а не с причинами слабых мест ИБ. Зачем вообще проводить пен-тесты? Потому что они позволяют нам проанализировать, так ли хорош процесс ИБ, как мы думаем, так ли надëжна система защиты, как мы думаем, и так далее. Поэтому он может показаться необходимой техникой для компаний, которые уже сделали соответствующие инвестиции в ИБ.
Мы разработали формулу для проведения пен-теста: пен-тест = анализ + отчет и рекомендации + презентация.
Анализ - это самая простая часть пен-теста: вы когда-нибудь смотрели фильмы про ИТ и видели, как эти парни врываются в ИТ-компанию посреди ночи? В реальности все часто бывает немного скучнее, но такой образ позволяет Pentest не придерживаться внутреннего корпоративного дресскода компании. Отчетность - важная часть процесса. Заказчик должен получить подробное описание всех успешных и не успешных попыток проникновения, четкое объяснение слабых мест и рекомендации по их устранению. Последним компонентом является представление. Эта проверка на порядок выше любой другой в плане наглядности, особенно для неспециалистов. Это лучший способ указать руководству фирмы на слабые места ИБ в понятной для новичков форме. Параметры тестов
Тесты можно классифицировать различными способами. Однако здесь мы сосредоточимся на тех, которые имеют практическое значение при организации пен-теста. Простой пен-тест обычно включает в себя контроль ИТ-инфраструктуры (например, привилегии администратора домена), но существуют и целенаправленные пен-тесты. Сеть банка может быть полностью захвачена в первый день, но если последний фрагмент информации с конфиденциальными данными не пропадет, организация пройдет тест с блеском. Модель знаний системы определяет начальную позицию пен-тестера. Она варьируется от "белого ящика" с полной информацией о системе до "черного ящика" без какой-либо информации вообще. Существуют также промежуточные варианты серого ящика, например, когда пен-тестер имитирует поведение пользователя с ограниченными привилегиями.
Эти кибер-учения позволят оценить, насколько уязвима система, развитие процессов ИБ и уровень взаимодействия между группами. Отличной контрмерой является имитация поведения хакеров и тренировка защитных систем. В этом случае специалисты по ИБ работают в замкнутом пространстве, а администраторы сосредотачиваются на обороне и реакции ИТ-системы, корректируют настройки и т.д. Например, смоделируйте ситуацию, когда злоумышленник уже проник в закрытый сегмент.
Различные методы тестирования на проникновение
1. внешнее тестирование - посторонний атакует извне и пытается получить удаленный доступ к системе.
2. внутреннее тестирование - во время тестирования человек (с правами сотрудника компании) находит способ нанести вред системе изнутри.
3. белый ящик - тестировщик обладает знаниями о системе.
4. черный ящик (слепое тестирование) - тестировщик не имеет никаких знаний о системе. Может полагаться только на общедоступные данные.
5. серый ящик - испытатель имеет частичные знания о системе.
6. двойной слепой тест (двойной черный ящик, скрытый) - данный тип теста является секретным (даже от служб безопасности) и о нем знают 1-2 человека. Этот метод помогает обнаружить уязвимости, которые не могут быть обнаружены другими методами. При данном типе тестирования тестировщик должен иметь разрешение (работать легально) [2].
Типы атак
В информационной безопасности существует множество типов атак. Ниже мы перечислим типы атак, часто используемые специалистами по ИБ.
Веб-атаки: Веб-ресурсы - это отдельный мир для специалистов по ИБ и для пен-тестирования. Мы предполагаем наличие различных веб-сайтов, определенных API, к которым можно получить доступ из сети, и т.д. В целом, опыт показывает, что время, необходимое компании для оценки всего периметра, меньше, чем время, необходимое для оценки одного веб-сайта, особенно если он имеет интерактивные функции. В настоящее время это направление является одним из самых популярных в связи с развитием электронного бизнеса, в первую очередь банков, и большим количеством коммерческих операций в Интернете. Основными последствиями атак на веб-ресурсы обычно являются компрометация данных из баз данных и возможность атаковать клиентов. При исследовании веб-ресурса в первую очередь необходимо проверить не только технические аспекты, но и саму логику и поведение бизнес-функций. Например, иногда можно использовать чужие бонусные баллы при получении 99% скидки в интернет-магазине или немного изменить строку запроса к серверу в адресной строке, но мы не рекомендуем этого делать. атаки на веб-ресурсы. можно проводить внутри сети, и на самом деле это самый короткий путь к администратору домена, так как большинство хакеров генерируют атаки сначала на инфраструктуру. В основном, за экспертов берутся, потому что когда нужно взять веб-ресурс, ничто другое не помогает.
АТАКА WI-FI: Атаку Wi-Fi часто называют внутренним пен-тестом, но это не так. При проведении пен-теста Wi-Fi не всегда рассматривается как точка доступа к сети. Он часто используется для атаки на пользователей. Например, пен-тестер подъезжает к компании и разворачивает сеть с тем же именем (SSID), что и корпоративная сеть Wi-Fi. Сотрудник, желающий подключиться к известной сети, отправляет имя пользователя и пароль для домена, чтобы пройти аутентификацию в этой сети. Пен-тестер использует утечку информации для доступа к электронной почте пользователя, его личной информации и т.д.
Терминология пентестинга.
Основными терминами, которые отличают пентестинг от реальных атак, являются уголовное право и этика. Как правило, пентестеры не могут атаковать клиентские системы, домашний компьютер сотрудника или базу данных телекоммуникационной компании. Прежде чем заказать пен-тест, подумайте о том, что пен-тестер, проводящий тест, будет иметь доступ к вашим данным и системам.
Основные дистрибутивы, используемые для тестирования на проникновение.
1. Kali Linux - самая популярная операционная система для пен-тестирования; она написана на языке Debian.
Kali Linux включает в себя около 100 инструментов для проведения пен-тестов для различных типов операций, таких как
сканирование сети
криминалистический анализ
тестирование на проникновение
Сбор информации
Разное
Parrot Security OS - одна из лучших ОС для проведения пен-тестов и криминалистического анализа. Эта ОС предназначена для профессионалов в области информационной безопасности и этичных хакеров.
Основанная на Debian, Parrot Security OS предлагает огромное количество инструментов, а также имеет отличный графический интерфейс.
3. Backbox Linux. основана на Ubuntu LTS.
Окружение рабочего стола - XFCE.
BlackBox - хороший выбор для проведения пен-тестирования, поскольку включает в себя популярные профессиональные инструменты в этой области, такие как
BurpSuite
NMAP
Armitage
SQL Map
Другие
4. BlackArch Linux
В качестве основы используется Arch Linux; BlackArch Linux - это быстрая и простая ОС для пен-тестирования. Она подходит для элитных белых хакеров.
Она содержит около 2500 различных хакерских инструментов.
Настольными средами являются Fluxbox и OpenBox.[3]
Наконец, мы рассмотрели интересную тему пен-тестирования и узнали о его видах. Еще раз напомним, что тестирование на проникновение - это попытка оценить безопасность реальной информационной системы с использованием контролируемой максимальной защиты, а также атаки на инфраструктуру и бизнес-процессы, попытки обнаружить и использовать уязвимости[1] .
Список литературы:
1. JETINFO. Penetration Test по полочкам. [Электронный ресурс]. URL:https://www.jetinfo.ru/penetration-test-po-polochkam/ (дата обращения:19.03.23)
2. Google academy. Оценка безопасности информационных систем с помощью тестирования на проникновение. [Электронный ресурс]. URL:
https://cyberleninka.ru/article/n/otsenka-bezopasnosti-informatsionnyh-sistem-s-pomoschyu-testirovaniya-na-proniknovenie/viewer
3. Habr.com. Топ-10 лучших дистрибутивов Linux для этичного взлома и пентеста в 2020 году. [Электронный ресурс]. URL:
https://habr.com/ru/company/alexhost/blog/525102/
