Найти тему

Методологии проведения пентестов и их роль в повышении уровня безопасности информационных систем

Вопрос тестирования на проникновение остается актуальным и по сей день — не так давно информационное поле взорвала новость о внесении в Государственную Думу законопроекта о легализации деятельности так называемых белых хакеров (white hat). Это специалисты, которые, используя инструментарий и методы, присущие злоумышленникам, производят детальную экспертизу информационных систем для обнаружения недостатков и уязвимостей.

Важно отметить, что белые хакеры всегда стараются действовать в рамках законодательства Российской Федерации, однако, как справедливо заметил директор по продуктовому развитию ГК «Солар» Владимир Бенгин, около половины этичных хакеров держатся в стороне и не выходят в легальное поле под страхом уголовной ответственности.

Пока решение о принятии законопроекта остается за Государственной Думой, мы более детально познакомимся с основными принципами работ, проводимых белыми хакерами.

Исследуемые информационные системы специалисты по тестированию на проникновение разделяют в зависимости от архитектурных и логических особенностей, в связи с чем можно выделить несколько видов работ:

Внешнее тестирование на проникновение — исследование и оценка безопасности внешнего периметра для обнаружения уязвимостей, которые потенциально могут быть использованы удаленным злоумышленником. Такое тестирование позволяет выявить недостатки безопасности ресурсов, доступных из сети Интернет.

Внутреннее тестирование на проникновение — исследование и оценка безопасности внутреннего периметра с целью обнаружения недостатков или уязвимостей, которые потенциально могут быть использованы нарушителем или злоумышленником во внутреннем контуре. Такое тестирование позволяет выявить недостатки безопасности как информационных систем, так и единой системы каталогов, если она используется.

Тестирование на проникновение веб-приложений — исследование и оценка безопасности прикладных систем (API, backend-сервера, личные кабинеты) в целях обнаружения недостатков или уязвимостей, которые потенциально могут быть использованы злоумышленником в процессе эксплуатации приложения.

Тестирование на проникновение мобильных приложений — исследование и оценка безопасности мобильного прикладного ПО для обнаружения недостатков или уязвимостей, которые потенциально могут быть использованы злоумышленником в процессе эксплуатации ПО.

Тестирование на проникновение беспроводных сетей — исследование и оценка безопасности используемых Wi-Fi сетей передачи данных в целях обнаружения недостатков конфигурации или вероятных методов несанкционированного воздействия и доступа, которые потенциально могут быть использованы злоумышленником, попавшего в радиус действия сигнала сети.

Немаловажно отметить спецификацию работ по уровню привилегий и объему необходимых знаний о системе при проведении исследования:

  • Черный ящик (Black Box) — минимум знаний о системе;
  • Серый ящик (Gray Box) — документация, наличие учетной записи, первичный доступ в информационной системе;
  • Белый ящик (White Box) — максимум информации об логике, архитектуре, инспекция исходного кода приложения.

В качестве отдельного направления деятельности белых хакеров стоит выделить Red Teaming. Это исследование и оценка безопасности, а также скорости и корректности реагирования специалистов SOC. В основе Red Teaming лежит имитация APT-атаки — реалистичный сценарий таргетированной атаки, использующий любые доступные потенциальному злоумышленнику методы.

Стандарты по ИБ для тестирования на проникновение

Специалистами в процессе проведения работ необходимо учитывать требования и рекомендации различных стандартов и руководств по информационной безопасности, таких как:

PTES (Penetration Testing Execution Standard) — стандарт выполнения тестирования на проникновение, который определяет процесс и методологию проведения тестирования на проникновение в информационные системы и сети.

OSSTMM (Open Source Security Testing Methodology Manual) — базовый стандарт выполнения работ по тестированию на проникновение, благодаря которому можно выстроить четкий план, а также грамотно сформировать шкалу оценки уровня безопасности.

OWASP Testing Guide — руководство тестирования безопасности веб-приложений от open-source проекта OWASP. Внутри описаны рекомендации для обнаружения и исправления популярных уязвимостей веб-приложений, таких как инъекции, межсайтовые сценарии, недостаточный контроль доступа и иные.

OWASP Mobile Security Testing Guide —руководство по исследованию безопасности мобильных приложений. Документ является воплощением стандартизации и обобщения разных подходов к организации безопасности, в том числе, возможен к использованию в качестве чек-листа при написании кода.

ISO/IEC 27001 —стандарт информационной безопасности, который включает в себя требования и рекомендации по проведению пентестов как части процесса управления информационной безопасностью. Особое внимание уделяется оценке рисков и управлению ими.

PCI DSS (Payment Card Industry Data Security Standard)—стандарт безопасности данных от индустрии платежных карт, который содержит требования по обеспечению безопасности транзакций с платежными картами. Включает в себя требования по проведению пентестов для систем, обрабатывающих платежные данные.

В случае с Red Teaming, как наиболее сложным, трудоемким и длительным процессом, учитывают требования и рекомендации следующих стандартов:

TIBER–EU (Threat Intelligence-Based Ethical Red Teaming Framework) — сценарий по тестированию и улучшению киберустойчивости значимых финансовых организаций. Включает в себя симуляцию кибератак на критические системы и инфраструктуру для выявления уязвимостей, усиления защиты.

MITRE ATT&CK Framework вероятно, не нуждается в представлении… Популярная база знаний, которая описывает различные тактики, техники и методы, используемые киберпреступниками при атаках на информационные системы.

iCAST (Intelligence-led Cyber Attack Simulation Testing) — инновационный стандарт, ориентированный на технологии наступательной безопасности.

AASE (Adversarial Attack Simulation Exercises) — фреймворк, нацеленный на людей, процессы и технологии с главным намерением поставить под угрозу критические функции и процессы.

CBEST (Threat Intelligence-Led Assessments) — подход к тестированию на основе результатов киберразведки (Threat Intelligence), имитирующий кибератаки с целью компрометации технологической инфраструктуры, а также критических функций и процессов.

Какие задачи можно решить с помощью пентеста

Тестирование на проникновение позволяет в комплексе решить следующие основные задачи:

  • Обнаружение и валидация уязвимостей;
  • Симуляция потенциального злоумышленника;
  • Оценка практической эффективности защиты;
  • Повышение осведомленности;
  • Выполнение требований регуляторов.

Тестирование на проникновение считается автономным и наиболее эффективным инструментом проверки и оценки фактического уровня информационной безопасности организации. При этом стоит отметить, что пентест является не только техническим процессом, но и стратегической инвестицией в надежность и защиту в условиях растущей активности злоумышленников и популяризации хактивизма в мире.

Автор: Никита Котиков, эксперт по наступательной безопасности CICADA8 Центра инноваций МТС Future Crew.

Оригинал публикации на сайте CISOCLUB: "Методологии проведения пентестов и их роль в повышении уровня безопасности информационных систем".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.