Вопрос тестирования на проникновение остается актуальным и по сей день — не так давно информационное поле взорвала новость о внесении в Государственную Думу законопроекта о легализации деятельности так называемых белых хакеров (white hat). Это специалисты, которые, используя инструментарий и методы, присущие злоумышленникам, производят детальную экспертизу информационных систем для обнаружения недостатков и уязвимостей.
Важно отметить, что белые хакеры всегда стараются действовать в рамках законодательства Российской Федерации, однако, как справедливо заметил директор по продуктовому развитию ГК «Солар» Владимир Бенгин, около половины этичных хакеров держатся в стороне и не выходят в легальное поле под страхом уголовной ответственности.
Пока решение о принятии законопроекта остается за Государственной Думой, мы более детально познакомимся с основными принципами работ, проводимых белыми хакерами.
Исследуемые информационные системы специалисты по тестированию на проникновение разделяют в зависимости от архитектурных и логических особенностей, в связи с чем можно выделить несколько видов работ:
Внешнее тестирование на проникновение — исследование и оценка безопасности внешнего периметра для обнаружения уязвимостей, которые потенциально могут быть использованы удаленным злоумышленником. Такое тестирование позволяет выявить недостатки безопасности ресурсов, доступных из сети Интернет.
Внутреннее тестирование на проникновение — исследование и оценка безопасности внутреннего периметра с целью обнаружения недостатков или уязвимостей, которые потенциально могут быть использованы нарушителем или злоумышленником во внутреннем контуре. Такое тестирование позволяет выявить недостатки безопасности как информационных систем, так и единой системы каталогов, если она используется.
Тестирование на проникновение веб-приложений — исследование и оценка безопасности прикладных систем (API, backend-сервера, личные кабинеты) в целях обнаружения недостатков или уязвимостей, которые потенциально могут быть использованы злоумышленником в процессе эксплуатации приложения.
Тестирование на проникновение мобильных приложений — исследование и оценка безопасности мобильного прикладного ПО для обнаружения недостатков или уязвимостей, которые потенциально могут быть использованы злоумышленником в процессе эксплуатации ПО.
Тестирование на проникновение беспроводных сетей — исследование и оценка безопасности используемых Wi-Fi сетей передачи данных в целях обнаружения недостатков конфигурации или вероятных методов несанкционированного воздействия и доступа, которые потенциально могут быть использованы злоумышленником, попавшего в радиус действия сигнала сети.
Немаловажно отметить спецификацию работ по уровню привилегий и объему необходимых знаний о системе при проведении исследования:
- Черный ящик (Black Box) — минимум знаний о системе;
- Серый ящик (Gray Box) — документация, наличие учетной записи, первичный доступ в информационной системе;
- Белый ящик (White Box) — максимум информации об логике, архитектуре, инспекция исходного кода приложения.
В качестве отдельного направления деятельности белых хакеров стоит выделить Red Teaming. Это исследование и оценка безопасности, а также скорости и корректности реагирования специалистов SOC. В основе Red Teaming лежит имитация APT-атаки — реалистичный сценарий таргетированной атаки, использующий любые доступные потенциальному злоумышленнику методы.
Стандарты по ИБ для тестирования на проникновение
Специалистами в процессе проведения работ необходимо учитывать требования и рекомендации различных стандартов и руководств по информационной безопасности, таких как:
PTES (Penetration Testing Execution Standard) — стандарт выполнения тестирования на проникновение, который определяет процесс и методологию проведения тестирования на проникновение в информационные системы и сети.
OSSTMM (Open Source Security Testing Methodology Manual) — базовый стандарт выполнения работ по тестированию на проникновение, благодаря которому можно выстроить четкий план, а также грамотно сформировать шкалу оценки уровня безопасности.
OWASP Testing Guide — руководство тестирования безопасности веб-приложений от open-source проекта OWASP. Внутри описаны рекомендации для обнаружения и исправления популярных уязвимостей веб-приложений, таких как инъекции, межсайтовые сценарии, недостаточный контроль доступа и иные.
OWASP Mobile Security Testing Guide —руководство по исследованию безопасности мобильных приложений. Документ является воплощением стандартизации и обобщения разных подходов к организации безопасности, в том числе, возможен к использованию в качестве чек-листа при написании кода.
ISO/IEC 27001 —стандарт информационной безопасности, который включает в себя требования и рекомендации по проведению пентестов как части процесса управления информационной безопасностью. Особое внимание уделяется оценке рисков и управлению ими.
PCI DSS (Payment Card Industry Data Security Standard)—стандарт безопасности данных от индустрии платежных карт, который содержит требования по обеспечению безопасности транзакций с платежными картами. Включает в себя требования по проведению пентестов для систем, обрабатывающих платежные данные.
В случае с Red Teaming, как наиболее сложным, трудоемким и длительным процессом, учитывают требования и рекомендации следующих стандартов:
TIBER–EU (Threat Intelligence-Based Ethical Red Teaming Framework) — сценарий по тестированию и улучшению киберустойчивости значимых финансовых организаций. Включает в себя симуляцию кибератак на критические системы и инфраструктуру для выявления уязвимостей, усиления защиты.
MITRE ATT&CK Framework вероятно, не нуждается в представлении… Популярная база знаний, которая описывает различные тактики, техники и методы, используемые киберпреступниками при атаках на информационные системы.
iCAST (Intelligence-led Cyber Attack Simulation Testing) — инновационный стандарт, ориентированный на технологии наступательной безопасности.
AASE (Adversarial Attack Simulation Exercises) — фреймворк, нацеленный на людей, процессы и технологии с главным намерением поставить под угрозу критические функции и процессы.
CBEST (Threat Intelligence-Led Assessments) — подход к тестированию на основе результатов киберразведки (Threat Intelligence), имитирующий кибератаки с целью компрометации технологической инфраструктуры, а также критических функций и процессов.
Какие задачи можно решить с помощью пентеста
Тестирование на проникновение позволяет в комплексе решить следующие основные задачи:
- Обнаружение и валидация уязвимостей;
- Симуляция потенциального злоумышленника;
- Оценка практической эффективности защиты;
- Повышение осведомленности;
- Выполнение требований регуляторов.
Тестирование на проникновение считается автономным и наиболее эффективным инструментом проверки и оценки фактического уровня информационной безопасности организации. При этом стоит отметить, что пентест является не только техническим процессом, но и стратегической инвестицией в надежность и защиту в условиях растущей активности злоумышленников и популяризации хактивизма в мире.
Автор: Никита Котиков, эксперт по наступательной безопасности CICADA8 Центра инноваций МТС Future Crew.
Оригинал публикации на сайте CISOCLUB: "Методологии проведения пентестов и их роль в повышении уровня безопасности информационных систем".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
