Тест на проникновение — практический способ оценить, насколько в действительности защищена компания от посягательств на ее конфиденциальные данные и других угроз кибербезопасности. Delo.ua рассказывает, для чего нужны эти тесты и кто их проводит
Масштабные взломы информационных систем крупных компаний ежегодно приносят многомиллионные убытки, а для некоторых компаний это может стоить бизнеса целиком. Подобные инциденты стараются замалчивать, что в целом создает атмосферу беспечности. Однако, по статистике, не менее четверти компаний в мире имеют критические уязвимости на своих внешних ресурсах (веб-сайт, шлюз Интернет-доступа и прочее), которые позволяют произвести незаметное проникновение в их сеть.
Предупрежден — значит вооружен
Тест на проникновение (penetration test, сокращенно — пентест) проводится с целью санкционированного выявления уязвимостей, которые присутствуют в информационной системе. Сам по себе пентест — это легальная хакерская атака, в ходе которой специалист находит уязвимости, которые можно использовать для получения доступа к нужной информации или проникновению в сеть. Соответственно, по результатам пентеста можно устранить обнаруженные дыры в безопасности и существенно снизить риски реального взлома. Важно также помнить, что уязвимости в операционных системах и другом программном обеспечении обнаруживаются и публикуются постоянно. Соответственно и пентест тоже не может являться разовой акцией — он должен быть компонентом процесса поддержания должного уровня защищенности ИТ-инфраструктуры любой организации. В 2015 году компания WhiteHat Security проводила исследование: из 118 компаний-респондентов, 92, по крайней мере, хоть один раз проводили тестирование на проникновение в рамках своих программ безопасности. В то же время оказалось, что лишь 21% опрошенных организаций проводят тест на проникновение на регулярной основе, хотя бы ежегодно. В целом тесты на проникновение можно разделить на три условных класса:
➡️ Blackbox — о тестируемом объекте не дают вообще никакой информации, только ip-адрес или имя веб-ресурса.
➡️ Greybox – дается ограниченная информация, чтобы уменьшить количество времени, которое пентестер должен потратить на сбор предварительных данных об объекте.
➡️ Whitebox – дается максимум информации, вплоть до исходного кода, о тестируемом объекте. Особенностью проведения пентеста по модели Black Box является то, что в ходе исследования значительная часть времени уходит на получение информации, необходимой для проведения более глубоких исследований по поиску уязвимостей в информационной системе. В то же время, очевидно, что злоумышленник не ограничен во времени и всегда сможет получить информацию, подпадающую под понятие модели Grey Box. Учитывая ограниченность времени, отводимого на проведение пентеста, с практической точки зрения модель Black Box является наименее эффективной по соотношению затраченных времени и средств к полученным результатам. Проведение пентеста по моделям Grey Box и White Box позволяет сконцентрировать усилия на непосредственном поиске уязвимостей информационной системы, благодаря возможности сразу приступить к проведению более глубоких исследований. Это увеличивает вероятность нахождения максимально полного множества уязвимостей за отведенное для выполнения работ время. В общем случае порядок проведения пентеста такой: ➡️ Подписание договора о неразглашении и предоставление заказчиком письменного разрешения на проведение пентеста — обязательный шаг, так как в ходе пентеста "белые хакеры" практически всегда получают доступ к чувствительной информации и им нужно юридическое обоснование; ➡️ Получение исходных данных в соответствии с выбранной моделью. Если выбрана все-таки модель Black Box — производится предварительная информационная разведка с использованием доступных источников (Интернет, новости, конференции и прочее); ➡️ Внешнее сканирование с идентификацией уязвимостей сетевых служб и приложений как с помощью автоматизированных инструментов, так и ручными методами; ➡️ Попытки эксплуатации обнаруженных уязвимостей для получения доступа к информационным ресурсам Заказчика. Методы и инструментарий всегда подбираются индивидуально. По отдельному согласованию с заказчиком может проводиться проверка, фигурирует ли его организация в качестве объекта обсуждения/готовящейся атаки на каких-либо специализированных форумах в так называемом DarkNet. В результате проведения пентеста всегда оформляется детальный отчет с подробным описанием всех выявленных уязвимостей, возможности и способов их использования нарушителями (практических или теоретических), а также рекомендациями по их устранению (минимизации). "Для понимания важности проведения пентестов можно привести пример: в одном из интернет-магазинов присутствовала уязвимость — когда в личном кабинете добавлялось в корзину некоторое количество товаров, и затем все покупки отменялись — веб-приложение генерировало очень большую нагрузку на серверы, вследствие чего реальные клиенты получали отказ в обслуживании. Проблема в том, что эту уязвимость обнаружили не собственники интернет-магазина, а злоумышленники, в итоге работа всего сайта была парализована", — делится опытом технический директор компании "Октава Киберзахист"
Алексей Швачка. По его словам, именно пентест мог бы помочь предотвратить кибермошенничество. Также следует учитывать тот факт, что если вы уделяете достаточно внимания безопасности своей компании, это не значит, что не могут взломать кого-то из ваших партнеров, а потом через них, собственно, и вашу компанию.
