Компании сегодня тесно связаны с миром технологий, бизнес активно использует веб-приложения и другие сервисы, упрощающие работу, но вместе с удобством технологий растет и их опасность. Злоумышленники ищут все новые и новые способы взлома системы ради корыстных целей.
Даже люди, находящиеся в здании, когда оно открыто для посетителей, представляют потенциальную угрозу. Они могут использовать существующие уязвимости, чтобы атаковать компанию на уровне инфраструктуры и приложений. Чтобы заранее выявить существующие в системе угрозы применяют пентест. Это прекрасный способ определить угрозы в ИТ-системах до того, как они будут использованы недоброжелателями.
Что такое пентест?
Атаки на ИТ-инфраструктуру компании и особенно на уязвимые сетевые сервисы могут исходить как изнутри, так и извне компании. Поэтому необходим способ проверить все возможные точки атаки на наличие возможных уязвимостей и закрыть бреши в системе безопасности. При тестировании на проникновение используются методы, которыми пользуются и хакеры. Такой тест, по сути, является этическим взломом с целью повышения безопасности ИТ-инфраструктуры компании.
Эксперты по безопасности пытаются защитить IT-структуры компаний от несанкционированного доступа с помощью обширных тестов на проникновение. Это достигается за счет того, что эксперты помогают компании-заказчику узнать все сильные и слабые стороны собственной архитектуры безопасности, таким образом выявляются основные проблемные зоны в защите информации.
В конечном итоге речь идет о том, чтобы уметь использовать ресурсы, предоставляемые компанией для обеспечения ИТ-безопасности, наиболее целенаправленно. Для этого не только проводится оценка безопасности с точки зрения возможных злоумышленников, но и предлагаются услуги по защите, а также комплексные консультации. Главная цель этих усилий — внушить доверие к компании, защитить ее имидж и в то же время укрепить лояльность клиентов.
Пентесты могут проводиться на различных уровнях компании, например, в области веб-приложений, мобильных и API, облачных вычислений, а также WLAN. При желании эксперты могут также провести испытания на основе сценариев (ATT&C).
Внешний тест на проникновение — оценка безопасности с точки зрения злоумышленника
Внешняя часть в пентестинге заключается в том, чтобы поставить себя в роль атакующего. Обычно он используется для общедоступных ИТ-инфраструктур, которые сначала анализируют, чтобы затем получить к ним доступ. Проводится сбор данных о текущем состоянии безопасности компании с помощью различных действий, таких как перечисление, т.е. распознавание всех ИТ-систем и сервисов, с которыми работает компания, а также получение всех записей DNS, с помощью которых можно идентифицировать другие системы.
Важными этапами оценки безопасности являются выявление и эксплуатация существующих уязвимостей. Для этого определяется доступная информация о версии запущенных сервисов. Инициируется взаимодействие с этими службами для получения информации об их конфигурации.
Еще одной задачей внешнего теста на проникновение является проверка внешних служб на наличие известных уязвимостей или ошибочных конфигураций. Если обнаружены эксплойты, то есть вредоносные программы или последовательности команд, с помощью которых возможны манипуляции, пентестеры проверяют их на возможное влияние на стабильность соответствующих целевых сервисов.
Затем проверяется то, в какой степени найденная уязвимость может быть использована с помощью эксплойта. Если это возможно, необходимо проверить, может ли цель внешнего пентеста быть достигнута. Кроме того, выявляются дополнительные уязвимости, если таковые имеются, и проверяется, можно ли их использовать для доступа к внутренней сети компании. Если да, то запускается внутренний тест, на этот раз с точки зрения злоумышленника, имеющего доступ к внутренней сети.
Внешний пентест имеет смысл, особенно если компания уже предприняла шаги по повышению непроницаемости своих внешних границ, к примеру путем безопасной настройки используемых сервисов или широкого исправления соответствующего программного обеспечения.
Внутренняя оценка ИТ-безопасности посредством тестирования на проникновение
Для оценки внутренней безопасности используются часто повторяющиеся сценарии, особенно компрометация хоста, компрометация сервера DMS и атака персонала. Для анализа хоста и сервера DMS компания предоставляет учетные записи пользователей; для атаки через внутреннюю рабочую станцию компании эксперты по безопасности обычно используют свой собственный компьютер, интегрированный в ИТ-инфраструктуру на время проведения теста. Шаги, которые предпринял бы злоумышленник, также выполняются для внутреннего теста.
Сначала определяются системы во внутренней сети, ограниченные определенной областью, а также сетевые системы, которые отвечают за выполнение. На следующем этапе эксперты оценивают информацию о конфигурации и версии запущенных сетевых служб. Они также ищут общие сетевые ресурсы, которые могут быть использованы для доступа к конфиденциальным данным. Во внутреннем домене компании проводится поиск систем, через которые пользователи могут получить административные права.
Следующим шагом в оценке внутренней безопасности является поиск известных уязвимостей и неправильно сконфигурированных сетевых служб, которые работают в настоящее время, и еще проверка того, в какой степени они могут быть использованы. В этом случае у компании заранее уточняется, на какой системе и в какое временное окно возможна проверка без риска.
На этом этапе также проверяется, могут ли быть реализованы ранее сформулированные цели внутреннего пентеста на основе предыдущих результатов. Если специалистам по безопасности удалось получить доступ к другой системе в корпоративной среде, следующим шагом будет перезапуск всего процесса.
Внутренний пентест особенно полезен для компаний, которые хотят собрать информацию о том, что делают потенциальные злоумышленники и к каким системам они могут получить доступ, если им удастся их скомпрометировать.