Для оценки безопасности веб-платформы, мобильного приложения, подключенного объекта очень прагматичный подход заключается в воспроизведении кибер-атаки наиболее реалистичным способом. Может ли аудитор безопасности действительно поставить себя на место преступника? Можно ли избежать предвзятого отношения к тестам, не сообщая информацию заранее?
Это действительно возможно при проведении пентеста «черного ящика». В этом случае пентестер начинает аудит, имея в качестве информации только название компании. Он должен обнаружить незащищенный периметр, а затем провести атаки, стараясь максимизировать воздействие тестов за отведенное ему время.
Преимущества для компании, спонсирующей этот тип аудита безопасности, заключаются в следующем:
- Нет необходимости передавать какую-либо информацию о своей ИБ компании, ответственной за проведение пентеста.
- Пентест «черного ящика» дает реальные ответы на вопрос «безопасна ли моя ИБ?», поскольку условия тестирования максимально приближены к реальным (имитация внешней атаки).
- Так как компания-клиент не определяет область применения пентеста «черного ящика», она избегает фокусирования тестов только на том, что считает потенциально уязвимым. Это позволяет избежать отказа от тестирования определенных областей, которые могут быть точками входа для внешних атак.
- Аудит безопасности «черного ящика» быстро и легко организовать, при условии, что подписаны необходимые разрешения и обеспечена связь на случай непредвиденных обстоятельств.
- Сотрудники компании-клиента могут быть не проинформированы о том, что будет проводиться пентест «черного ящика», чтобы посмотреть, как они реагируют на атаки в реальных условиях.
Этот тип аудита безопасности может сочетать технические тесты и тесты социальной инженерии, чтобы охватить все виды угроз для ИБ. Таким образом, для пентестера «нет преград». Ему предстоит определить приоритетность атак в соответствии с контекстом, который он обнаружит по ходу аудита. Можно определить общие цели с клиентом (например, присвоить деньги) или расставить приоритеты классических целей кибератаки: присвоить деньги, получить конфиденциальную информацию, получить доступ к внутренней ИС, нанести ущерб деятельности и имиджу целевой компании.
Различные этапы пентеста «черного ящика»
Разведка
Разведка является важнейшим этапом оценки подверженности атакам компании и ее продукции. Она включает в себя поиск как технических данных, так и данных о персонале. С одной стороны, это поиск всех доменов, поддоменов и записей DNS, связанных с компанией-целью, а с другой — сбор адресов электронной почты, паролей и логинов, которые могли попасть в сеть в результате взлома другой компании. Вся эта информация легально извлекается из Интернета с помощью, например, хакерской программы Google и поиска как настоящих, так и прошлых версий целевой веб-платформы.
Также проводится активная разведка, при которой пентестер вступает в непосредственный контакт с целью. Это включает сканирование портов для определения сервисов.
Фаза обнаружения
После идентификации целей пентестер проверяет, являются ли версии серверов и сервисов последними и есть ли в них известные уязвимости. Уязвимые компоненты и неправильная конфигурация являются одними из наиболее легко эксплуатируемых позиций для злоумышленника.
Автоматическое сканирование выполняется на веб-сайтах, веб-приложениях и других интерфейсах. Эти сканирования позволяют пентестерам выявлять возможные атаки на цели. Такие инструменты, как Burp, могут использоваться для сканирования с целью обнаружения всего, что может представлять опасность для платформы. Среди уязвимостей, которые может обнаружить Burp, есть уязвимости, перечисленные в списке OWASP Top 10.
Фаза атаки
Пентестер производит атаку согласно полученным данным об уязвимостях, после чего вам предоставляется отчет. Помните о том, что пентестеры не станут наносить вашей компании намеренный ущерб, поэтому это абсолютно безопасно.