Текущая тенденция заключается в усилении требований безопасности клиентов, партнеров и инвесторов. Аудит безопасности был демократизирован для малых и средних предприятий, для которых они представляют собой необходимый шаг, чтобы иметь возможность сотрудничать по вопросам ИТ с крупными компаниями. На самом деле крупные клиенты почти систематически включают запросы на отчеты об аудите безопасности в свои процессы закупок. Вступление GDPR в силу также позволило компаниям осознать проблемы безопасности данных в тех секторах деятельности, где ранее учет рисков был низким. Сертификаты безопасности (ISO 27001, HDS, PCI-DSS, SOC2 и т. д.) становятся все более популярными среди малых и средних компаний.
Существует несколько типов аудитов безопасности, в основном: организационные аудиты, технические аудиты и тесты на проникновение. Эти различные типы аудита могут применяться в более или менее широком масштабе, в зависимости от того, хочет ли компания оценить все свои ИС или только определенные области.
Что такое тест на проникновение?
Тест на проникновение включает проверку безопасности компьютерной системы путем проведения атак с целью выявления уязвимостей системы и предложения исправлений безопасности.
Тестирование на проникновение и тестирование уязвимостей различаются по своим целям. Тестирование уязвимостей основано на автоматических сканерах, которые быстро выявляют наиболее распространенные уязвимости. Тестирование на проникновение идет дальше. Оно включает в себя, в частности, поиск логических брешей, которые не могут быть обнаружены автоматическими инструментами, и фазу ручной эксплуатации выявленных уязвимостей. Это более комплексный проверенный метод аудита безопасности, который позволяет измерить реальное влияние любого типа уязвимости.
Тестирование на проникновение может включать тестирование «черного ящика», «серого ящика» или «белого ящика». Тесты «черного ящика» нацелены на поверхность атаки, доступную для любого внешнего злоумышленника, тогда как тесты «серого ящика» будут касаться элементов, доступных только клиентам, партнерам или сотрудникам компании. Аудит белого ящика, с другой стороны, позволяет анализировать уровень безопасности, имея такой же доступ, как системный администратор (сервер, приложение и т. д.).
Результатом проверки на вторжение является отчет об аудите безопасности, в котором представлены выявленные уязвимости, классифицированные по уровню критичности, а также технические предложения по их устранению. В дополнение к отчету также может быть предоставлено нетехническое резюме для представления руководящему комитету или партнерам.
Методология тестирования на проникновение
Тест на проникновение основан на методологии, состоящей из четырех этапов, которые представляют собой циклический процесс: распознавание, сопоставление, обнаружение, эксплуатация.
Типы проводимых испытаний
Веб-платформы
Тесты, проводимые на веб-платформах, позволяют искать уязвимости, связанные с конфигурацией веб-серверов, а также уязвимости, связанные с прикладным уровнем.
На стороне сервера это, например, открытые и плохо защищенные сервисы, устаревшее ПО или ошибки конфигурации.
Со стороны приложения это уязвимости, перечисленные OWASP (в том числе топ-10 недостатков), а также логические недостатки, связанные с реализацией рабочего процесса, и те, что касаются новых открытий в технологиях, используемых разработчиками.
Мобильные приложения
Тесты, проводимые на самих мобильных приложениях (за исключением мобильных API и серверов), включают статический анализ и динамический анализ приложений.
Статический анализ состоит из извлечения элементов (метаинформации и исходного кода) для выполнения попыток обратного проектирования.
Динамическое сканирование заключается в поиске уязвимостей в приложении во время его работы на устройстве (среде выполнения), например, для обхода элементов управления или извлечения данных из оперативной памяти.
Общие недостатки мобильных приложений перечислены OWASP (включая 10 лучших мобильных приложений).
Подключенные объекты — Интернет вещей
Тесты, проводимые на подключенных объектах, позволяют искать уязвимости на всех уровнях экосистемы IoT: аппаратном обеспечении, прошивке, протоколах связи, серверах, веб-приложениях и мобильных приложениях.
Тесты аппаратного обеспечения, встроенного программного обеспечения и протоколов связи специфичны для самого объекта, например: сброс данных через электронные компоненты, анализ встроенного ПО, захват и анализ сигналов и т. д.
Инфраструктура и сети
Тесты, проводимые во внутренней корпоративной сети, состоят из картирования сети с целью поиска уязвимостей, присутствующих на рабочих станциях, серверах, маршрутизаторах, прокси-серверах и других сетевых устройствах.
Социальная инженерия
Тесты компании на человеческий фактор проверяют реакцию команд на попытки фишинга, телефонные атаки и физическое вторжение.
Используемые методы включают, например, отправку фишинговых и целевых фишинговых электронных писем, включая клоны интерфейсов и вредоносное ПО, сбор конфиденциальной информации по телефону.
Что происходит после теста на проникновение?
Конечной целью теста на проникновение является предоставление конкретных рекомендаций по повышению уровня безопасности объекта.
Следующим шагом, таким образом, является учет этих рекомендаций для исправления как минимум наиболее критических уязвимостей. Некоторые исправления также могут быть интегрированы в проекты функциональной и технической разработки или реализованы в других системах, имеющих сходство с целью тестов.
Тест на проникновение также позволяет изменить определенные практики, настроить новые процессы, позволяющие усилить безопасность и повысить уровень бдительности компании перед лицом рисков.