Хакерам не составляет труда проникнуть в сеть компании: брандмауэр, который давно не обновлялся, полон дыр, как швейцарский сыр. А благодаря инсайдерской информации, полученной от недавно уволенного сотрудника, бухгалтерская программа быстро взламывается. С недоверчивым изумлением руководство вынуждено наблюдать, как миллионы за считанные секунды переводятся со счета компании за границу.
Им повезло: кража на миллион была всего лишь упражнением, а атака была делом рук опытных специалистов по безопасности. Ни один рубль не оказался на иностранных счетах — хотя сделать это было бы легко.
Поскольку опасность хакерских атак растет во всем мире, все больше компаний и организаций не полагаются только на стандартные программы тестирования или зеленый свет в окне брандмауэра.
Многие компании сегодня регулярно подвергают свои системы стресс-тестам, в ходе которых эксперты по безопасности атакуют аппаратное и программное обеспечение, используя все имеющиеся в их распоряжении хакерские инструменты. Как это делают настоящие киберпреступники.
Особенность в том, что эксперты проверяют компании в целом. Например, пентесты выявляют слабые места в обучении сотрудников безопасности. В конце составляется отчет: где существует острая необходимость в улучшении? Где завтра настоящие хакеры могут разграбить счета компании? И какие средства и процессы можно использовать для устранения проблем безопасности в будущем, еще до того, как они поставят под угрозу систему?
Что такое тест на проникновение?
Тестирование на проникновение — это попытка взлома защищенных ИТ-систем с целью обнаружения слабых мест в этих структурах и их архитектуре безопасности. Сокращенная форма pentest часто используется вместо терминов penetration testing и penetration test. Также часто используется термин «белые хакеры».
Компания обычно заказывает пентест для своих ИТ-систем. Затем эксперты по безопасности, прошедшие специальную подготовку, проводят пентест. Тест на проникновение состоит из целого комплекса попыток проникновения в ИТ-архитектуру. Каждая отдельная попытка основывается на различных предпосылках и знаниях о существующем оборудовании и программном обеспечении.
В отличие от простого автоматического сканирования уязвимостей, пентест не всегда следует одному и тому же алгоритму. Во время тестирования эксперты по безопасности собирают все доступные данные о системе, которая будет атакована. Для каждого отдельного этапа тестирования они используют знания, полученные на предыдущих этапах тестирования, для конкретного поиска пробелов в архитектуре безопасности. Это делает пентест гораздо более похожим на типичную хакерскую атаку, проводимую вручную, чем простое сканирование уязвимостей. И все же сканирование уязвимостей может быть частью пентеста.
Каждый пентест также является целостным. Она рассматривает не только доступ в Интернет, компьютеры рабочих станций, системы хранения данных и серверы в отдельности, но и всю сеть компании и ее пользователей. Сюда также входят сотрудники и их работа с паролями, а также интерфейсы с деловыми партнерами и клиентами и вся технология компании, поскольку она может быть использована для кибератак в любой форме. Пентестеры находят уязвимости безопасности, которые сами по себе безвредны, но в сочетании с другими уязвимостями делают возможным проникновение в систему. Это связано с тем, что подавляющее большинство атак становится возможным из-за небрежности или незамеченных уязвимостей.
Пентест — это всегда комбинация множества различных методов. Он включает в себя атаки извне через Интернет, а также попытки проникновения изнутри, например, с помощью социальной инженерии.
При социальной инженерии к сотрудникам, деловым партнерам или клиентам соответствующей компании разрабатывается особый подход. Цель состоит в том, чтобы заставить их невольно поддержать попытку вторжения. Поскольку это работает пугающе хорошо, хакеры все чаще используют социальную инженерию.
Черный ящик, белый ящик и серый ящик
Систематические тесты делятся на тесты «черного ящика», «белого ящика» и «серого ящика». Это означает, что некоторые тесты проводятся без знания злоумышленниками внутреннего устройства ИТ-структуры. Такое сочетание «пен-теста черного ящика», «пен-теста белого ящика» и «пен-теста серого ящика» имитирует максимально широкий спектр различных стратегий взлома.
Тест на проникновение с «черным ящиком» соответствует атакам хакеров, которые совершенно не знают атакуемую систему и даже могут не знать, какую организацию они атакуют. Поэтому даже пентестеры знают только IP-адрес веб-сайта компании, когда такие атаки осуществляются по сети.
Тест на проникновение с «белым ящиком» воспроизводит атаки злоумышленников, которые уже обладают обширными внутренними знаниями. Это могут быть конкуренты или иностранная спецслужба, которая тщательно выбрала цель и долгое время изучала ее заранее. Атаки бывших сотрудников компании, которые знают внутренние уязвимости, тоже относятся к этой категории и имитируются такими пентестами.
Тест с «серым ящиком» имитирует хакеров, которые смогли получить лишь частичную или устаревшую информацию с помощью социальной инженерии, сниффинга или других средств и все же предприняли попытку атаки.
Социальная инженерия как инструмент пентеста
Тесты включают широкий спектр прямых и косвенных подходов к проникновению в корпоративные сети с помощью социальной инженерии. При прямых атаках специалисты по безопасности пытаются самостоятельно получить пароли или свободный доступ к сети.
Для этого они маскируются, например, под сотрудников компании. Они проникают в недостаточно защищенные серверные комнаты, ищут пароли и данные доступа в мусорных баках («dumpster diving») или перехватывают курьерские посылки, которые могут содержать карты доступа или данные.
При косвенных атаках сотрудники сами невольно становятся орудием. В телефонном разговоре тестеры выдают себя за сотрудников IT-отдела компании и просят абонентов установить якобы имеющееся программное обеспечение безопасности. Или же тестеры перестраивают реальные веб-сайты, чтобы перехватить ввод пароля. Фишинговые электронные письма также являются непрямыми атаками. При открытии вложенный файл устанавливает шпионское ПО на компьютер жертвы.
С увеличением размера компании эксперты по безопасности отмечают непропорционально растущий риск хакерских атак изнутри. Возможными преступниками могут быть нынешние или бывшие сотрудники, а также клиенты и поставщики услуг, которые имеют или имели доступ к оборудованию компании на ее территории. Такие организации, как больницы, государственные органы, учебные заведения и другие учреждения с большим количеством посетителей или часто меняющимся персоналом, особенно подвержены риску.
Пентест проверяет и то, насколько сеть устойчива к типичным ошибкам пользователей и связанными с ними рискам безопасности. К ним относятся, например, слабые пароли и незащищенные соединения или потеря офисных ключей, карт доступа и донглов устройств. Неосознанная загрузка сотрудниками вредоносных программ, таких как ransomware, является одной из самых больших угроз для сетей. Если компания заражена, единственным выходом зачастую является уплата выкупа.