В наше время информация является особенно ценным ресурсом. Она может оказаться решающей для конкурентной борьбы или эффективной работы организации.
Если мы присваиваем определенную ценность данному ресурсу, какую ценность будет иметь система, обрабатывающая этот ресурс? Как мы можем оценить актуальность и критичность этой системы? Почему организации оценивают стоимость информационных систем?
Информационная система ценна лишь настолько, насколько ценен обрабатываемый ею критический ресурс. Это, в свою очередь, дает организации возможность ранжировать системы в соответствии с ценностью, которую они для нее представляют.
«Каждая система надежна лишь настолько, насколько надежно ее самое слабое звено» — это тривиальное утверждение, с которым может согласиться большинство людей, даже не обладающих глубокими знаниями в области информационной безопасности. Именно из этого подхода вытекает необходимость циклической проверки, то есть оценка того, насколько слабым (или сильным) является это самое слабое звено. Приемлемы ли для организации риски, возникающие в связи с ним, или его необходимо усилить или заменить? Этот тип проверки очень часто осуществляется путем проведения тестов на проникновение.
Что такое тест на проникновение?
Тест на проникновение — это контролируемая попытка взломать защиту данной ИТ-системы. Такое тестирование часто называют пентестом, пентест ищет и проверяет, где находится самое слабое звено (в пределах обозначенного диапазона) и какова его защищенность.
Примечание: группа тестирования не может начать тестирование системы, пока не получит письменное разрешение от владельца этой системы с указанием цели, объема и других условий. Любая проверка, проводимая без согласия владельца, является незаконной.
Типы тестов на проникновение
- Тест «белого ящика». При этом типе тестирования команда тестировщиков обычно обладает полным знанием тестируемой системы, т.е. имеет представление о документации, архитектуре и часто об исходном коде. Кроме того, в распоряжении команды имеются зарегистрированные учетные записи с различными привилегиями;
- Тестирование методом «серого ящика». Это тест, при котором группа тестирования имеет частичные знания о тестируемой системе. Например, команда имеет доступ к документации по системе и зарегистрированные учетные записи в системе;
- Тест «черного ящика». При этом типе тестирования команда тестировщиков не имеет никаких знаний о тестируемой системе, кроме общедоступной.
Наиболее точным является тест типа «белый ящик», в то время как «черный ящик» — это тип теста, который лучше всего имитирует действия хакера.
Этапы тестирования на проникновение
Первая фаза — разведка, то есть сбор большого количества информации о цели.Задача состоит в том, чтобы увеличить вероятность найти информацию, которая существенно облегчит выбор метода атаки.
Также важно знать, что злхакеры выбирают тот метод, который позволит им быстрее всего достичь своей цели наиболее простым для них способом. Поэтому может возникнуть ситуация, когда злоумышленник откажется от атаки на систему из-за того, что уровень сложности проведения атаки оказался для него невыгодным. Чем больше ценной информации собирает злоумышленник, тем больше его решимость и шансы на успешную атаку. В подавляющем большинстве хакерских атак фаза разведки составляет около 80% всей атаки.
В качестве аналогии можно вспомнить грабителя, получающего информацию о доме, который он считает своей целью. На этом этапе он проверяет, например, как расположены окна, где находятся двери, окружен ли дом забором, есть ли в непосредственной близости от дома соседи, каков потенциальный путь побега.
Вторая фаза — сканирование. На этом этапе взломщик, которого мы приводим как аналогию, пытается определить технические характеристики различных элементов дома. При этом он определяет, какие защитные механизмы присутствуют в окнах, дверях и других местах, которые являются потенциальными отправными точками для атаки. Он оценивает, легко ли перепрыгнуть забор вокруг дома, представляет ли собака, находящаяся в саду, угрозу для его жизни или здоровья.
Следующий этап — эксплуатация, т.е. попытка получить несанкционированный доступ к системе. Эта фаза происходит после того, как атакующий выбрал звено для атаки
Зачем проводится тест на проникновение?
Цель теста на проникновение — исследовать уровень безопасности системы или ее части, осведомленность сотрудников организации, эффективность защиты системы.
И цель, и объем должны быть согласованы еще до начала тестирования с лицом, принимающим решения в организации, для которой будет проводиться такое тестирование. Это гарантирует то, что системы, не входящие в сферу тестирования, останутся нетронутыми, а команда тестирования сосредоточится на системах, имеющих ключевое значение для безопасности организации.
Важно помнить, что проведение теста на проникновение, даже самого лучшего и с привлечением высококлассных экспертов, не гарантирует выявления всех существующих уязвимостей в системе безопасности.
Что дает поиск уязвимостей?
Представьте, что вы живете в доме с большим количеством ценностей и планируете отправиться с семьей в длительный отпуск. Любой здравомыслящий человек сначала проверит, заперты ли двери на все замки, опустил ли он взломостойкие жалюзи и не забыл ли он включить сигнализацию. Но что произойдет, если по дороге между домом и, скажем, аэропортом мы вспомним, что забыли запереть гараж? Этот вопрос, кажущийся забавным, отражает суть оценки риска.
Если сосредоточиться на проблеме незапертого гаража, то главный вопрос будет таким: что нужно потенциальному преступнику, чтобы проникнуть в наш гараж? Ответ на него заключается в определении вероятности того, что это произойдет. Следующий шаг — определить, храним ли мы в гараже ценные вещи и сможет ли грабитель проникнуть из гаража в другие помещения нашего дома, где мы храним ценности.
После анализа описанной выше ситуации принимается решение путем выбора одного из двух вариантов:
1) мы возвращаемся домой, чтобы закрыть дверь гаража, и тем самым рискуем опоздать на самолет;
2) мы принимаем риск и не возвращаемся домой.
Именно с такой дилеммой сталкивается каждый раз владелец системы, когда проходит тест на проникновение.
Заключение
В наш век цифровизации все большего числа различных сфер жизни мы неизбежно подвергаемся атакам киберпреступников, и эта тенденция будет не только сохраняться, но и усиливаться. Мы сами должны уметь оказывать эффективное сопротивление. Повышение осведомленности об угрозах — это основа безопасности нашего имиджа, наших денег и данных. Даже самая лучшая технология не обеспечит стопроцентной безопасности, поскольку эффективность может зависеть от человека, который ее использует. Тем не менее, безопасная технология является необходимым условием. Просто помните, что это все еще недостаточное условие для того, чтобы система имела адекватный уровень безопасности. Сегодня тестирование на проникновение — это не только проверка уязвимостей, оценка рисков, но и информирование разработчиков и администраторов об угрозах, с которыми столкнется система при развертывании в производственной среде.