img

О тестах на проникновение и используемых технологиях

О тестировании на проникновение (Penetration Testing)

Posted by admin on 23rd july 2015

Очень часто наши клиенты путают тестирование на проникновение (Penetration Testing) с оценкой уязвимости сети (Vulnerability assessments) Они очень часто квалифицируются как одно и то же, хотя это не правильно и мы попытаемся кратко объяснить различия и рассказать о методиках, используемых при проведении теста на проникновение.

Don’t assume a crack is too small to be noticed, or too small to be exploited. If you do a penetration test of your network and 97 things pass the test but three esoteric things fail, don’t think they don’t matter.

Не предполагайте, что трещина слишком мала, чтобы быть замеченной или слишком маленькая, чтобы быть использованной. Если Вы делаете тест на проникновение в вашу сеть и 97 позиций проходят тест, но три скрытых дают сбой, не думайте, что они не имеют значения.

img

 

    Оценка уязвимости процесс обнаружения потенциальных недостатков и уязвимостей в информационной системе. Есть много доступных инструментов, которые автоматизируют этот процесс таких, что даже неопытный специалист по безопасности или администратор могут эффективно определить состояние безопасности обслуживаемой сети. Иногда, в рамках проверки может потребоваться дополнительное ручное тестирование. Полная эксплуатация систем и служб, как правило, выходит за рамки обычной оценки уязвимости. Системы обычно перечисляются и оцениваются по характеру уязвимостей и тестирование может проходить с аутентификацией или без таковой. Большая часть административных и сканирующих решений создают автоматические отчеты по стратегии борьбы с уязвимостями: такими как применение недостающих патчей или исправление некорректной конфигурации системы.

Тестирование на возможность проникновения расширяет процесс оценки уязвимостей, добавляя к ним эксплуатацию системы в реальных условиях.

Риск случайного порождения отказа в обслуживании или другого сбоя в системе гораздо выше при проведении теста на проникновение, чем при проведении оценки уязвимости. До некоторой степени, этот риск может быть уменьшен надлежащим планированием и основательным пониманием технологий, используемых во время процесса тестирования. Таким образом, очень важно чтобы пен-тестер все время обновлял и совершенствовал все необходимые для этого навыки.

Тестирование на проникновение необходимо, чтобы показать истинные последствия нападения на Вашу информационную среду. Тестирование на проникновение – это имитация действий потенциального злоумышленника с целью оценки возможностей несанкционированного доступа к корпоративной информационной системе и демонстрации уязвимостей, существующих в системе информационной безопасности. Тестирование на проникновение позволяет выявить уязвимости и слабые места в информационной системе предприятия до того, как это сделает злоумышленник, оценить «практическую» защищенность от атак из «реального мира».

Тестирование на проникновение проводится со стороны внешнего и внутреннего периметров и предполагает использование различных методов:

img

 

    Метод «черного ящика» – имитация нарушителя, не имеющего никаких сведений об организации и доступа к ее корпоративной сети.

    Метод «серого ящика» – имитация нарушителя, обладающего ограниченными сведениями об организации, ее корпоративной сети и системе защиты. Нарушитель может обладать действительной учётной записью пользователя с ограниченным привилегиями в отдельных информационных системах (например, рядовой работник, клиент, имеющий удаленный доступ к системе).

    Метод «белого ящика» – имитация нарушителя, который является администратором, либо иным пользователем, хорошо осведомленным о корпоративной сети и системе защиты. Нарушитель обладает действующей пользовательской учётной записью, вплоть до административной.

 

Тест на проникновение (Pentest) включает в себя следующие фазы:

СБОР ИНФОРМАЦИИ

АКБ собирает данные о вашей компании и ее сотрудниках, для идентификации потенциальных векторов атак. Наш обширный анализ включает: исследование общедоступных веб-сайтов, средств социального общения, доменных реестров и метаданных.

МОДЕЛИРОВАНИЕ ТЕСТОВЫХ УГРОЗ

Моделирование угроз для внутренних активов (конфиденциальная информация, коммерческая тайна и т.п.) и внешних потерь (репутация, рейтинг и пр.) – определение целей атакующих. Это фаза - всесторонней технической оценка степени риска для приложений, позволяет вашей компании определить потенциальные угрозы безопасности и разработать стратегию устранения уязвимостей.

ИСПОЛНЕНИЕ АТАКИ

Мы пытаемся получить доступ к вашей компании, используя методы реальных взломщиков сетей. Нападение ведется на вашу инфраструктуру ИТ, веб-сайты, программы и персонал, чтобы определить потенциально слабые места, которые помогут злоумышленнику получить доступ к вашей внутренней системе.

ОТЧЕТ И РЕКОМЕНДАЦИИ

Фаза отчета и консультаций суммирует наши действия и описывает выявленные уязвимости, отмечает сильные стороны существующей системы безопасности. Мы даем анализ-заключение для понимания вами предполагаемых векторов атак и методов, используемых хакерами, а так же даем рекомендации по подготовке к отражению таких атак.

 

Компании со всего мира, доверяют АКБ проведение тестирования на проникновение, которое обеспечивает комплексное понимание состояния их кибер-обороноспособности, а также применение практических, разумных решений для укрепления информационной безопасности. Используя наш огромный опыт, исследующий несметное число типов и размеров утечек данных, мы в состоянии моделировать реальные методы, используемые злоумышленниками. Наш планомерный подход проверяет риск для активов и репутации Вашей организации. В конечном счете наша цель состоит в том, чтобы определить и расположить по приоритетам риски Вашей организации и сотрудничать для построения управляемого плана по укреплению Вашей информационной безопасности.

 

img

 

Тестирование на базе методов социотехнической инженерии (Social Engineering)

Применение методов социальной инженерии подразумевает использование «человеческого фактора». Осуществляются санкционированные попытки получения несанкционированного доступа к корпоративной сети и защищаемым активам тестируемой организации. Методы, как правило, направлены на пользователей конечных систем и позволяют определить реакцию персонала в различных штатных и нештатных ситуациях, уровень осведомленности и знаний персонала о требованиях безопасности.

Согласно классификации ISSAF, социальная инженерия может быть представлена следующими видами атак (Open Information Systems Security Group, 2006):

Заплечный сёрфинг (Shoulder surfing)

Наблюдение за авторизованным пользователем, находясь на доступном расстоянии, во время доступа к системе и получению его или ее учетных данных.

Физический доступ к рабочим станциям (Physical access to workstations:)

Предоставление физического доступа к системе дает пен-тестерам возможность установить вредоносный код, включая возможность доступа к системе через заднюю дверь (backdoor access)

Маскировка под пользователя (Masquerading as a user):

Контакт со справочной службой, симулируя авторизованного пользователя для запроса информации доступа или повышения полномочий

Маскировка под контролирующий орган: Masquerading as a monitoring staff

Запрашивать доступ к системе, симулируя аудитора или персонала службы безопасности

Ныряние в мусорные баки Dumpster diving:

Поиск выброшенных компьютерных распечаток, либо других носителей информации, которые содержат конфиденциальную либо секретную информацию

Поиск чуствительной информация: Handling (finding) sensitive information:

Нахождение оставленных без присмотра рабочих документов, лежащих на столах или на информационных досках

Хранение пароля: Password storage:

Поиск записанных паролей на рабочем месте, особенно возле компьютера

Обратная социальная инженерия: Reverse social engineering:

Отправка пользователям электронных писем с доверенных адресов с контактами «службы поддержки», создание неполадок на компьютерах и ожидание звонков/писем для исправления проблем, в процессе которых можно получить необходимые данные

Дополнительные методы социальной инженерии, не обсуждаемые в ISSAF

Дорожное яблоко (Baiting)

Данная атака ведется с использованием переносных носителей информации, соблазняя жертву на установку вредоносного программного обеспечения. Например, оставленные диск CD-ROM или флешка в общественном месте. Атака на живца рассчитана на естественное человеческое любопытство, когда найдено что-то неизвестное и заманчивое. Лучший вариант развития событий для атакующего, использующего данный метод, когда сотрудник целевой компании сохранит “бесхозный” носитель и использует его в корпоративной системе (на рабочем компьютере сотрудника). Внешние носители, используемые при такой атаке часто, содержат вредоносное программное обеспечение, особенно распространено использование Троянских коней (Trojan horses), которые создают черный ход на компьютере жертвы. Троянский конь соединяется с системой атакующего, обеспечивая удаленный доступ в корпоративную сеть. После этого, атакующий может продолжить использование системы и сетевых серверов.

Фишинг (Phishing)

Фишинг одна из самых распространенных форм атаки часто связанная с поддельными электронными письмами, которые склоняют пользователя к соединению с незаконным сайтом. Эти поддельные сайты часто подражают банковской Веб-страница, интернет-аукциону, сайту социальной сети или онлайновому почтовому ящику. Поддельный сайт будет выглядеть идентичным сайту, которому он подражает в надежде, что жертва будет полагать, что сайт законен и введет конфиденциальную информацию, такую как номер счета, имя пользователя при входе в систему и пароль.

Претекстинг (Pretexting)

Моделирование определенного сценария, предполагающего вход в доверие к пользователю (за счет предварительного сбора данных об организации и отдельных работниках и их зонах ответственности), с целью побудить пользователя выполнить определенное действие. Например, звонки пользователям под видом потенциально доверенных для них лиц (внешних или внутренних) с целью получения конфиденциальной информации. Часто используется против корпораций, которые хранят данные клиентов, такие как банки, компании по выпуску кредитных карт, энергосбытовых и транспортных компаний.

Атака на беспроводные сети (wireless attack)

Если у корпорации есть беспроводная сеть для своих сотрудников, проникновение в сеть даст пен-тестеру доступ к дополнительным системам и сетевым устройствам. Несмотря на постоянные предупреждения о риске подключения беспроводного доступа (WiFi) к корпоративным сетям, использование WiFi намного дешевле, чем покупка и установка проводного сетевого оборудования. Беспроводная сеть является недорогой альтернативой проводным сетям, но отсутствие надлежащих мер безопасности может быть дорогостоящим для компании. Если злоумышленник сможет получить доступ к «защищенной» сети, обязательно произойдет взлом системы или потеря данных. С точки зрения профессионалов в области проникновения, беспроводные сети являются основными целями атаки, поскольку они часто менее защищены, чем проводные сети. Даже если компания защищает точки доступа (WAP) (например, размещенная их за брандмауэрами (Firewalls) и используют системы обнаружения вторжений (intrusion detection systems IDS) между точкой доступа и внутренними системами), к сожалению известно много случаев, когда сотрудники устанавливают несанкционированные точки доступа к сети, обходя все старания инженеров сетевой безопасности, направленные на защиту корпоративных активов.

По завершению испытания на проникновение, инженер будет иметь представление о сильных и слабых сторонах безопасности целевой системы или сети. Практическая часть теста на проникновение завершается работой над окончательным отчетом. Важно помнить, что конечная цель теста на проникновение заключается не во взломе системы или сети, а в информировании клиентов о том, какие уязвимости существуют в их системе.

Tag : беспроводные сети,Дорожное яблоко,Обратная социальная инженерия, Метод «белого ящика», Метод «черного ящика», Фишинг, Заплечный сёрфинг