Пентест (Pentest): тестирование на проникновение

Для чего нужен пентест?

По результатам пентеста составляется отчет с перечислением выявленных уязвимостей и рекомендаций по устранению брешей в ИТ-инфраструктуре. Тестирование на проникновение определяет текущую защищенность данных, надежность уровня защиты и способность выдерживать вторжение злоумышленников. К последствиям несанкционированного доступа относятся дополнительные финансовые потери и серьезные экономические риски, что приводит к утрате доверия клиентов, снижению деловой репутации или бизнес-рейтинга.

Пентест помогает в режиме реального времени:

• проверить вероятность получения рядовыми сотрудниками доступа к корпоративным сведениям;
• выявить и смоделировать возможные варианты использования информационных уязвимостей;
• определить способы хакерского взлома локальной компьютерной сети киберпреступниками;
• рассчитать безопасность повышения привилегий определенным категориям работников;
• отследить внешний сетевой периметр, беспроводные коммуникации инфраструктуры.

Обзор мероприятий по пентесту ИТ-инфраструктуры

На этапе независимых исследований подготавливается информация о результате успешных, а также безуспешных попыток хакерских атак. После выявления слабых мест специалист-пентестер предлагает меры по повышению уровня защиты. Экспериментальные попытки взлома предоставляют заказчикам общее представление о состоянии ИБ, чтобы определить последующую стратегию внедрения защитных механизмов.

Этапы и способы проведения независимого пентестинга

При подготовке к проведению теста на проникновение определяются объемы, сроки и содержание поэтапных pentest-мероприятий, исходя из количества тестируемых ИС. Также собираются данные о целевой инфраструктуре из новостных сайтов, пользовательских БД, интернет-рассылок, соцсетей, коммерческих онлайн-сервисов и корпоративных DNS-серверов. Сканируются сети на предмет определения портов, IP-адресов, названий и версий установленных операционных систем. Критические проблемы выявляются уже на начальной стадии тестирования. Бесхозные или неиспользуемые сервисы, на которых не требуется авторизация, оставляют уязвимости в системе безопасности, предоставляют несанкционированный доступ к персональным или конфиденциальным сведениям, а также паролям.

Наши эксперты применяют следующие виды тестирования:

• WhiteBox – эксперт получает максимальный доступ администратора к тестируемым IT-ресурсам;
• BlackBox – в распоряжение предоставляется общедоступная информация, а сведения об IP-адресах, точках выхода в Интернет и других онлайн-ресурсах специалистам придется выяснить самостоятельно;
• GrayBox – комбинирование предыдущих двух вариантов, направленное на то, чтобы сократить время анализа, уделить внимание поиску опасных уязвимостей.

Программное обеспечение для проведения пентестов

Программы-сканеры сканируют отдельные программы и веб-сервисы, IP-телефонию, VPN-устройства. Анализируются маршруты сетевого трафика, извлекается метаинформация в опубликованных онлайн-документах.

Специалисты нашей компании применяют специализированное ПО для поиска системных уязвимостей:

• фреймворк Metasploit – содержит крупнейшие базы данных об уязвимостях тестируемых систем, помогает создавать приложения, которые моделируют вирусные атаки для выявления уязвимостей;
• утилита Nmap – настраивает сканирование расширенного количества проверяемых IP-объектов, определяет состояние подсетей сканируемой области, включая порты и другие сервисы, поддерживает различные операционные системы, независимо от версии;
• инструмент Nessus – для автоматического обнаружения системных уязвимостей, у этого приложения открытый исходный код по принципу General Public License;
• дистрибутив KaliLinux – специализированные настройки, набор инструментов, а также системных приложений для тестирования на проникновение.

Перед специалистами, которые проводят pentest в России, стоят задачи по обнаружению программных дыр и устранению уязвимостей. Дистанционное тестирование выявляет типы используемого оборудования с помощью следующих программ: Router Scan, ZMap, NMap. Ошибки и сбои в работе веб-серверов могут возникать из-за несвоевременного обновления операционных систем, недостаточной антивирусной защиты ПО. Если провайдер предоставляет резервные IP-адреса по стандарту ADSL, то это несет потенциальную угрозу ИБ, но не относится к критическим недостаткам. Статусы протоколов open/filtered, filtered и closed свидетельствуют о нецелесообразности удаленного тестирования закрытой системы. Для полноты мероприятий при пентесте используются специальные средства Metasploit и Armitage, которые также выявляют уязвимости.

Результаты пентеста и тестирования на проникновение

Необходимость письменного отчета экспертов предусмотрена действующим законодательством. Содержание экспертных выводов зависит от разновидности pentest мероприятий и формата тестирования.

Стандартный отчет содержит такие сведения:

• реквизиты эксперта, который составил документ;
• продолжительность, включая дату начала и окончания;
• формальные основания для выполнения тестирования на проникновение;
• перечень ресурсов, предоставленных заказчиком;
• список использованных при анализе справочников, материалов;
• задействованные аппаратные или программные приложения;
• исходные обстоятельства при проведении пентеста;
• последовательность процедур;
• результаты обнаружения критических уязвимостей;
• рекомендации специалистов по устранению брешей;
• сопроводительный пакет документов с расшифровками кодов ошибок и ссылками.

Виды пентеста

Существует множество видов пентеста, каждый из которых нацелен на проверку безопасности конкретной системы или приложения. Ниже перечислены некоторые из них:

• Внешний тест на проникновение (External Penetration Testing): тестирование безопасности границы сети и точек доступа извне.
• Внутренний тест на проникновение (Internal Penetration Testing): проверка безопасности внутренних сетей, устройств и приложений.
• Тест на проникновение веб-приложений (Web Application Penetration Testing): проверка безопасности веб-приложений на наличие уязвимостей.
• Тест на проникновение мобильных приложений (Mobile Application Penetration Testing): проверка безопасности мобильных приложений на наличие уязвимостей.
• Физический тест на проникновение (Physical Penetration Testing): физический доступ к системам и устройствам для проверки безопасности.
• Тест на проникновение в беспроводные сети (Wireless Penetration Testing): проверка безопасности беспроводных сетей и точек доступа.
• Социальная инженерия (Social Engineering): проверка на то, насколько легко обмануть пользователей, чтобы получить доступ к системе.
• Тест на проникновение в базы данных (Database Penetration Testing): проверка безопасности баз данных и связанных с ними приложений.
• Оценка безопасности на предприятии (Enterprise Security Assessment): оценка всей системы безопасности на предприятии.
• Анализ уязвимостей (Vulnerability Assessment): сканирование системы на наличие уязвимостей и других слабых мест.
• Редтиминг (Red team) — команда профессионалов, которая имитирует действия злоумышленников для проверки эффективности мер безопасности предприятия.

Заказать пентест можно онлайн на нашем сайте или по телефону. Сотрудники компании проинформируют о сроках и стоимости услуг, расскажут о последовательности работ по оценке рисков при тестировании на несанкционированное проникновение.