SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Тестирование на проникновение

Тестирование на проникновение
04.12.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

    

В одной из прошлых статей мы рассказывали про этичного хакера: чем он отличается от других и каким образом может защищать компании и данные их сотрудников, клиентов и партнёров. А сейчас рассмотрим такую часть его работы, которая называется «тестирование на проникновение», или «пентест» (от английского penetration test). Мы расскажем про основные этапы тестирования, а также опишем, кому и для каких задач может быть интересно проведение пентеста.

 

Тестирование на проникновение – процесс творческий, и проводиться оно может по-разному, но, как и другие процессы в ИБ, его можно разделить на основные этапы (например, согласно NIST):

 

1. Определение цели тестирования


Этап, на котором определяются приложения, сети, системы и другие тестируемые ресурсы. На этом этапе выделяются и описываются ограничения проекта и особые требования безопасности.

 

Фактически, этап определения целей – это подписание контракта на проектную работу между компанией и этичным хакером. Сравнить его можно с определением учебного плана в начале года (когда рассчитываются нагрузка на студентов, изучаемые в семестре предметы, планируется набор экзаменов и других тестов) или с составлением плана лечения с возможными ограничениями по бюджету или из-за аллергии на препараты.

 

2. Сбор информации


В этой фазе исследователи собирают информацию о целевой системе: происходит изучение сайта и общедоступной информации о компании и сотрудниках, поиск открытых сетевых портов, сбор информации о сетевой инфраструктуре, определение использованных технологий и т.д. Сбор информации бывает пассивный или активный, а в сети можно встретить и другие названия для второго этапа пентеста – реконнесанс или рекогносцировка.

 

При пассивном сборе данных этичный хакер не взаимодействует с целевой системой (из шага 1) напрямую, а просто мониторит сайты, домены, изучает публично доступную информацию (например, whois-запросы). Активный же способ исследования включает уже проведение сканирования портов (например, Nmap сканером, который используется и вне тестирования на проникновение для управления активами и инвентаризацией и с другими целями), исследование сети и связей объектов и даже методы социальной инженерии, когда исследователь коммуницирует с сотрудниками организации.

 

В контексте тестирования на проникновение реконнесанс помогает лучше понять целевую среду и определить возможные точки входа для дальнейших этапов тестирования. Сравнить этот этап можно с тем, как доктор планирует лечение пациента в самом начале: изучает доступную историю болезни по записям (пассивное исследование) или общается с пациентом и его близкими с заполнением анкет и расчётами (активное исследование).

 

3. Анализ уязвимостей


Для поиска уязвимостей в приложениях или технических устройствах может применяться как автоматический сканер (как и в процессе управления уязвимостями), так и ручной анализ исходного кода.

 

4. Эксплуатация уязвимостей


На данном этапе тестер (тестировщик, пентестер) пытается эксплуатировать найденные уязвимости, чтобы продемонстрировать, как злоумышленник может получить несанкционированный доступ.

Если сравнивать текущий этап с врачебной практикой, как мы делали выше, то на нем доктор попытался бы вызвать очередной приступ эпилепсии (или другие симптомы), чтобы убедиться самостоятельно и показать пациенту опасность неконтролируемой болезни.

 

5. Отчёт


По завершении тестирования составляется отчёт, который включает в себя обнаруженные уязвимости, рекомендации по их устранению и общую оценку безопасности системы. Такой отчёт будет не только актом о выполненных работах, но и инструкциями для заказчика о том, как улучшить безопасность внутри периметра. Дополнительно можно запланировать повторное тестирование, для постоянного циклического развития безопасности в компании.

 

Описывая этапы пентеста, мы приводили аналогии с медицинским осмотром, но на самом деле в жизни нас окружает много похожих процессов:

· Периодическая учебная пожарная тревога для отработки эвакуации, безопасности и слаженности в случае нештатной ситуации;

· Игра в шахматы или домино, когда противники тестируют различные тактики и ищут «бреши» в защите друг друга;

· Тестирование материала на прочность, когда образцы сжимают, скручивают, растягивают и повреждают разными способами для определения таких условий, где применение будет максимально эффективным;

· Краш-тесты автомобилей для прогнозирования рисков при реальных авариях в безопасных условиях, когда вместо человека в автомобиле находится специальный манекен.


В любом случае, тестирование на проникновение само по себе похоже на процесс взлома, кражи данных и повторяет его структуру. Основное отличие – цель проведения подобного тестирования не включает фактическую кражу данных и нанесение повреждений.

 

Сам процесс тестирования, несомненно, является творческим и может проходит в самых разных форматах, например:

· Физическое тестирование, когда тестер находится в периметре физически, может подбрасывать «заражённые» флешки или пытаться взломать Wi-Fi в офисе;

· Тестирование на основе игровой модели, когда команды атакующих и защитников (red/blue) соревнуются друг с другом в условиях, максимально приближенных к реальным, чтобы обнаружить уязвимости и разработать стратегии обороны. Подобные мероприятия привлекают и профессионалов, и студентов, участвующих для собственного развития, например, Standoff в рамках PHdays, брифинги Black Hat или Def Con.

· Применение машинного обучения для создания персонализированных и эффективных атак с использованием социальной инженерии или автоматизации тестирования.

 

Пентест обычно проводится в одном из режимов (или комбинации):

· Белый ящик (White-Box), когда специалист получает все необходимые конфигурации, имеет доступ к исходному коду, документации, архитектурным диаграммам и другим данным. В таком формате уязвимости могут быть выявлены более точно, но в самом процессе подразумевается сотрудничество между тестером и другими сотрудниками.

· Черный ящик (Black-Box), когда доступ предоставляется только к внешним интерфейсам (например, веб-приложению или сети), которые доступны потенциальным злоумышленникам изначально. Такой формат реалистично моделирует действия злоумышленника, но требует больше времени и навыков от тестера.

 

Разобравшись с основными этапами тестирования на проникновение, давайте поймём, кому будет интересно и полезно проводить такие работы:

· ИТ-компании и стартапы, занимающиеся разработкой программного обеспечения, веб-приложений и других технологий, проводят тестирование на проникновение для обеспечения безопасности своих продуктов и защиты клиентов.

· Банки, страховые компании и другие финансовые учреждения обрабатывают большое количество чувствительной информации. Тестирование на проникновение помогает защитить их системы от кибератак и утечек данных. Похожая ситуация и для организаций в системе здравоохранения (медицинская информация является чрезвычайно конфиденциальной, а её утечка может привести к тяжелейшим последствиям).

· Поставщики облачных услуг несут ответственность за безопасность хранимых в облаке данных, так что для них проведение пентеста имеет некое среднее значение между примерами, которые мы описали выше.

· Крупные компании с обширными сетевыми инфраструктурами и множеством ИТ-ресурсов, а также государственные организации проводят тестирование на проникновение, чтобы защитить критическую инфраструктуру и государственные секреты.

NIST Управление уязвимостями Практика ИБ Подкасты ИБ Пентесты

Рекомендуем

Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
SGRC по закону. Финансы
SGRC по закону. Финансы
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Использование MITRE ATT&CK в Threat Intelligence Platform
Использование MITRE ATT&CK в Threat Intelligence Platform

Рекомендуем

Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
SGRC по закону. Финансы
SGRC по закону. Финансы
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Использование MITRE ATT&CK в Threat Intelligence Platform
Использование MITRE ATT&CK в Threat Intelligence Platform

Похожие статьи

Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Практика ИБ. Политики аудита безопасности Windows
Практика ИБ. Политики аудита безопасности Windows
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций

Похожие статьи

Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Практика ИБ. Политики аудита безопасности Windows
Практика ИБ. Политики аудита безопасности Windows
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций