SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Тестирование на проникновение

Тестирование на проникновение
04.12.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

    

В одной из прошлых статей мы рассказывали про этичного хакера: чем он отличается от других и каким образом может защищать компании и данные их сотрудников, клиентов и партнёров. А сейчас рассмотрим такую часть его работы, которая называется «тестирование на проникновение», или «пентест» (от английского penetration test). Мы расскажем про основные этапы тестирования, а также опишем, кому и для каких задач может быть интересно проведение пентеста.

 

Тестирование на проникновение – процесс творческий, и проводиться оно может по-разному, но, как и другие процессы в ИБ, его можно разделить на основные этапы (например, согласно NIST):

 

1. Определение цели тестирования


Этап, на котором определяются приложения, сети, системы и другие тестируемые ресурсы. На этом этапе выделяются и описываются ограничения проекта и особые требования безопасности.

 

Фактически, этап определения целей – это подписание контракта на проектную работу между компанией и этичным хакером. Сравнить его можно с определением учебного плана в начале года (когда рассчитываются нагрузка на студентов, изучаемые в семестре предметы, планируется набор экзаменов и других тестов) или с составлением плана лечения с возможными ограничениями по бюджету или из-за аллергии на препараты.

 

2. Сбор информации


В этой фазе исследователи собирают информацию о целевой системе: происходит изучение сайта и общедоступной информации о компании и сотрудниках, поиск открытых сетевых портов, сбор информации о сетевой инфраструктуре, определение использованных технологий и т.д. Сбор информации бывает пассивный или активный, а в сети можно встретить и другие названия для второго этапа пентеста – реконнесанс или рекогносцировка.

 

При пассивном сборе данных этичный хакер не взаимодействует с целевой системой (из шага 1) напрямую, а просто мониторит сайты, домены, изучает публично доступную информацию (например, whois-запросы). Активный же способ исследования включает уже проведение сканирования портов (например, Nmap сканером, который используется и вне тестирования на проникновение для управления активами и инвентаризацией и с другими целями), исследование сети и связей объектов и даже методы социальной инженерии, когда исследователь коммуницирует с сотрудниками организации.

 

В контексте тестирования на проникновение реконнесанс помогает лучше понять целевую среду и определить возможные точки входа для дальнейших этапов тестирования. Сравнить этот этап можно с тем, как доктор планирует лечение пациента в самом начале: изучает доступную историю болезни по записям (пассивное исследование) или общается с пациентом и его близкими с заполнением анкет и расчётами (активное исследование).

 

3. Анализ уязвимостей


Для поиска уязвимостей в приложениях или технических устройствах может применяться как автоматический сканер (как и в процессе управления уязвимостями), так и ручной анализ исходного кода.

 

4. Эксплуатация уязвимостей


На данном этапе тестер (тестировщик, пентестер) пытается эксплуатировать найденные уязвимости, чтобы продемонстрировать, как злоумышленник может получить несанкционированный доступ.

Если сравнивать текущий этап с врачебной практикой, как мы делали выше, то на нем доктор попытался бы вызвать очередной приступ эпилепсии (или другие симптомы), чтобы убедиться самостоятельно и показать пациенту опасность неконтролируемой болезни.

 

5. Отчёт


По завершении тестирования составляется отчёт, который включает в себя обнаруженные уязвимости, рекомендации по их устранению и общую оценку безопасности системы. Такой отчёт будет не только актом о выполненных работах, но и инструкциями для заказчика о том, как улучшить безопасность внутри периметра. Дополнительно можно запланировать повторное тестирование, для постоянного циклического развития безопасности в компании.

 

Описывая этапы пентеста, мы приводили аналогии с медицинским осмотром, но на самом деле в жизни нас окружает много похожих процессов:

· Периодическая учебная пожарная тревога для отработки эвакуации, безопасности и слаженности в случае нештатной ситуации;

· Игра в шахматы или домино, когда противники тестируют различные тактики и ищут «бреши» в защите друг друга;

· Тестирование материала на прочность, когда образцы сжимают, скручивают, растягивают и повреждают разными способами для определения таких условий, где применение будет максимально эффективным;

· Краш-тесты автомобилей для прогнозирования рисков при реальных авариях в безопасных условиях, когда вместо человека в автомобиле находится специальный манекен.


В любом случае, тестирование на проникновение само по себе похоже на процесс взлома, кражи данных и повторяет его структуру. Основное отличие – цель проведения подобного тестирования не включает фактическую кражу данных и нанесение повреждений.

 

Сам процесс тестирования, несомненно, является творческим и может проходит в самых разных форматах, например:

· Физическое тестирование, когда тестер находится в периметре физически, может подбрасывать «заражённые» флешки или пытаться взломать Wi-Fi в офисе;

· Тестирование на основе игровой модели, когда команды атакующих и защитников (red/blue) соревнуются друг с другом в условиях, максимально приближенных к реальным, чтобы обнаружить уязвимости и разработать стратегии обороны. Подобные мероприятия привлекают и профессионалов, и студентов, участвующих для собственного развития, например, Standoff в рамках PHdays, брифинги Black Hat или Def Con.

· Применение машинного обучения для создания персонализированных и эффективных атак с использованием социальной инженерии или автоматизации тестирования.

 

Пентест обычно проводится в одном из режимов (или комбинации):

· Белый ящик (White-Box), когда специалист получает все необходимые конфигурации, имеет доступ к исходному коду, документации, архитектурным диаграммам и другим данным. В таком формате уязвимости могут быть выявлены более точно, но в самом процессе подразумевается сотрудничество между тестером и другими сотрудниками.

· Черный ящик (Black-Box), когда доступ предоставляется только к внешним интерфейсам (например, веб-приложению или сети), которые доступны потенциальным злоумышленникам изначально. Такой формат реалистично моделирует действия злоумышленника, но требует больше времени и навыков от тестера.

 

Разобравшись с основными этапами тестирования на проникновение, давайте поймём, кому будет интересно и полезно проводить такие работы:

· ИТ-компании и стартапы, занимающиеся разработкой программного обеспечения, веб-приложений и других технологий, проводят тестирование на проникновение для обеспечения безопасности своих продуктов и защиты клиентов.

· Банки, страховые компании и другие финансовые учреждения обрабатывают большое количество чувствительной информации. Тестирование на проникновение помогает защитить их системы от кибератак и утечек данных. Похожая ситуация и для организаций в системе здравоохранения (медицинская информация является чрезвычайно конфиденциальной, а её утечка может привести к тяжелейшим последствиям).

· Поставщики облачных услуг несут ответственность за безопасность хранимых в облаке данных, так что для них проведение пентеста имеет некое среднее значение между примерами, которые мы описали выше.

· Крупные компании с обширными сетевыми инфраструктурами и множеством ИТ-ресурсов, а также государственные организации проводят тестирование на проникновение, чтобы защитить критическую инфраструктуру и государственные секреты.

NIST Управление уязвимостями Практика ИБ Подкасты ИБ Пентесты

Рекомендуем

Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Интернет вещей и безопасность
Интернет вещей и безопасность
Интернет вещей и его применение
Интернет вещей и его применение
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Конфиденциальная информация
Конфиденциальная информация
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
False или не false?
False или не false?

Рекомендуем

Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Интернет вещей и безопасность
Интернет вещей и безопасность
Интернет вещей и его применение
Интернет вещей и его применение
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Конфиденциальная информация
Конфиденциальная информация
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
False или не false?
False или не false?

Похожие статьи

Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Управление ИТ-активами
Управление ИТ-активами
Интернет вещей и безопасность
Интернет вещей и безопасность
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Принципы информационной безопасности
Принципы информационной безопасности
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба

Похожие статьи

Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Управление ИТ-активами
Управление ИТ-активами
Интернет вещей и безопасность
Интернет вещей и безопасность
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Принципы информационной безопасности
Принципы информационной безопасности
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба