Загальне

Тестування на проникнення

ResilientX

Тестування на проникнення — це методична імітована кібератака на інформаційні системи організації, що проводиться за згодою об’єкта тестування. Мета — оцінити безпеку ІТ-інфраструктур шляхом виявлення способів обійти засоби захисту.

Тестування на проникнення розробляється так, щоб бути методичним і відповідати узгодженим правилам проведення тестування. Саме це відрізняє етичний, авторизований пентест від зловмисних і незаконних спроб злому.

Кваліфіковані фахівці з кібербезпеки, яких називають етичними хакерами, проводять тестування на проникнення за допомогою інструментів і методів, що імітують поведінку реальних зловмисників. Проте, замість того щоб завдавати шкоди, етичні хакери працюють над підвищенням безпеки.

Тестування на проникнення передбачає залучення фахівців з кібербезпеки для імітації реальних атак на мережі, застосунки, пристрої та працівників організації. Експлуатуючи вразливості, пентестери допомагають виявити слабкі місця в безпеці раніше, ніж ними скористаються справжні кіберзлочинці та хакери. Після цього організації можуть усунути проблеми, щоб посилити свій кіберзахист.

Оскільки кіберзагрози стають дедалі частішими, складнішими та витратнішими, тестування на проникнення забезпечує важливий рівень проактивної безпеки. Читайте далі, щоб дізнатися більше про те, що передбачає пентест, які його переваги та як впровадити ефективну програму тестування на проникнення

Тестування на проникнення охоплює широкий спектр ІТ-активів, зокрема:

  • Мережі: тестування мережевих периметрів, з’єднань, брандмауерів та інших засобів захисту. Оцінюються ризики, пов’язані з віддаленими зловмисниками та внутрішніми загрозами.
  • Веб-застосунки: охоплюють клієнтські застосунки, бекенди, API та пов’язані компоненти. Мета — запобігти втраті даних.
  • Мобільні застосунки: оцінка застосунків на пристроях, як-от смартфони та планшети. Важливо для захисту даних клієнтів.
  • Хмарні середовища: перевірка безпеки активів, розміщених у публічних, приватних і гібридних хмарних середовищах.
  • Операційні технології: тестування програмованих логічних контролерів (PLC), систем диспетчерського керування та збору даних (SCADA) й інших технологій, що лежать в основі інфраструктури.
  • Працівники: використання соціальної інженерії для оцінки людських вразливостей, як-от схильність до фішингу та претекстингу.

Тестування на проникнення зосереджене на пошуку вразливостей безпеки, які реальні зловмисники могли б використати, щоб зламати системи, отримати постійний доступ, здійснювати горизонтальне переміщення в мережі, підвищувати привілеї та викрадати конфіденційні дані.

Окрім технічних засобів контролю, тестування на проникнення також оцінює політики, процеси та готовність персоналу у сфері кібербезпеки, як-от плани реагування на інциденти.

Тестування на проникнення проходить за спільною послідовністю кроків:

  • Планування: визначення обсягу та правил проведення тестування. З’ясування, які системи, локації та персонал будуть включені.
  • Розвідка: збір інформації про об’єкт шляхом фінгерпринтингу систем, зондування засобів захисту, перевірки конфігурацій тощо.
  • Експлуатація: активна експлуатація вразливостей із застосуванням методів, узятих із MITRE ATT&CK та інших фреймворків, що документують поведінку реальних супротивників.
  • Постексплуатація: імітація цілей супротивників, як-от встановлення бекдорів, горизонтальне переміщення, підвищення привілеїв, викрадення даних і приховування слідів.
  • Звітування: документування всіх виявлених вразливостей, здійснених експлойтів і дій після проникнення. Надання рекомендацій щодо усунення вразливостей.
  • Усунення вразливостей: усунення прогалин у безпеці з урахуванням рівнів ризику. Повторне тестування для перевірки засобів контролю.

Компанії можуть обрати тестування за методом «чорної скриньки» (black-box), коли жодна внутрішня інформація не надається, або тестування за методом «білої скриньки» (white-box), коли пентестери отримують повну прозорість систем, мереж тощо.

Чому тестування на проникнення важливе?

Кіберзагрози щороку стають дедалі серйознішими. У Verizon Data Breach Investigations Report за 2022 рік проаналізовано 5212 випадків витоку даних і виявлено, що провідними мотивами є програми-вимагачі (ransomware) та кібершпигунство. Фінансовий претекстинг і фішинг залишаються поширеними тактиками соціальної інженерії.

Хакери також переймають нові методи, як-от програми-вимагачі з потрійним вимаганням, захоплення ланцюга постачання, дипфейки для соціальної інженерії тощо. Станом на 2022 рік фреймворк MITRE ATT&CK документує понад 350 окремих тактик супротивників.

Тим часом цифрова трансформація розширює поверхню атаки підприємства. Віддалена робота, політики використання власних пристроїв (BYOD), міграції в хмару та зростання підключеності через IoT і OT — усе це створює нові вразливості. Зокрема, зростає кількість атак на операційні технології з огляду на їх поширене використання в комунальному господарстві, виробництві, охороні здоров’я та інших секторах критичної інфраструктури.

Цей мінливий ландшафт загроз робить оцінки вразливостей і прості тести на проникнення недостатніми. Сьогодні для проактивного кіберзахисту необхідне поглиблене тестування на проникнення, що імітує складні постійні загрози (APT).

Конкретні переваги комплексного тестування на проникнення включають:

  • Перевірка ефективності засобів контролю проти динамічних кіберзагроз, а не лише відомих вразливостей. До 60% витоків даних пов’язані з вразливостями, для яких патчі були доступні, але не були встановлені. Тестування на проникнення допомагає переконатися, що наявні засоби контролю правильно налаштовані, а не просто присутні.
  • Отримання інформації з перших рук про поведінку реальних зловмисників, яку команди безпеки можуть використати для покращення можливостей виявлення та реагування. Пентестери застосовують ті самі інструменти й методи, що й зловмисники.
  • Виявлення сліпих зон і прогалин ІТ-інфраструктури, які пропускають періодичні оцінки вразливостей. Пентестери шукають комбінації непомітних проблем, які зловмисники могли б використати разом.
  • Виконання нормативних вимог щодо відповідності, пов’язаних з оцінками кібербезпеки. Тести допомагають продемонструвати належну обачність.
  • Отримання доказів для обґрунтування інвестицій у кібербезпеку перед керівниками бізнесу. Детальні звіти можуть кількісно оцінити рівень кіберекспозиції.

Загалом, впровадження регулярного тестування на проникнення дає впевненість у тому, що кіберзахист відповідає рівню ризику, з яким стикається організація. Тестування також формує організаційну м’язову пам’ять, щоб плавніше реагувати на реальні вторгнення.

Шукаєте рішення для безперервного тестування на проникнення? Забронюйте демо

Типи тестування на проникнення

Існує кілька категорій і варіантів тестування на проникнення, кожен з яких призначений для оцінки різних ІТ-активів і сценаріїв:

Мережеве тестування на проникнення

Мережевий пентест охоплює локальні та хмарні мережі, сервери, кінцеві точки, мережеві пристрої, як-от маршрутизатори та брандмауери, бездротові мережі й пов’язану інфраструктуру. Мережеві тести зосереджені як на захисті периметра, так і на внутрішніх ризиках.

Тести проводяться як ззовні, так і всередині мережевого периметра. Зовнішнє тестування імітує віддалених зловмисників, які не мають внутрішнього доступу чи облікових даних. Внутрішнє тестування відтворює загрози з боку зловмисних інсайдерів або зловмисників, які викрали легітимні облікові дані.

Фахівці з мережевого тестування на проникнення використовують такі методи:

  • Сканування портів для перевірки наявності відкритих портів, які могли б уможливити несанкціонований доступ
  • Перехоплення пакетів (packet sniffing) для перехоплення незашифрованого трафіку, який може містити облікові дані для входу або конфіденційну інформацію
  • Сканування вразливостей для виявлення відомих програмних недоліків, як-от переповнення буфера
  • Експлуатація вразливостей мережевих служб для отримання доступу до оболонки (shell) на цільових системах
  • Зламування хешів паролів за допомогою атак повного перебору, за словником або з використанням райдужних таблиць
  • Перевірка правил брандмауера, щоб з’ясувати, який вміст дозволено, а який заблоковано
  • Атаки на відмову в обслуговуванні для перевантаження пропускної здатності або ресурсів
  • Атаки «людина посередині» (man-in-the-middle) для перехоплення або зміни комунікацій

Мета — подолати захист периметра, здійснювати горизонтальне переміщення між системами, підвищувати привілеї та отримати доступ до конфіденційних даних. Це імітує багатоетапні кібератаки, як-от складні постійні загрози (APT).

Тестування на проникнення веб- та мобільних застосунків

Пентест застосунків оцінює безпеку веб-застосунків, мобільних застосунків, API, серверних баз даних і пов’язаних компонентів. Тестування має на меті виявити такі ризики:

  • Вразливості коду, що уможливлюють експлойти, як-от SQL-ін’єкції, міжсайтовий скриптинг (XSS), довільне віддалене виконання коду тощо.
  • Порушена автентифікація та неналежне керування сеансами, що призводять до захоплення облікових записів
  • Недоліки вертикального та горизонтального підвищення привілеїв
  • Витоки конфіденційних даних, що порушують приватність
  • Відсутність безпечного управління криптовалютою
  • Вразливі компоненти, зокрема сторонні бібліотеки та залежності

Для тестування застосунків етичні хакери використовують такі методи:

  • Аналіз вихідного коду
  • Перехоплення та маніпулювання трафіком
  • Зворотна розробка мобільних застосунків
  • Фазинг вхідних даних шляхом надсилання випадкових, неочікуваних або некоректних даних
  • Викрадення сеансових файлів cookie
  • Експлуатація функцій скидання паролів
  • Перехоплення API-запитів для пошуку недоліків автентифікації
  • Зворотна розробка для розпакування та декодування застосунків

Зрештою, мета — виявити вразливості застосунків, які могли б призвести до втрати цілісності даних, порушення конфіденційності або відмови в доступності.

Хмарне тестування на проникнення

Із зростанням впровадження моделей «інфраструктура, платформа та програмне забезпечення як послуга» тестування хмарної безпеки стало життєво важливим. Хмарні середовища вимагають спеціалізованих навичок, інструментів і підходів до тестування на проникнення.

Фахівці з хмарного тестування на проникнення зосереджуються на:

  • Неправильно налаштованому хмарному сховищі, що уможливлює витоки даних
  • Перехопленні незашифрованих даних під час передавання між хмарними серверами
  • Тестуванні засобів контролю IAM і налаштувань привілеїв
  • Оцінюванні безпеки віртуальних машин, контейнерів, безсерверних та інших хмарних технологій
  • Оцінюванні ризиків, пов’язаних зі спільним використанням хмарних облікових записів між командами та бізнес-підрозділами
  • Зловживанні вразливостями в API та веб-інтерфейсах, що використовуються для управління хмарними ресурсами
  • Горизонтальному переміщенні між хмарними системами та локальними ресурсами

Зрештою, тестувальники прагнуть зламати хмарні облікові записи, інфраструктуру та застосунки, уникаючи виявлення вбудованими засобами контролю безпеки. Це виявляє ризики й перевіряє, чи відповідає архітектура безпеки найкращим практикам.

Тестування на проникнення інфраструктури

Пентест інфраструктури охоплює операційні технології (OT), пристрої Інтернету речей (IoT) та вбудовані системи, як-от ті, що використовуються в:

  • Виробництві та важкій промисловості
  • Енергетиці, комунальному господарстві, нафтогазовій галузі
  • Автоматизації будівель і розумних об’єктах
  • Транспорті, авіації та морській галузі
  • Державному секторі, військовій та аерокосмічній галузях

Спеціалізований пентест OT/IoT оцінює ризики, пов’язані з:

  • Застарілими системами з небезпечними протоколами, як-от FTP
  • Незашифрованим мережевим трафіком, що розкриває конфіденційні дані компанії
  • Пристроями з жорстко закодованими або викраденими обліковими даними
  • Незахищеними системами віддаленого доступу, як-от RDP
  • Системами SCADA та іншими системами керування, доступними з корпоративних ІТ-мереж
  • Системами протиаварійного захисту, які належним чином не відокремлені
  • Відсутністю моніторингу, журналювання та аналітики безпеки

Фахівці з тестування на проникнення інфраструктури повинні мати експертизу в OT і прагнуть уникати порушення роботи бізнесу під час тестування. Їхня мета — показати, як супротивники могли б маніпулювати фізичними процесами, компрометуючи кіберфізичні системи.

Соціальна інженерія як тестування на проникнення

Попри технологічні засоби контролю, люди часто залишаються найслабшою ланкою. Тести соціальної інженерії оцінюють вразливість організації до маніпуляцій через:

  • Атаки фішингу, вішингу та смішингу (SMiShing)
  • Шахрайство з претекстингом і тактики приманювання (baiting)
  • Сценарії «послуга за послугу» (quid pro quo), що використовують авторитет як зброю
  • Прохід «на хвості» (tailgating) через засоби контролю фізичного доступу
  • Загрози, що викликають емоційні реакції
  • Видавання себе за іншу особу та маскування для здобуття довіри

Мета — отримати інформацію, несанкціонований доступ або співпрацю персоналу шляхом обману. Результати підкреслюють вразливості, пов’язані з політиками, навчанням і загальною обізнаністю з питань безпеки.

Організації також поєднують пентести соціальної інженерії з технічними, щоб змоделювати багатоетапні кібератаки — наприклад, використовуючи фішинг, щоб закріпитися в мережі, перш ніж експлуатувати технічні недоліки.

Тестування на проникнення бездротових мереж

Бездротові мережі та пристрої — зокрема Wi-Fi, Bluetooth, мобільні точки доступу, RFID, ZigBee тощо — вразливі до різноманітних атак, серед яких:

  • Перехоплення трафіку через відсутність шифрування
  • Зламування слабких паролів для доступу до маршрутизаторів і пристроїв
  • Підміна SSID
  • Несанкціоновані точки доступу, що використовуються як вхід до дротових мереж
  • Створення завад (jamming) і відмова в обслуговуванні (DoS)
  • Атаки «злий двійник» (evil twin) для прослуховування підключених клієнтів

Бездротовий пентест зосереджений на цих типах ризиків. Тестувальники націлюються на бездротові клієнти, точки доступу, маршрутизатори, серверні системи автентифікації та пов’язану інфраструктуру.

Стандарти та методології тестування на проникнення

Пентестери дотримуються усталених методологій і стандартів, щоб їхня робота була ретельною, контрольованою та відповідала вимогам. До поширених стандартів тестування на проникнення належать:

  • OSSTMM: Open Source Security Testing Methodology Manual: Open Source Security Testing Methodology Manual, широко відомий як OSSTMM, — це рецензований посібник для тестування та аналізу безпеки. 
  • Penetration Testing Execution Standard (PTES): Галузеві настанови щодо тестування на проникнення, які підтримує спільнота Penetration Testing Framework. Охоплює планування, розвідку, виконання атак і звітування.
  • NIST SP 800-115: технічний посібник з тестування на проникнення, опублікований Національним інститутом стандартів і технологій (NIST). Охоплює методологію, типи тестування та нормативні вимоги.
  • CREST: акредитація для пентестерів, яку адмініструє Council of Registered Ethical Security Testers. CREST сертифікує окремих фахівців і компанії за конкретними навичками тестування на проникнення.
  • ISO 27001: глобальний стандарт інформаційної безпеки, опублікований Міжнародною організацією зі стандартизації (ISO). Надає найкращі практики для тестування на проникнення та етичного хакінгу.
  • OWASP Testing Guide: посібник з тестування безпеки застосунків, опублікований Open Web Application Security Project (OWASP). Охоплює веб-застосунки, API, клієнтське програмне забезпечення тощо.
  • WASAP: методологія тестування застосунків, створена Web Application Security Consortium. Зосереджена на вразливостях, як-от ін’єкційні недоліки та неналежна автентифікація.

Органи стандартизації, як-от NIST, також каталогізують поширені інструменти, тактики та вразливості тестування на проникнення. MITRE ATT&CK — це найповніший фреймворк, що зіставляє реальні методи супротивників, які відтворюють пентестери.

Дотримуючись визнаних стандартів, пентестери проводять високоякісні оцінки, водночас мінімізуючи бізнес-ризики. Знання стандартів також допомагає ІТ-персоналу краще інтерпретувати та використовувати результати тестування.

Правила проведення етичного тестування на проникнення

Тестування на проникнення передбачає авторизовані кібератаки — по суті, імітовані. Однак, оскільки тестувальники використовують справжні методи злому, тести необхідно ретельно планувати за обсягом і виконувати так, щоб уникнути заподіяння шкоди. Чіткі правила проведення тестування допомагають дотримуватися етичних стандартів.

Типові правила проведення тестування на проникнення охоплюють:

  • Конкретні активи, локації та персонал, що підлягають тестуванню. Наприклад, тестування може охоплювати лише платіжну систему, а не всю мережу.
  • Часові межі тестування, наприклад поза робочими годинами.
  • Будь-які заборонені атаки чи цілі, як-от розподілена відмова в обслуговуванні (DDoS).
  • Допустимий рівень порушення роботи мережі. Деякий простій може бути неминучим.
  • Обов’язкові процедури звітування у разі реального інциденту, як-от збою, під час тестування.
  • Як мають документуватися та повідомлятися результати. Наприклад, результати може знадобитися розкривати поступово, щоб не перевантажувати клієнтів.
  • Дозвіл на доступ до номерів соціального страхування, даних платіжних карток, захищеної медичної інформації (PHI) та інших конфіденційних записів даних, коли це потрібно.
  • Відповідальність за усунення вразливостей, виявлених під час тестування. У більшості випадків організація-об’єкт займається виправленнями після завершення тесту.
  • Дотримання чинних законів і нормативних актів.
  • Обмеження щодо використання результатів. Наприклад, заборона розкриття висновків у маркетингових цілях.
  • Хто в кожній організації має бути повідомлений про тестування та отримувати оновлення щодо його перебігу.

Чітко визначені правила проведення тестування допомагають організаціям збалансувати ефективність тестування із загальним управлінням бізнес-ризиками. Вони допомагають сформувати очікування щодо того, що відбуватиметься під час тестування на проникнення.

Чому організаціям варто пріоритезувати тестування на проникнення вже зараз

Оскільки кількість кіберінцидентів щороку стрімко зростає, тестування на проникнення забезпечує критично важливий рівень ешелонованого захисту. Ось кілька головних причин впровадити комплексне тестування на проникнення:

  • Здобути впевненість, що засоби контролю безпеки працюють: тестування на проникнення надає емпіричні докази здатності організацій запобігати вторгненням, виявляти аномалії та реагувати на інциденти. Повторне тестування зміцнює впевненість у тому, що архітектури безпеки та можливості персоналу відповідають реальним загрозам. Тестування також виявляє, чи правильно налаштовані та інтегровані наявні інструменти й засоби контролю. Наприклад, тести можуть показати, що двофакторна автентифікація зупиняє віддалені входи, але VPN усе одно дозволяє доступ. Ця інформація дає ІТ-командам змогу оптимізувати середовища.
  • Виявити прогалини, які пропускають самі лише сканери: автоматизоване сканування вразливостей важливе, але недостатнє. Сканування виявляє лише відомі помилки. Пентестери з’ясовують, чи справді ці помилки можна експлуатувати. Тестувальники також виявляють логічні недоліки, які пропускають сканери, як-от багатоетапні атаки. Це критично важливо, оскільки сьогодні хакери дедалі частіше зосереджуються на поєднанні непомітних недоліків. Захисникам потрібно розуміти складені сценарії ризиків так, як їх бачать зловмисники.
  • Випередити зловмисників: пентестери відтворюють тактики, які, за даними досліджень, наразі переймають справжні хакери, спираючись на тенденції в підпіллі кіберзлочинності. Тести моделюють програми-вимагачі, захоплення ланцюга постачання, вторгнення в системи OT тощо, використовуючи TTP з MITRE ATT&CK та подібних баз знань. Ця інформація дає захисникам змогу випередити загрози до того, як відбудуться цільові атаки. Тести також формують м’язову пам’ять у команд безпеки, створюючи обізнаність із найновішими методами атак.

Тестування на проникнення та вимоги відповідності

Багато нормативних актів і стандартів вимагають періодичного тестування на проникнення для управління кіберризиками. До них належать:

  • Payment Card Industry Data Security Standard (PCI DSS)
  • Health Insurance Portability and Accountability Act (HIPAA)
  • Sarbanes-Oxley Act (SOX)
  • Gramm–Leach–Bliley Act (GLBA)
  • Federal Information Security Management Act (FISMA)
  • North American Electric Reliability Corporation Critical Infrastructure Protection Standards (NERC CIP)

Добре задокументовані тести на проникнення надають докази відповідності під час аудитів. Безперервне тестування також забезпечує подальше дотримання вимог у міру еволюції середовищ.

Процес і етапи тестування на проникнення

Хоча окремі тести відрізняються залежно від обсягу та цілей, тестування на проникнення загалом проходить за такими етапами:

Планування тестування на проникнення

Під час планування команда з тестування на проникнення узгоджує з клієнтом, щоб:

  • Визначити, які мережі, застосунки, пристрої, об’єкти та персонал тестувати.
  • Визначити тип тесту: «біла скринька» (white-box), «сіра скринька» (gray-box) чи «чорна скринька» (black-box).
  • Встановити правила проведення тестування, що охоплюють авторизовані дії.
  • Визначити цілі та критерії успіху. Наприклад, отримати доступ до даних клієнтів менш ніж за 12 годин без виявлення.
  • Обрати інструменти, методи та персонал.
  • Скласти графік, що охоплює фази підготовки, виконання, звітування та усунення вразливостей.

Розвідка

Перш ніж атакувати системи, команда з тестування на проникнення збирає детальну інформацію про цільове середовище, зокрема:

  • Попередні карти топології мережі та переліки активів
  • Версії операційних систем, обладнання та програмного забезпечення, що використовуються
  • Відкриті служби, як-от спільний доступ до файлів, бази даних, веб-застосунки тощо
  • Точки входу та виходу мереж разом із засобами захисту
  • Технології, що використовуються для автентифікації, шифрування, моніторингу тощо
  • Бізнес-процеси, потоки даних і технічні залежності
  • Вихідний код, облікові дані або внутрішня документація залежно від типу тесту

Експлуатація

Після завершення розвідки пентестери починають активно експлуатувати вразливості для досягнення поставлених цілей, зокрема:

  • Зламувати мережі за допомогою експлойтів для недоліків, виявлених під час сканувань
  • Зламувати хеші паролів за допомогою атак повного перебору та за словником
  • Перехоплювати незахищені комунікації, як-от електронну пошту, FTP та інший незашифрований трафік
  • Встановлювати бекдори та руткіти в системах для забезпечення постійного доступу
  • Зловживати інструментами системного адміністрування, як-от PowerShell, для підвищення привілеїв
  • Викрадати дані через приховані канали
  • Поєднувати соціальну інженерію з технічними атаками для багатоетапних компрометацій

Упродовж експлуатації пентестери уникають порушення бізнес-операцій і зберігають доступ для подальших дій.

Постексплуатація

Отримавши доступ, пентестери зосереджуються на моделюванні цілей зловмисника, як-от:

  • Горизонтальне переміщення між системами для розширення доступу
  • Перехоплення та зламування хешованих паролів
  • Моніторинг внутрішнього мережевого трафіку
  • Вимкнення журналювання та антивірусу, щоб уникнути виявлення
  • Дефейс вебсайтів або зміна даних для підтвердження впливу
  • Приховування слідів шляхом видалення історії bash, записів у журналах тощо

Дії з постексплуатації демонструють слабкі місця в сегментації, журналюванні, моніторингу та готовності до реагування на інциденти.

Документування та звітування

Пентестери документують усі інструменти, методи, команди та результати. Докази підтверджують, які вразливості були експлуатовані, та відтворюваність. Ретельна документація також спрощує усунення вразливостей.

Тестування завершується підсумковим звітом, що містить:

  • Резюме для керівництва, що охоплює основні висновки, вплив і рекомендації
  • Технічні деталі щодо всіх виявлених вразливостей, здійснених експлойтів і дій після проникнення
  • Пріоритезована дорожня карта усунення вразливостей з конкретикою щодо того, як усунути слабкі місця
  • Первинні технічні докази, як-от перехоплені пакети та витяги з журналів
  • Додатки з допоміжними даними для ІТ-персоналу

Чітка, придатна до дій звітність є ключовою, щоб організації могли ефективно усувати проблеми.

Усунення вразливостей

Керуючись звітом про тестування на проникнення, ІТ-команди:

  • Встановлюють патчі для вразливостей на основі оцінок серйозності
  • Покращують процеси, як-от управління патчами, там, де виявлено прогалини
  • Налаштовують правила виявлення вторгнень для посилення моніторингу
  • Скидають паролі та закривають бекдори, залишені тестувальниками
  • Проводять повторне навчання персоналу щодо політик і процедур, пов’язаних із висновками

Швидке усунення вразливостей є важливим для зниження ризику. Організації також планують нові тести для перевірки виправлень.

Ключові інструменти тестування на проникнення

Пентестери використовують широкий набір інструментів, щоб ефективно виявляти вразливості та автоматизувати їх експлуатацію. Ось деякі з найважливіших інструментів:

  • Nmap: потужний сканер портів, що виявляє відкриті порти, які ведуть до експлойтів. Також визначає версії операційних систем.
  • Wireshark: перехоплює та аналізує мережевий трафік для перехоплення облікових даних і конфіденційної інформації.
  • John the Ripper: швидко зламує хеші паролів за допомогою повного перебору, атак за словником та інших атак.
  • sqlmap: автоматизує атаки SQL-ін’єкцій проти веб-застосунків.
  • Metasploit: фреймворк для експлуатації, що містить тисячі готових експлойтів і корисних навантажень.
  • Cobalt Strike: інструмент постексплуатації для підвищення привілеїв, горизонтального переміщення, прихованих каналів та іншої емуляції загроз.
  • Burp Suite: перехоплює та маніпулює веб-трафіком для виявлення недоліків застосунків.
  • OWASP ZAP: сканує веб-застосунки на вразливості, як-от ін’єкції, XSS і порушена автентифікація.
  • Hashcat: інструмент відновлення паролів для зламування складних хешів за допомогою повного перебору.
  • Aircrack-ng: зламує ключі бездротових мереж.
  • Kali Linux: орієнтований на тестування на проникнення дистрибутив Linux із сотнями вбудованих інструментів.

Це лише невелика вибірка з різноманітного набору інструментів, які застосовують пентестери. Поряд з інструментами з відкритим кодом існують і комерційні інструменти, як-от Core Impact. Можливості автоматизації також продовжують розвиватися.

Звіт про тестування на проникнення

Підсумковий звіт надає дорожню карту для підвищення безпеки:

Резюме для керівництва

Огляд на 2–5 сторінок для керівництва охоплює:

  • Обсяг проведеного тестування
  • Основні висновки та виявлені вразливості
  • Ризики та потенційний вплив на бізнес
  • Пріоритезовані рекомендації та наступні кроки

Резюме для керівництва зосереджене на бізнес-ризику, а не на технічних деталях. Його мета — обґрунтувати інвестиції в усунення вразливостей.

Технічний звіт

Для ІТ-команд і команд безпеки повний технічний звіт подає:

  • Детальні пояснення та докази всіх виявлених вразливостей
  • Усі використані експлойти, інструменти, команди та методології
  • Точні кроки, виконані під час проникнення в мережу та постексплуатації
  • Перехоплені пакети, витяги з журналів та інші первинні технічні дані
  • Покрокові настанови щодо усунення вразливостей, як-от рекомендовані патчі та зміни конфігурації

Технічний звіт надає придатні до дій висновки, які команди можуть використати для посилення захисту.

Презентація

Інтерпретувати об’ємний звіт може бути складно. Багато пентестерів проводять інтерактивні презентації, щоб ознайомити клієнтів з:

  • Прикладами атак, здійснених під час тесту
  • Поясненнями незнайомих інструментів і методів
  • Рекомендаціями та наступними кроками щодо усунення вразливостей

Презентації дають можливість для живих запитань і відповідей з тестувальниками. Вони допомагають контекстуалізувати висновки для ширшої внутрішньої аудиторії.

Дорожня карта усунення вразливостей

Дорожня карта окреслює пріоритетний план усунення вразливостей, зокрема:

  • Швидкі перемоги: прості виправлення, як-от встановлення патчів для відомих недоліків або зміна паролів. Вони одразу підвищують стан кібербезпеки.
  • Короткострокові проєкти: ширші зміни конфігурації та архітектури, що потребують тижнів планування.
  • Довгострокові ініціативи: масштабні засоби контролю, як-от нові брандмауери чи системи IAM, що потребують місяців впровадження.
  • Навчання персоналу: нове навчання для ІТ-команд, команд безпеки та кінцевих користувачів на основі висновків соціальної інженерії.

Детальна дорожня карта дає напрям для посилення захисту від методів, використаних під час пентесту. Відстеження прогресу з часом демонструє рентабельність інвестицій (ROI).

Інтеграція тестування на проникнення в програми безпеки

Щоб максимізувати ефективність, організаціям слід інтегрувати тестування на проникнення в ширші програми безпеки, що охоплюють:

  • Управління активами: Підтримуйте безперервно оновлювані переліки мереж, програмного забезпечення та пристроїв, щоб тести охоплювали все.
  • Управління вразливостями: Поєднуйте тестування на проникнення зі скануванням вразливостей для ефективної оцінки ризиків відомих і невідомих недоліків.
  • Оцінка ризиків: Враховуйте висновки тестування в безперервну кількісну оцінку ризиків безпеки на основі ймовірності та впливу.
  • Реагування на інциденти: Використовуйте тести для оцінки та вдосконалення можливостей виявлення вторгнень, стримування, ліквідації та відновлення.
  • Моделювання загроз: Враховуйте отримані під час пентесту висновки про реальні атаки у проактивні моделі загроз, що визначають головні ризики.
  • Навчання з безпеки: Включайте тактики пентесту в навчання з підвищення обізнаності, щоб персонал навчився розпізнавати атаки.
  • Перегляд політик: оцініть, чи можуть політики, як-от складність паролів і використання BYOD, потребувати перегляду на основі висновків тестування.
  • Відповідність вимогам: Плануйте тести на підтримку зовнішніх і внутрішніх аудитів, збираючи докази для підтвердження належної обачності щодо безпеки.
  • Завдяки інтегрованому тестуванню організації отримують багатовимірне розуміння свого захисту на постійній основі, а не через разові щорічні оцінки.

Почніть будувати програму тестування на проникнення за 4 кроки

Щоб започаткувати нову програму тестування на проникнення, організації можуть виконати такі кроки:

  1. Оцініть наявні активи та ризики: Каталогізуйте всі активи, зокрема локальні та хмарні мережі, OT, застосунки, мобільні застосунки, системи віддаленого доступу, бездротові мережі тощо. Оцініть вплив на бізнес і ймовірність компрометації для кожного з них. Це кількісно визначає ділянки найвищого ризику для формування пріоритетів тестування.
  2. Визначте обсяг і цілі тестування: Визначте, які активи потребують «живого» тестування на проникнення, а які — частішого автоматизованого сканування з урахуванням ризиків. Визначте конкретні цілі для пентестів, як-от досягнення горизонтального переміщення або викрадення даних без виявлення. Врахуйте бізнес-обмеження та правила проведення тестування.
  3. Внутрішні та зовнішні ресурси для тестування на проникнення: Оцініть власні навички та інструменти тестування на проникнення порівняно із залученням MSSP. Використання як внутрішніх, так і зовнішніх ресурсів дає переваги та дозволяє уникнути надмірної залежності від будь-якого з них. Вибудовуйте відносини з партнерами з тестування на проникнення.
  4. Налагодьте процеси усунення вразливостей: Впровадьте оптимізовані процеси реагування на висновки пентесту за допомогою робочих процесів управління змінами. Присвоюйте рейтинги ризику, як-от критичний, високий, помірний і низький, щоб краще пріоритезувати вразливості для усунення.

Безперервне тестування на проникнення тепер є необхідністю

Регулярне комплексне тестування на проникнення забезпечує емпіричну впевненість у кіберзахисті. Тести виявляють конкретні прогалини в безпеці, підвищують обізнаність про ризики та уможливлюють пріоритезацію інвестицій на основі даних.

Проактивно тестуючи на проникнення мережі, кінцеві точки, застосунки, хмари та працівників, організації можуть захистити свої найцінніші активи й операції від компрометації. Тестування на проникнення стало невід’ємним компонентом кіберстійкості.

Пов’язані ресурси

ПоділитисяLinkedInX
Пов’язані статті блогу
Нічого не знайдено.
Пов’язані статті блогу
Нічого не знайдено.

Готові зменшити свою кіберекспозицію?

Дізнайтеся, як ResilientX забезпечує безперервну видимість вашої поверхні атаки, ризиків третіх сторін і стану відповідності — в одній платформі.

Забронюйте демо