Тест на проникновение (с целью проверки системы защиты) — это испытание безопасности IT-инфраструктуры путем прощупывания уязвимостей. Эти слабые места могут быть выявлены в операционной системе, в самом приложении и в неправильной конфигурации. Они также могут быть спровоцированы рискованным поведением конечного пользователя. По сути, это имитация кибер-атаки на компьютерную систему.
Тест на проникновение позволяет проверить надежность защиты и эффективность защитных механизмов. Кроме того, он позволяет увидеть, соблюдает ли конечный пользователь правила безопасности. Насколько защищены сеть компании и ее приложения? Можно ли обойти внешние или внутренние меры безопасности и получить несанкционированный доступ к защищенной информации?
Цели тестирования на проникновение
Данные, полученные в результате теста на проникновение, можно использовать для точной настройки безопасности и устранения обнаруженных слабых мест. У тестирования на проникновение всегда есть определенная цель. Обычно она совпадает с одной из следующих задач:
- определить системы, которые можно взломать;
- попытаться взломать систему;
- спровоцировать утечку данных.
Тестирование на проникновение состоит из следующих этапов:
- Планирование и подготовка
- Выявление — команда определяется со своей целью
- Попытка проникновения
- Анализ и составление отчетов
- Зачистка — тест не должен оставлять следов
- Повторное тестирование
Согласно опросу о тестировании на проникновение за 2020 год, 97% специалистов в области кибербезопасности считают, что тестирование на проникновение является в некоторой степени важным или важным для безопасности компании. Несмотря на это, 47% профессионалов в области кибер-безопасности сообщили, что их компания не проводила тест на проникновение или проводила их один-два раза в год.
Почему так? Одной из трудностей является поиск квалифицированных и опытных людей. Опытных специалистов, которые умеют проводить тесты на проникновение, не так просто найти. Есть тесты, требующие глубокого погружения в устройство различных систем и приложений. Иногда нужно выполнять упражнения с целой цепочкой действий, направленных на защиту против атак.
Методы тестирования на проникновение
Внешнее тестирование
Нацелено на ту информацию, которая доступна в Интернете, например, на само приложение, сайт компании, электронную почту, доменное имя (DNS). Цель внешнего тестирования — получить доступ и извлечь ценные данные.
Внутреннее тестирование
В этом случае тестировщик, у которого есть доступ к приложению за брандмауэром, имитирует атаку злоумышленника. Можно проиграть сценарий, в рамках которого путем фишинг-атаки украдены данные одного из сотрудников.
Слепое тестирование
В таком случае тестировщик знает только название предприятия. Сотрудники службы кибербезопасности могут в режиме реального времени видеть, как может разворачиваться фактическая атака на приложение.
Двойное слепое тестирование
У сотрудников нет предварительной информации об атаке. Как и в реальной ситуации, они не могут укрепить защиту, на это нет времени.
Целевое тестирование
В этом сценарии тестировщик и работники службы кибербезопасности сотрудничают. Это позволяет команде получать обратную связь с точки зрения хакера в режиме реального времени.
Инструменты для тестирования на проникновение
Вот список инструментов, которые гарантированно сделают работу современного тестировщика на проникновение более эффективной:
Kali Linux — хорошо оптимизирован для атак, что позволяет использовать его в тестировании на проникновение;
Metasploit — незаменимый помощник для защиты системы от злоумышленников;
Wireshark — универсальный инструмент для анализа трафика, который проходить через вашу сеть;
nmap — своего рода сетевой картограф, позволяет определить, какие порты открыты и как они используются;
Hashcat — самый быстрый и продвинутый инструмент для восстановления паролей, может использоваться для взлома хэшей и, соответственно, для тестирования на проникновение.
Что происходит после тестирования на проникновение?
Следующий этап — интегрирование результатов отчета. Отчетность — самый важный этап процесса. Результаты должны быть подробно расписаны, чтобы организация могла принять их во внимание. После теста белый хакер делится своими выводами с командой безопасности. Эту информацию можно использовать для внедрения обновлений или чтобы устранить слабые места, которые обнаружились в ходе тестирования.