Войти

Статья 8

Что такое инструментальное обследование

компонентов информационных систем?

Инструментальное обследование компонентов информационных систем (далее — пентест или тестирование на проникновение) представляет собой контролируемую атаку на информационную систему с целью выявления её уязвимостей и оценки уровня защищенности. Этот процесс позволяет смоделировать действия потенциального злоумышленника и выявить слабые места в системе, которые могут быть использованы для несанкционированного доступа или кибератак.

Кто проводит пентест?

Пентест обычно проводят сертифицированные специалисты в области информационной безопасности или специализированные организации/компании по проведению тестирования на проникновение. Эти специалисты обладают необходимыми знаниями, навыками и инструментами для эффективного анализа системы на предмет уязвимостей.

К примеру: оперативные центры информационной безопасности, службы реагирования на инциденты информационной безопасности, эксперты-аудиторы и другие специалисты, имеющие международные сертификаты (ISO и др.).

Как подготовиться к пентесту?

Подготовка к пентесту включает несколько этапов

Определение целей

Определите цели и ожидания от проведения пентеста. Чёткое понимание того, что вы хотите проверить или защитить, поможет специалистам сфокусироваться на ключевых аспектах безопасности вашей информационной системы.

Подготовка системы

Перед проведением пентеста убедитесь, что ваша информационная система находится в рабочем состоянии и готова к анализу. Обновите программное обеспечение, убедитесь в правильной настройке защитных механизмов и наличии резервных копий данных.

Согласование с заинтересованными сторонами

Обсудите план проведения пентеста с заинтересованными сторонами в вашей организации, такими как руководство, IT-отдел и юридический отдел. Убедитесь, что все заинтересованные стороны понимают цели и ограничения этого процесса.

Установление ограничений

Определите ограничения и правила проведения пентеста, такие как время проведения, область действия, разрешённые методы и инструменты.

Анализ результатов

После завершения пентеста проведите анализ полученных результатов совместно с командой специалистов. Оцените выявленные уязвимости и разработайте план действий по их устранению.

В ходе пентеста, осуществляется:

  • Поиск общедоступной информации о заказчике с помощью поисковых систем, а также сбор и анализ информации через регистрационные базы данных (регистраторы имён и адресов, DNS, Whois и т. д.).

  • Сбор информации о доступных из сетей общего доступа ресурсах, действующих информационных системах (сетевых сервисах, операционных системах и приложениях).

  • Выявление уязвимостей в ИКИ заказчика, способных привести к несанкционированному воздействию на них.

  • Разработка векторов и методов проникновения с учётом анализа полученных данных.

  • Ручная верификация и анализ результатов инструментального сканирования, проверка соответствия конфигурации веб-приложения рекомендациям по безопасной настройке программного обеспечения (CMS, фреймворков, веб-сервера, сервера приложений и т. д.).

  • Ручная проверка веб-приложений по методологии OWASP.

  • Попытки получения учетных записей и паролей пользователей и администраторов ИКИ.

  • Тестирование на проникновение на сетевом уровне, попытки перехвата сетевого трафика в пользовательских сегментах.

  • Попытки получения несанкционированного доступа к серверам, базам данных, РС пользователей с использованием уязвимостей программного обеспечения, сетевого оборудования, некорректных настроек и найденных учетных записей.

  • Проведение анализа защищённости беспроводной сети.

  • Применение статического анализатора безопасности приложений (SAST) для поиска уязвимостей и незадекларированных возможностей, включая прописанные в коде пароли.

Сроки (время) проведения могут варьироваться в зависимости от масштаба ИКИ заказчика, количества серверов (ИС) и других аспектов.

Пентест состоит из:

Планирования

Определение целей и области тестирования. Включает в себя выбор методов и инструментов, а также согласование границ и правил тестирования с заказчиком.

Сканирования, сбора информации

Активное сканирование целевой системы или сети для сбора информации, такой как открытые порты, используемые сервисы и версии программного обеспечения.

Анализа уязвимостей

Оценка собранной информации для выявления потенциальных уязвимостей, которые могут быть эксплуатированы.

Эксплуатации уязвимостей

Попытка проникновения в систему с использованием найденных уязвимостей для оценки реального уровня угрозы.

Поддержания доступа

Проверка возможности длительного сохранения доступа к системе после успешного проникновения, что может быть важно для оценки риска постоянного присутствия злоумышленника в системе.

Постанализа

После завершения эксплуатации уязвимостей проводится анализ полученных результатов. Этот этап включает документирование найденных уязвимостей, составление перечня способов их эксплуатации и рекомендаций по устранению.

Составления отчёта

  • Термины и определения: Термины и сокращения, употребляемые в отчёте пентеста.
  • Общие положения: Наименование работ, указание заказчика и исполнителя, период проведения работ и цели пентеста. Вводные данные и ограничения в ходе проведения работ.
  • Результаты тестирования на проникновение: Основные результаты тестирования, обнаруженные уязвимости, общий уровень защищённости системы. Угрозы и риски, связанные с обнаруженными уязвимостями.
  • Методика тестирования защищённости: Используемые методики и инструменты для тестирования защищённости. Включает требования и рекомендации международных стандартов и руководств по ИБ.
  • Модель нарушителя: Описание модели нарушителя и его возможностей.
  • Проведение пентеста веб-приложений: Найденные уязвимости, описания и скриншоты уязвимостей.
  • Рекомендации по повышению уровня защищённости: Рекомендации по устранению выявленных уязвимостей, включая место обнаружения, описание, уровень риска и предложения по устранению.

Можно ли своими силами провести пентест?

Самостоятельное проведение пентеста теоретически возможно, но требует от организации наличия квалифицированных специалистов с глубокими знаниями в области кибербезопасности и понимания сетевой инфраструктуры. Такие специалисты должны быть осведомлены о последних тенденциях и методах кибератак, а также обладать навыками работы с различными инструментами и техниками для проведения тестов. Кроме того, необходимо чётко понимать правовые и этические аспекты пентеста, чтобы избежать нарушения закона или компрометации чувствительных данных. Важно также обеспечить, чтобы процесс тестирования не нанёс вреда операционной среде или бизнес-процессам.

И есть один очень важный момент: руководителю необходимо получить независимую оценку от внешних аудиторов безопасности, что считается “best practice”. Это необходимо для предотвращения внутреннего конфликта интересов и получения полной картины состояния ИБ в своей организации.

Ответ на вопрос: да, можно, НО лучше привлечь квалифицированных специалистов для получения независимой оценки состояния защищённости.

Важно

При выборе поставщика услуг по проведению тестирования на проникновение ключевым критерием является наличие официально оформленных трудовых отношений с квалифицированными специалистами, обладающими гражданством Республики Казахстан. Это требование обусловлено случаями, когда компании предъявляют сертификаты сотрудников без заключения с ними трудовых договоров, что впоследствии выявляет отсутствие необходимой квалификации у исполнителей. Учитывая, что в процессе тестирования специалисты получают доступ к чувствительной информации государственных и квазигосударственных организаций, предпочтение отдаётся гражданам Республики Казахстан для обеспечения информационной безопасности и предотвращения утечки данных.

ВЫВОД № 15:

Инструментальное обследование анализирует и тестирует отдельные части системы с помощью специализированных инструментов. Оно выявляет уязвимости в конкретных компонентах, обеспечивая детализированное понимание состояния безопасности и позволяя проводить целенаправленные улучшения.

Для получения доступа к статье Методологии, Вам необходимо

или
Вопросы и ответы