Зовнішні та внутрішні сканування, тести на проникнення

Зазвичай в тестах на проникнення використовуються допрацьовані методики Національного інституту стандартів і технології США (NIST) Draft Guideline on Network Security Testing і Open-Source Security Testing Methodology (OSSTM).

Вибираються об'єкти дослідження, задається модель порушника (включаючи його можливості) і обмовляється режим роботи на основі рівня початкових знань виконавця про тестованої системі (Black Box або White Box) і рівня інформованості замовника про випробування (режим Black Hat або White Hat).

При виборі рівня Black Box виконавцю необхідні лише діапазон зовнішніх IP-адрес і, можливо, адреси e-mail внутрішніх користувачів системи. У режимі White Box доступна тестувальника інформація значно ширше. У режимі Black Hat про проведення робіт знають тільки керівники служби ІБ. При цьому завдання групи тестувальників - повністю імітувати дії зловмисника, діючи максимально непомітно і не залишаючи слідів. В такому випадку вдається перевірити рівень оперативної готовності до атак мережевих адміністраторів і адміністраторів ІБ. У режимі White Hat будь-яких заходів приховування атакуючих дій не застосовується, а виконавці тестів працюють в постійному контакті з ІБ-службою замовника. Їх основне завдання зводиться до виявлення можливих вразливостей і оцінки ризику проникнення в систему.

На відміну від США і Західної Європи, в Україні та інших країнах СНД окрема послуга тестування на проникнення до недавнього часу практично не пропонувалася. kali linux перевірка сайту на уразливості Це було обумовлено цілим рядом причин, починаючи з низького рівня використання Internet в діловому середовищі і закінчуючи небажанням постачальників послуг в області інформаційної безпеки (security-компаній) розвивати відповідний напрям діяльності.

Картинки и текст

До останніх, наприклад, відноситься міф про низьку значущості Internet для бізнесу українських компаній. Дійсно, ще кілька років тому так і було, але сьогодні високошвидкісний доступ до Мережі є практично у всіх корпоративних клієнтів. Отже, проблема проникнення в корпоративну мережу з Internet стає гранично актуальною (особливо з урахуванням застосування хакерами реверсивних троянів і надлишкової функціональності клієнтського ПЗ).

Не можна недооцінювати і використання коштів Internet в конкурентній боротьбі для отримання оперативного контролю над корпоративною інформацією. 

Постраждалі, як правило, приховують такі факти, але у вузькому середовищі про них добре відомо. Ще одна помилка: замовники часом прирівнюють тести на проникнення, які проводяться кваліфікованими аналітиками, до автоматизованого сканування. Окремі security-компанії самі сприяють цьому, видаючи звичайне автоматизоване сканування портів за комплексні тести на стійкість систем до зломів. Але зіставлення таких методів просто недоречно: це все одно, що порівнювати дію знеболюючою таблетки з роботою лікаря-анестезіолога. Сканер допомагає лише в тривіальних випадках, коли, як то кажуть, дірки в наявності, що зустрічається вкрай рідко. Результатом сканування стає чорновий ескіз поточного стану системи. Він часто вводить в оману замовника, оскільки свідчить про наявність вразливостей, які в конкретній ситуації можуть бути не реалізовуються.  У свою чергу, тест на проникнення в корпоративну мережу вимагає не менше місяця роботи кваліфікованих фахівців Goobkas, які повинні проаналізувати всі деталі досліджуваного об'єкта, врахувати людський фактор, вибрати відповідний сценарій атаки, розробити унікальне в кожному випадку ПО для злому системи.

Це не означає, що для визначення рівня корпоративної безпеки сканери більше не потрібні. Вони, безумовно, є необхідними елементами системи управління ІБ, але лише строго в рамках покладених на них завдань. Використання сканерів - далеко не панацея від атак, і якщо цілком покладатися на їх дані, можна впасти в оману щодо реального рівня захищеності мережі. Завдання сканерів принципово інші: у великих корпоративних мережах їх необхідно регулярно використовувати для відстеження конфігураційних змін і нових дірок в прикладному і системному ПО. До числа серйозних помилок відноситься невиправдана впевненість в захищеності внутрішніх ресурсів. Зовсім недавно підприємства спиралися на концепцію централізованого захисту мережі, що має на увазі установку точки контролю над всім вхідний і вихідний трафік (брандмауера) і створення виділеної корпоративної мережі з немаршрутізіруемимі адресами. Сьогодні ця концепція де-факто померла, а точніше - перетворилася в необхідне, але не достатня умова для забезпечення внутрішньої безпеки. Розвиток послуг тестування на проникнення стримується і негативним ставленням клієнтів до діяльності зовнішніх аудиторів - через недовіру або просто небажання залучати чужу увагу до власної мережі. Цей фактор завжди викликав усмішку у фахівців. перевірка на sql вразливість Якщо в разі внутрішнього аудиту захисту питання довіри дійсно актуальне, то який-небудь хакер може в будь-який момент виконати небажаний тест на проникнення на свій розсуд, без повідомлення та з метою нанесення збитку компанії.

Часто у клієнтів виникають сумніви в кваліфікації зовнішніх аудиторів. Повністю виключити їх навряд чи вдасться: якщо систему безпеки не зуміли зламати одні люди, то не виключено, що це зможуть зробити інші, наприклад ті ж хакери. Залишається лише порадити вибирати в якості аудиторів компанії, які спеціалізуються на послугах тестування на проникнення і мають в цій області великий практичний досвід.

Відео