Что такое пентест? Узнайте о тестировании на проникновение (тестирование на проникновение)

Что такое тестирование на проникновение?

Тестирование на проникновение, иногда называемое тестированием на проникновение или этическим хакерством, представляет собой симуляцию реальной кибератаки, которая проверяет кибербезопасность организации и обнаруживает уязвимости. Хотя некоторые могут рассматривать пентесты как сканирование уязвимостей, проверяющее соответствие требованиям мер безопасности.

Цель пентеста — не только проверить уязвимости в среде, но и протестировать людей и процессы на предмет возможных угроз для организации. Знание того, какие злоумышленники с наибольшей вероятностью нападут на вас, позволяет тестерам на проникновение имитировать конкретные тактики, методы и процедуры (TTP) этих конкретных злоумышленников, давая организации возможность нацелиться на вас. гораздо более реалистичное представление о том, как может произойти взлом.

Этапы тестирования на проникновение

В большинстве случаев тестирование на проникновение будет следовать шагам, описанным в структуре MITRE ATT&CK. Если вы новичок в системе MITRE, это база знаний об известных тактиках, методах и процессах состязательной борьбы, которые происходят на различных этапах.

Следование этой схеме дает пентестерам возможность моделировать поведение конкретного злоумышленника, тем самым позволяя им более точно имитировать атаку во время тестирования. На данный момент в матрице Mitre Enterprise присутствует 12 тактик:

1. Тактика первоначального доступа относится к векторам, которые хакеры используют для получения доступа к среде.
2. Выполнение относится к методам, используемым для выполнения кода злоумышленника после получения доступа к среде.
3. Тактика настойчивости — это действия, которые позволяют злоумышленнику сохранять присутствие в сети.
4. Повышение привилегий относится к действиям, предпринимаемым злоумышленником для получения более высокого уровня доступа к системе.
5. Тактика защитного уклонения — это методы, используемые злоумышленниками, которые позволяют им оставаться незамеченными средствами защиты системы.
6. Доступ к учетным данным относится к методам, используемым для получения учетных данных от пользователей или администраторов.
7. Под обнаружением понимается процесс обучения, посредством которого злоумышленники лучше понимают систему и доступ, которым они в настоящее время обладают.
8. Горизонтальное перемещение используется злоумышленниками для получения удаленного доступа и контроля над системами.
9. Тактика сбора — это тактика, используемая злоумышленниками для сбора целевых данных.
10. Командование и контроль — это тактика, используемая для установления связи между скомпрометированной сетью и контролируемой системой.
11. Эксфильтрация — это действия, предпринимаемые злоумышленником для удаления конфиденциальных данных из системы.
12. Тактика влияния – это тактика, направленная на влияние на бизнес-операции.

Важно отметить, что описанные выше тактики, используемые при пентестировании, зависят от тактики имитируемого оппонента. Однако в целом выполнение теста на проникновение обычно включает в себя следующие этапы: планирование, разведка, получение/поддержание доступа, анализ, исправление.

Виды тестирования на проникновение

При рассмотрении возможности проведения тестирования на проникновение важно помнить, что не существует универсального теста. Окружающая среда, отраслевые риски и конкуренты различаются для каждой организации. Кроме того, не существует только одного типа теста на проникновение, который мог бы удовлетворить все потребности организации.

Существует несколько типов тестов на проникновение, разработанных для достижения определенных целей и устранения угроз для организации. Ниже приведены некоторые из самых популярных типов тестов на проникновение.

1. Внутренний пентест

Оцените внутренние системы организации, чтобы определить, как злоумышленник может перемещаться по сети. Тестирование включает в себя идентификацию системы, перечисление, обнаружение уязвимостей, эксплуатацию, повышение привилегий, горизонтальное перемещение и определение цели миграции.

2. Внешний пентест

Оцените системы доступа в Интернет, чтобы определить, существуют ли уязвимости, которые могут быть использованы для эксплуатации и которые могут раскрыть данные или обеспечить несанкционированный доступ к внешнему миру: тестирование включает в себя идентификацию, перечисление, обнаружение и эксплуатацию уязвимостей безопасности.

3. Тестирование веб-приложений на проникновение

Оцените веб-приложения, используя трехфазный процесс: первый — разведка, в ходе которой команда обнаруживает информацию, такую ​​как операционная система, службы и используемые ресурсы. Второй — фаза обнаружения, в ходе которой команда пытается выявить уязвимости. Третий — фаза эксплуатации, в ходе которой группа использует обнаруженные уязвимости для получения несанкционированного доступа к конфиденциальным данным.

4. Пентест на внутренние угрозы

Выявить риски и уязвимости, которые могут подвергнуть конфиденциальные внутренние активы и ресурсы риску получить доступ к ним неавторизованных лиц: группа оценивает слабые места, такие как атаки деаутентификации, неправильные конфигурации, повторное использование сеансов и неавторизованные беспроводные устройства.

5. Пентест беспроводной связи

Выявление рисков и уязвимостей, связанных с беспроводными сетями: группа оценивает слабые стороны, такие как атаки деаутентификации, неправильные конфигурации, повторное использование сеансов и неавторизованные беспроводные устройства.

6. Физический пентест

Выявляйте риски и уязвимости физической безопасности при получении доступа к компьютерным системам компании: команда оценивает такие слабые места, как социальная инженерия, скрытые атаки, клонирование бейджей и цели безопасности. Другая физика.

Когда следует проводить тестирование на проникновение?

Самое важное время для проведения пентеста — до того, как произойдет нарушение. Многие организации не обращают внимания, пока их фактически не атакуют, то есть после того, как они потеряли данные, интеллектуальную собственность и репутацию. Однако, если вы столкнулись с нарушением, вам следует провести пентест для устранения последствий нарушения, чтобы убедиться в эффективности мер по смягчению последствий.

Лучшие практики таковы, что вам следует проводить тестирование на проникновение во время разработки или установки системы и непосредственно перед запуском в эксплуатацию. Опасность слишком позднего запуска тестов на проникновение заключается в том, что обновление кода занимает много времени.

Тестирование на проникновение — это не одноразовое предложение. Его следует проводить всякий раз, когда происходят изменения, и/или по крайней мере ежегодно. Факторы, такие как размер компании, инфраструктура, бюджет, юридические требования и возникающие угрозы, определят соответствующую частоту.

Как часто следует проводить пен-тест?

Предприятия должны проводить обширное тестирование на проникновение не реже одного раза в год. Это не только позволяет регулярно устанавливать исправления и обновления безопасности, но и поддерживает соответствие стандартам безопасности данных, таким как PCI DSS (Debit Cardholder Industry Data Security Standard). математика).

Однако двухгодичные или даже ежеквартальные проверки позволяют чаще выявлять потенциальные риски безопасности — и до того, как они будут скомпрометированы, — предоставляя вам более полную картину вашего здоровья. вашего статуса безопасности.

Тестирование на проникновение предназначено для выявления конкретных уязвимостей в системе или сети. Поэтому в идеале тестирование на проникновение следует проводить на любых новых дополнениях к сетевой инфраструктуре или всякий раз, когда происходит капитальный ремонт основных приложений. Это происходит, когда среда наиболее уязвима для атак, а уязвимости с наибольшей вероятностью будут выявлены.

Кто проводит пентестинг?

Многие независимые компании и эксперты в области кибербезопасности предлагают такие виды тестирования на проникновение как услугу. И хотя тестирование на проникновение может проводиться внутри компании, внешние хакеры в белой шляпе могут предоставить больше информации, поскольку у них нет предварительных знаний о системе.

Однако характер предпринимательской деятельности имеет множество сложностей. Юридические соображения, связанные с любой «хакерской» деятельностью, означают, что весь процесс пентеста требует осторожности.

Убедитесь, что все действия по пентесту соответствуют требованиям законодательства, а все юридические документы являются точными и полными. Также важно проводить проверку биографических данных пентестеров, чтобы контролировать их учетные данные. Например, CREST и NCSC — это признанные в отрасли сертификаты, выдаваемые доверенным компаниям, занимающимся тестированием на проникновение.

Что мне делать после проведения пентеста?

Тестирование на проникновение является частью разработки долгосрочной стратегии безопасности, основанной на исправлении проверенных реальных уязвимостей.

Быстрая обработка результатов пентеста важна для предотвращения простоев и сбоев, связанных с нарушениями кибербезопасности, а также крупных штрафов для тех, кто нарушает правила защиты данных.

После тестирования на проникновение вам необходимо:

1. Просмотрите окончательный отчет и обсудите результаты как с внешней командой по тестированию на проникновение, так и с внутренней командой по кибербезопасности.
2. Разработать комплексную стратегию кибербезопасности и план устранения выявленных проблем.
3. Используйте повторяющееся тестирование и сканирование уязвимостей для отслеживания успешности и хода долгосрочных исправлений и обновлений.

Пен-тест разработан комплексно. Они предоставляют подробную информацию о масштабах и серьезности любых потенциальных уязвимостей в среде. Таким образом, всегда будет много полезных выводов, которые помогут вам повысить свою безопасность.

Лесли Монтойя

Обновление 27 июня 2024 г.