avatar

Аудит ИТ - инфраструктуры

Пентест - что это?

Pentest(тест на проникновение) - понятие, которым описывается процесс, заключающий в себе процедуру глубокого аудита сетевой безопасности. Это понятие включает в себя определённый набор правил, методик и процедур Все перечисленное - это знания, полученные на практике и которые могут действительно точно оценить состояния безопасности сети, приложения, системы или комбинации перечисленного. Пентест может осуществляться независимо, или же как часть инфраструктуры, в которой используется определенная методика управления рисками.

Типы пентеста

Существуют различные подходы к пентесту, которые в общем сводятся к двум основным моделям, наиболее широко принятым в данной сфере - блэкбокс (blackbox) и вайтбокс (whitebox)

Блэкбокс

Суть подхода блэкбокс - при его применении аудитор не будет знать ничего об используемых технологиях, используемых в проверяемой организации. В этом случае проверяющий будет использовать хакерские приёмы, которые используются при настоящем взломе в определённом порядке. Данные действия позволят выявить уязвимости, которые, теоретически, проверяющий сможет использовать.

Для аудитора очень важно уметь понимать характер уязвимости и классифицировать их по уровню риска. Уровень риска можно оценивать по возможному урону инфраструктуре и бизнес процессам от использования уязвимости. Хороший проверяющий сможет выявить все векторы атаки, которые могут привести к компрометации проверяемого объекта. После окончания технической стороны пентеста, начинается процедура составления отчета, содержащего в себе всю необходимую информацию, касающуюся состояния информационной безопасности клиента, которая включает в себя перечисление найденных рисков и описания того, как они могут повлиять непосредственно на функциональность бизнеса.

Blackbox тестирование - процесс дорогой, в следствие необходимости наличия большого опыта и умения использовать самые разные инструменты для проникновения.
Вайтбокс
Суть следующего подхода под названием whitebox - аудитор знает в точности о том, какие системы используются внутри целевого предприятия. Как следствие, это открывает огромные просторы для проверяющего для критической оценки уязвимостей в безопасности с минимумом затраченных усилий, но с максимумом точности.

По сравнению с предыдущим методом, данная проверка может оказаться более ценным опытом для организации с той точки зрения, что во время такого тестирования будет выявлено 99.9% уязвимостей, в то время как в предыдущем случае количество найденных уязвимостей будет на порядок меньше. Такой подход как уайтбокс можно использовать на регулярной основе. Если провести итоговое сравнение, то можно сказать, что блэкбокс- это подход, который показывает действительную степень устойчивости к атакам, а вайтбокс - это гибкий инструмент для поддержания необходимой степени устойчивости и безопасности.
Методики
Несколько методик с открытым исходным кодом были созданы для того, что бы полностью удовлетворять потребности аудиторов. Используя эти методики, можно правильно планировать такую трудоемкую задачу, как сохранение целостности информационной безопасности предприятия. Некоторые методики фокусируются на технической стороне вопроса, другие - на управленческой. Самые известные из них - Open Web Application Security Project Testing Guide (OWASP-TG) и Web Application Security Consortium Threat Classification(WASC-TC). Использовать их можно по одному или вместе (для лучшей надежности и повышения шансов нахождения уязвимостей).
Кроме того, последний можно использовать со свободно распространяемым дистрибутивом для пентеста Kali Linux. Kali Linux - невероятно богатый и гибкий инструментарий для пентеста. По сути, это просто Debian, в котором предустановленно большое количество приложений, таких как порт-сканнеры, комплекты ПО для оценки состояния безопасности системы и так далее. Kali Linux | Кали Линукс Интерфейс Kali Linux

Важно помнить, что один-единственный инструмент никогда не сможет гарантировать надежный результат, поэтому использование инструментов и методик в тандеме всегда дает на порядок лучшее виденье ситуации.
Этапы пентеста
Обзор целевой сферы тестирования
На данном этапе необходимо ответить на следующие вопросы:
— Что именно будет тестироваться?
— Как именно будет проводиться тестирование?
— При каких условиях?
— Чем ограничивается пентест?
— Сроки тестирования
— Какие бизнес-цели будут достигнуты?

Сбор общей информации
На первом этапе используются все инструменты, позволяющие собирать открытую информацию - поисковики, телефонные книги, визитки, пресс-релизы компании, форумы - словом все, что может дать первоначальную зацепки.

Изучение цели
Определение структуры сети, типов используемых операционных систем, определение ролей различного оборудования в сети. Для данной цели прекрасно подходят инструменты, включенные в Kali Linux

Анализ полученной информации
На данном этапе используются знания, полученные в предыдущих пунктах и с помощью сканеров портов определяются открытые порты и службы, стоящие за этими портами.

Идентификация уязвимостей
Используя базы знаний и информацию, полученную в предыдущем пункте, определяется количество и характер уязвимостей. Для этого могут использоваться автоматизированные средства, встроенные в Kali Linux.

Социальная инженерия
Использовать знания как “втереться в доверие” - это крайне необходимый навык, особенно в случае подхода Blackbox и когда нет другого выхода в целевую сеть. Т.е используя психологический вектор атаки, возможно заставить пользователя сети самого запустить какое-то вредоносное ПО, которое предоставит аудитору доступ к внутрикорпоративным ресурсам сети. В данную категорию так же попадает и “фишинг” - использование вредоносных рассылок по электронной почте.

Target exploitation
После определения уязвимостей, настало время их использовать для проникновения в целевую сеть или систему. Это наиболее трудный этап, так как уязвимости постоянно исправляются и инструменты взлома перестают работать. Здесь так же поможет Kali Linux.

Privilege escalation
Как только проверяющий попал в систему, его цель можно считать достигнутой. Однако, на этом этапе, аудитор может попытаться получить права более высокого уровня и продолжить атаку - так как именно это позволит оценить истинный урон от аналогичной атаки со стороны злоумышленников.

Documentation and reporting
Отчет, содержащий данные о каждом этапе и о каждой найденной уязвимости и лазейке. С этической точки зрения, важно что бы проверяющий ничего не утаил и описал максимально правдиво. Кроме того, отчеты позволяют проверять состояние системы после нескольких проверок и проведения работ по улучшению безопасности, другими словами – «до» и «после»
Итогом будет
Результатом нашей работы будет являться обнаружение уязвимостей в работе корпоративной инфраструктуры, оценка степени рисков, рекомендации по устранению и отчетность об исследовании.

Необходимость провести аудит и выявить ошибки и неполадки в сетевой инфраструктуре - это требование возникающее нечасто, но при этом, способное заблаговременно устранить критичные замечания в работе оборудования и в логике построения сети.

Преимущества

Снижение затрат на ИТ до 25%

Повышение надежности информационных систем

Снижение рисков

Подробная отчетность о состоянии системы

Рекомендации по повышению надежности, эффективности и производительности

План работ

Мы получаем от Вас запрос на услугу аудита

Мы выделяем 2 инженера для проведения аудита

Изучаем текущую документацию, топологию и конфигурацию систем

Анализируем полученные данные

Документируем результаты проверки, выдаем рекомендации

Для звонков

499 649-19-13
Заказать услугу