УДК 004

Обзор тестирования на проникновение как инструмента для анализа информационной безопасности

Самбурская София Александровна – тьютор кафедры Кибербезопасности Международного университета информационных технологий (Республика Казахстан, Алматы).

Аннотация: Первые упоминания о создании команды по тестированию на проникновение относятся к 1970-м годам. Можно утверждать, что эта область еще молода и развивается.

Тестирование на проникновение, или пентест теперь предлагается как услуга в сфере информационных технологий и безопасности.

Компании теряют большие деньги из-за утечки данных. По оценке IBM, средний ущерб от утечек в 2020 году составил $3,86 млн долл. При этом половина подобных инцидентов вызвана атаками злоумышленников.

Предотвратить утечку данных помогает тестирование на проникновение, поскольку, помимо прочего, включает имитацию атак. Пентест позволяет выявить реальные уязвимости в IТ-инфраструктуре компаний, а также оценить потенциальный ущерб от действий злоумышленников.

В 2020 году запросы на тестирование на проникновение поступали от компаний из следующих отраслей: финансы, информационные технологии, правительство, энергетика и топливо, медицина, развлечения, телекоммуникации, промышленность. Количество запросов от компаний финансового сектора на услугу тестирования на проникновение было самым высоким.

Сфера информационной безопасности в Казахстане с каждым годом затрагивает все большее количество отраслей и тестирование на проникновение также набирает популярность, так как является одним из ключевых методов оценки безопасности и рисков компании.

В этой статье представлен обзор тестирования на проникновения, как услуги и инструмента для анализа информационной безопасности и оценки уязвимостей. Также в данной работе собраны самые популярные методологии и инструменты для тестирования на проникновение.

Ключевые слова: тестирование на проникновение, пентест, уязвимость, информационная безопасность, кибератака.

Введение

Тестирование на проникновение, или пентест – это санкционированная смоделированная кибератака на компьютерную систему, выполняемая для оценки безопасности системы. Специалисты по тестированию на проникновение используют те же инструменты, методы и процессы, что и злоумышленники, так называемые субъекты киберугроз, чтобы найти и продемонстрировать влияние слабых мест в системе на бизнес.

Тестирование на проникновение осуществляется в форме имитации различных атак, которые могут угрожать бизнесу. Целью тестирование является проверка надежности системы и ее возможность противостоять атакам с аутентифицированных и не аутентифицированных позиций. При правильном охвате пентест может проникнуть в любой аспект системы [1].

Субъекты киберугроз

Субъекты киберугроз – это государства, группы или отдельные лица, которые со злым умыслом стремятся воспользоваться уязвимостями, низкой осведомленностью о кибербезопасности или технологическими разработками для получения несанкционированного доступа к информационным системам для похищения финансовых средств, конфиденциальной информации или иного воздействия на данные, устройства, системы жертв и сети.

Согласно отчетам о расследованиях нарушений конфиденциальности и целостности данных за последние 4 года, проведенным Verizon, обычно атаки осуществляются посторонними лицами, не имеющими прямого подключения и доступа к компании или ее инфраструктуре. Представителями внешних субъектов угроз могут быть киберпреступники, злоумышленники, спонсируемые государством, субъекты, спонсируемые конкурентами, и хактивисты [2].

Сводная статистика субъектов киберугроз представлена на рисунке 1.

Рисунок 1. Статистика субъектов киберугроз.

Анализ информационной безопасности

Основная причина, по которой компании не обеспечивают качественный уровень информационной безопасности, - недостаточная осведомленность руководителей компаний о необходимости обеспечения информационной безопасности. Кроме того, многие руководители считают поддержание должного уровня безопасности очень дорогим.

Однако, в последние годы понимание важности обеспечения информационной безопасности становится более распространенным. Тестирование на проникновение, как услуга в сфере оценки уровня информационной безопасности также набирает популярность на рынке.

Пентест применяется в компаниях для оценки уязвимостей и их предполагаемого влияния на бизнес. Основная цель оценки уязвимостей – выявить уязвимости безопасности в контролируемых условиях, чтобы их можно было устранить до того, как ими воспользуются злоумышленники.

С точки зрения бизнеса, тестирование на проникновение:

• помогает защитить организацию от сбоев, предотвращая финансовые потери;
• обеспечивает должную осмотрительность и соблюдение нормативов отраслевых регулирующих органов, клиентов и акционеров;
• способствует сохранению корпоративного имиджа;
• рационализирует инвестиции в информационную безопасность.

Организации тратят миллионы долларов на восстановление после нарушения безопасности из-за затрат на уведомление, усилий по исправлению, снижения производительности и упущенной выгоды. Исследование CSI оценивает усилия по восстановлению только в 167 713,00 долларов США за инцидент [3]. Тестирование на проникновение может выявлять и устранять риски до того, как произойдут нарушения безопасности, тем самым предотвращая финансовые потери, вызванные нарушениями безопасности.

Стандартами информационной безопасности установлены обязательные нормативные требования к вычислительным системам [4]. Несоблюдение может привести к крупным штрафам, тюремному заключению или закрытию организации. Тестирование на проникновение, как упреждающая услуга, предоставляет неопровержимую информацию, которая помогает организации соответствовать аспектам аудита и нормативным требованиям.

Один единственный инцидент со скомпрометированными данными клиентов может иметь разрушительные последствия. Потеря доверия потребителей и деловой репутации может поставить под угрозу всю организацию [5]. Тестирование на проникновение повышает осведомленность о важности безопасности на всех уровнях организации. Это помогает избежать инцидентов, связанных с безопасностью, которые угрожают ее корпоративному имиджу, ставят под угрозу ее репутацию и влияют на лояльность клиентов.

Тестирование на проникновение оценивает эффективность существующих продуктов безопасности и предоставляет подтверждающие аргументы для будущих инвестиций или обновления технологий безопасности. Он предоставляет веские аргументы в пользу предложения инвестиций в обеспечение информационной безопасности высшему руководству.

Методологии тестирования на проникновение

Тестирование на проникновение делится на несколько видов [6]:

• тесты сетевых служб;
• тесты веб-приложений;
• клиентские тесты;
• тесты беспроводной сети;
• тесты социальной инженерии.

Тестирование сетевых сервисов – самое широкое направление тестирования на проникновение. Оно направлено на обнаружение уязвимостей и векторов атак внутри инфраструктуры компании клиента. Его можно разделить на внешнее и внутреннее, и методы этих подразделений также различаются. Сеть клиента можно тестировать снаружи, имитируя внешний субъект угрозы, и изнутри, имитируя внутреннюю угрозу.

Тест веб-приложений – это проект по выявлению уязвимостей в самом веб-приложении, его плагинах, системе управления контентом, веб-сервере, базе данных и так далее. Иногда сюда также входит анализ исходного кода веб-приложений. В контексте безопасности веб-приложений тестирование на проникновение обычно используется для улучшения брандмауэра веб-приложений.

Тестирование на проникновение на стороне клиента – это акт использования уязвимостей в клиентских приложениях, таких как почтовые клиенты, веб-браузеры, офисные приложения и другие. Его также называют внутренним тестированием. Целью этих тестов является выявление угроз безопасности, возникающих локально.

Тестирование на проникновение в беспроводную сеть имитирует попытку злоумышленника получить доступ к внутренней сети через беспроводную сеть. Он проводится для оценки адекватности различных мер безопасности, предназначенных для защиты от несанкционированного доступа к услугам беспроводной связи.

Тестирование на проникновение с помощью социальной инженерии – это попытка получить некоторый уровень доступа с помощью социальной инженерии к сотрудникам компании, чтобы определить уровень осведомленности сотрудников организации.

Клиент может обратиться за несколькими типами тестирования на проникновение или только за одним, в зависимости от потребностей и уровня инфраструктуры компании.

Инструменты для тестирования на проникновение

Ниже представлены некоторые из наиболее часто используемых инструментов тестирования на проникновение [7]:

• Nmap – инструмент сопоставления сети, используемый для обнаружения хостов и служб в компьютерной сети;
• Metasploit – платформа, используемая для разработки и выполнения эксплойтов против целевой системы;
• Nessus – инструмент сканирования уязвимостей, который выявляет и сообщает об уязвимостях в системах и приложениях;
• OWASP ZAP – инструмент для тестирования безопасности веб-приложений с открытым исходным кодом;
• Burp Suite – комплексная платформа для тестирования безопасности веб-приложений;
• Aircrack-ng – набор инструментов для тестирования безопасности беспроводных сетей;
• Wireshark – анализатор сетевых протоколов, используемый для захвата и анализа сетевого трафика;
• Kismet – инструмент для обнаружения беспроводных сетей;
• sqlmap – инструмент с открытым исходным кодом для автоматизации процесса эксплуатации уязвимостей SQL-инъекций в веб-приложениях;
• John the Ripper – инструмент для взлома паролей, используемый для проверки надежности паролей;
• Backbox – дистрибутив Linux с открытым исходным кодом, специально разработанный для тестирования на проникновение и этического взлома;
• THC Hydra – взломщик сетевого входа, поддерживающий широкий спектр протоколов;
• Angry IP Scanner - быстрый и надежный сканер IP-адресов и портов;
• Acunetix – инструмент для тестирования безопасности веб-приложений, который выполняет автоматическое сканирование и ручное тестирование на проникновение.

Заключение

С операционной точки зрения тестирование на проникновение помогает сформировать стратегию информационной безопасности за счет быстрого и точного выявления уязвимостей. Как следствие - устранение выявленных рисков и осуществление корректирующих действий, а также расширение знаний в области информационной безопасности.

Тестирование на проникновение предоставляет подробную информацию о реальных угрозах безопасности, которые могут быть использованы в преступных целях. Это поможет организации быстро и точно определить реальные и потенциальные уязвимости.

Предоставляя информацию, необходимую для эффективной и действенной изоляции уязвимостей, тестирование на проникновение может помочь организации в тонкой настройке и тестировании изменений или исправлений конфигурации для упреждающего устранения выявленных рисков.

Тестирование на проникновение также может помочь организации количественно оценить последствия и вероятность уязвимостей. Это позволит организации расставить приоритеты и принять корректирующие меры для сообщений об известных уязвимостях.

Процесс проведения теста на проникновение требует много времени, усилий и знаний, чтобы справиться со сложностями тестового пространства. Таким образом, тестирование на проникновение повысит уровень знаний и навыков всех, кто участвует в процессе.

Список литературы

1. Канадский центр кибербезопасности, Киберугроза и субъекты киберугроз, 978-0-660-45950-9, (2022).
2. Verizon, Отчет о расследованиях утечки данных за 2019 год, (2019).
3. Paul Bischoff, Как утечки данных влияют на цены акций на фондовом рынке, (2020)
4. Aileen G. Bacudio, Xiaohong Yuan, Bei-Tseng Bill Chu, Monique Jones, Обзор Тестирования На Проникновение, Международный журнал сетевой безопасности и ее приложений, Vol.3, No.6, (2011).
5. Positive Technologies, Результаты внешних пентестов – 2020, Тестирование на проникновение корпоративных информационных систем, (2020).
6. Chiem Trieu Phong, Wei Qi Yan, Обзор тестирования на проникновение, Международный журнал цифровых преступлений и криминалистики, 25, (2014). https://doi.org/10.4018/ijdcf.2014100104
7. Hessa Mohammed Zaher Al Shebli, Babak D. Beheshti, Изучение процесса и инструментов тестирования на проникновение, Конференция IEEE Long Island Systems, Applications and Technology, (2018). https://doi.org/10.1109/LISAT.2018.8378035.