УДК 004
Обзор тестирования на проникновение как инструмента для анализа информационной безопасности
Самбурская София Александровна – тьютор кафедры Кибербезопасности Международного университета информационных технологий (Республика Казахстан, Алматы).
Аннотация: Первые упоминания о создании команды по тестированию на проникновение относятся к 1970-м годам. Можно утверждать, что эта область еще молода и развивается.
Тестирование на проникновение, или пентест теперь предлагается как услуга в сфере информационных технологий и безопасности.
Компании теряют большие деньги из-за утечки данных. По оценке IBM, средний ущерб от утечек в 2020 году составил $3,86 млн долл. При этом половина подобных инцидентов вызвана атаками злоумышленников.
Предотвратить утечку данных помогает тестирование на проникновение, поскольку, помимо прочего, включает имитацию атак. Пентест позволяет выявить реальные уязвимости в IТ-инфраструктуре компаний, а также оценить потенциальный ущерб от действий злоумышленников.
В 2020 году запросы на тестирование на проникновение поступали от компаний из следующих отраслей: финансы, информационные технологии, правительство, энергетика и топливо, медицина, развлечения, телекоммуникации, промышленность. Количество запросов от компаний финансового сектора на услугу тестирования на проникновение было самым высоким.
Сфера информационной безопасности в Казахстане с каждым годом затрагивает все большее количество отраслей и тестирование на проникновение также набирает популярность, так как является одним из ключевых методов оценки безопасности и рисков компании.
В этой статье представлен обзор тестирования на проникновения, как услуги и инструмента для анализа информационной безопасности и оценки уязвимостей. Также в данной работе собраны самые популярные методологии и инструменты для тестирования на проникновение.
Ключевые слова: тестирование на проникновение, пентест, уязвимость, информационная безопасность, кибератака.
Введение
Тестирование на проникновение, или пентест – это санкционированная смоделированная кибератака на компьютерную систему, выполняемая для оценки безопасности системы. Специалисты по тестированию на проникновение используют те же инструменты, методы и процессы, что и злоумышленники, так называемые субъекты киберугроз, чтобы найти и продемонстрировать влияние слабых мест в системе на бизнес.
Тестирование на проникновение осуществляется в форме имитации различных атак, которые могут угрожать бизнесу. Целью тестирование является проверка надежности системы и ее возможность противостоять атакам с аутентифицированных и не аутентифицированных позиций. При правильном охвате пентест может проникнуть в любой аспект системы [1].
Субъекты киберугроз
Субъекты киберугроз – это государства, группы или отдельные лица, которые со злым умыслом стремятся воспользоваться уязвимостями, низкой осведомленностью о кибербезопасности или технологическими разработками для получения несанкционированного доступа к информационным системам для похищения финансовых средств, конфиденциальной информации или иного воздействия на данные, устройства, системы жертв и сети.
Согласно отчетам о расследованиях нарушений конфиденциальности и целостности данных за последние 4 года, проведенным Verizon, обычно атаки осуществляются посторонними лицами, не имеющими прямого подключения и доступа к компании или ее инфраструктуре. Представителями внешних субъектов угроз могут быть киберпреступники, злоумышленники, спонсируемые государством, субъекты, спонсируемые конкурентами, и хактивисты [2].
Сводная статистика субъектов киберугроз представлена на рисунке 1.
Рисунок 1. Статистика субъектов киберугроз.
Анализ информационной безопасности
Основная причина, по которой компании не обеспечивают качественный уровень информационной безопасности, - недостаточная осведомленность руководителей компаний о необходимости обеспечения информационной безопасности. Кроме того, многие руководители считают поддержание должного уровня безопасности очень дорогим.
Однако, в последние годы понимание важности обеспечения информационной безопасности становится более распространенным. Тестирование на проникновение, как услуга в сфере оценки уровня информационной безопасности также набирает популярность на рынке.
Пентест применяется в компаниях для оценки уязвимостей и их предполагаемого влияния на бизнес. Основная цель оценки уязвимостей – выявить уязвимости безопасности в контролируемых условиях, чтобы их можно было устранить до того, как ими воспользуются злоумышленники.
С точки зрения бизнеса, тестирование на проникновение:
- помогает защитить организацию от сбоев, предотвращая финансовые потери;
- обеспечивает должную осмотрительность и соблюдение нормативов отраслевых регулирующих органов, клиентов и акционеров;
- способствует сохранению корпоративного имиджа;
- рационализирует инвестиции в информационную безопасность.
Организации тратят миллионы долларов на восстановление после нарушения безопасности из-за затрат на уведомление, усилий по исправлению, снижения производительности и упущенной выгоды. Исследование CSI оценивает усилия по восстановлению только в 167 713,00 долларов США за инцидент [3]. Тестирование на проникновение может выявлять и устранять риски до того, как произойдут нарушения безопасности, тем самым предотвращая финансовые потери, вызванные нарушениями безопасности.
Стандартами информационной безопасности установлены обязательные нормативные требования к вычислительным системам [4]. Несоблюдение может привести к крупным штрафам, тюремному заключению или закрытию организации. Тестирование на проникновение, как упреждающая услуга, предоставляет неопровержимую информацию, которая помогает организации соответствовать аспектам аудита и нормативным требованиям.
Один единственный инцидент со скомпрометированными данными клиентов может иметь разрушительные последствия. Потеря доверия потребителей и деловой репутации может поставить под угрозу всю организацию [5]. Тестирование на проникновение повышает осведомленность о важности безопасности на всех уровнях организации. Это помогает избежать инцидентов, связанных с безопасностью, которые угрожают ее корпоративному имиджу, ставят под угрозу ее репутацию и влияют на лояльность клиентов.
Тестирование на проникновение оценивает эффективность существующих продуктов безопасности и предоставляет подтверждающие аргументы для будущих инвестиций или обновления технологий безопасности. Он предоставляет веские аргументы в пользу предложения инвестиций в обеспечение информационной безопасности высшему руководству.
Методологии тестирования на проникновение
Тестирование на проникновение делится на несколько видов [6]:
- тесты сетевых служб;
- тесты веб-приложений;
- клиентские тесты;
- тесты беспроводной сети;
- тесты социальной инженерии.
Тестирование сетевых сервисов – самое широкое направление тестирования на проникновение. Оно направлено на обнаружение уязвимостей и векторов атак внутри инфраструктуры компании клиента. Его можно разделить на внешнее и внутреннее, и методы этих подразделений также различаются. Сеть клиента можно тестировать снаружи, имитируя внешний субъект угрозы, и изнутри, имитируя внутреннюю угрозу.
Тест веб-приложений – это проект по выявлению уязвимостей в самом веб-приложении, его плагинах, системе управления контентом, веб-сервере, базе данных и так далее. Иногда сюда также входит анализ исходного кода веб-приложений. В контексте безопасности веб-приложений тестирование на проникновение обычно используется для улучшения брандмауэра веб-приложений.
Тестирование на проникновение на стороне клиента – это акт использования уязвимостей в клиентских приложениях, таких как почтовые клиенты, веб-браузеры, офисные приложения и другие. Его также называют внутренним тестированием. Целью этих тестов является выявление угроз безопасности, возникающих локально.
Тестирование на проникновение в беспроводную сеть имитирует попытку злоумышленника получить доступ к внутренней сети через беспроводную сеть. Он проводится для оценки адекватности различных мер безопасности, предназначенных для защиты от несанкционированного доступа к услугам беспроводной связи.
Тестирование на проникновение с помощью социальной инженерии – это попытка получить некоторый уровень доступа с помощью социальной инженерии к сотрудникам компании, чтобы определить уровень осведомленности сотрудников организации.
Клиент может обратиться за несколькими типами тестирования на проникновение или только за одним, в зависимости от потребностей и уровня инфраструктуры компании.
Инструменты для тестирования на проникновение
Ниже представлены некоторые из наиболее часто используемых инструментов тестирования на проникновение [7]:
- Nmap – инструмент сопоставления сети, используемый для обнаружения хостов и служб в компьютерной сети;
- Metasploit – платформа, используемая для разработки и выполнения эксплойтов против целевой системы;
- Nessus – инструмент сканирования уязвимостей, который выявляет и сообщает об уязвимостях в системах и приложениях;
- OWASP ZAP – инструмент для тестирования безопасности веб-приложений с открытым исходным кодом;
- Burp Suite – комплексная платформа для тестирования безопасности веб-приложений;
- Aircrack-ng – набор инструментов для тестирования безопасности беспроводных сетей;
- Wireshark – анализатор сетевых протоколов, используемый для захвата и анализа сетевого трафика;
- Kismet – инструмент для обнаружения беспроводных сетей;
- sqlmap – инструмент с открытым исходным кодом для автоматизации процесса эксплуатации уязвимостей SQL-инъекций в веб-приложениях;
- John the Ripper – инструмент для взлома паролей, используемый для проверки надежности паролей;
- Backbox – дистрибутив Linux с открытым исходным кодом, специально разработанный для тестирования на проникновение и этического взлома;
- THC Hydra – взломщик сетевого входа, поддерживающий широкий спектр протоколов;
- Angry IP Scanner - быстрый и надежный сканер IP-адресов и портов;
- Acunetix – инструмент для тестирования безопасности веб-приложений, который выполняет автоматическое сканирование и ручное тестирование на проникновение.
Заключение
С операционной точки зрения тестирование на проникновение помогает сформировать стратегию информационной безопасности за счет быстрого и точного выявления уязвимостей. Как следствие - устранение выявленных рисков и осуществление корректирующих действий, а также расширение знаний в области информационной безопасности.
Тестирование на проникновение предоставляет подробную информацию о реальных угрозах безопасности, которые могут быть использованы в преступных целях. Это поможет организации быстро и точно определить реальные и потенциальные уязвимости.
Предоставляя информацию, необходимую для эффективной и действенной изоляции уязвимостей, тестирование на проникновение может помочь организации в тонкой настройке и тестировании изменений или исправлений конфигурации для упреждающего устранения выявленных рисков.
Тестирование на проникновение также может помочь организации количественно оценить последствия и вероятность уязвимостей. Это позволит организации расставить приоритеты и принять корректирующие меры для сообщений об известных уязвимостях.
Процесс проведения теста на проникновение требует много времени, усилий и знаний, чтобы справиться со сложностями тестового пространства. Таким образом, тестирование на проникновение повысит уровень знаний и навыков всех, кто участвует в процессе.
Список литературы
- Канадский центр кибербезопасности, Киберугроза и субъекты киберугроз, 978-0-660-45950-9, (2022).
- Verizon, Отчет о расследованиях утечки данных за 2019 год, (2019).
- Paul Bischoff, Как утечки данных влияют на цены акций на фондовом рынке, (2020)
- Aileen G. Bacudio, Xiaohong Yuan, Bei-Tseng Bill Chu, Monique Jones, Обзор Тестирования На Проникновение, Международный журнал сетевой безопасности и ее приложений, Vol.3, No.6, (2011).
- Positive Technologies, Результаты внешних пентестов – 2020, Тестирование на проникновение корпоративных информационных систем, (2020).
- Chiem Trieu Phong, Wei Qi Yan, Обзор тестирования на проникновение, Международный журнал цифровых преступлений и криминалистики, 25, (2014). https://doi.org/10.4018/ijdcf.2014100104
- Hessa Mohammed Zaher Al Shebli, Babak D. Beheshti, Изучение процесса и инструментов тестирования на проникновение, Конференция IEEE Long Island Systems, Applications and Technology, (2018). https://doi.org/10.1109/LISAT.2018.8378035.