Тестування на проникнення: базована тема для кібербезпеки

У цій статті ми детально розповімо про те, що таке тест на проникнення,  чому про нього так багато говорять і для чого він вашій компанії. 

Що таке тест на проникнення?

Тест на проникнення (penetration testing) або пентест це процес імітації атак і витоку даних для пошуку вразливостей, недоліків та слабких місць в безпеці. Тобто група пентестерів діє як справжні хакери та використовує вразливості системи для отримання адміністративного доступу або доступу до конкретної інформації.

Основною метою пентесту є виявлення вразливостей, якими можуть скористатися зловмисники. Тестування на проникнення намагається скомпрометувати систему організації, щоб виявити слабкі місця в системі безпеки. 

«Сліпий» тест на проникнення, який означає, що служби безпеки та операційні групи не знають про це, є найкращим тестом захисту організації. Однак, навіть якщо тест відомий внутрішнім командам, він може діяти як вправа з безпеки, яка оцінює, як інструменти, люди та методи безпеки взаємодіють у реальній життєвій ситуації.

Тестування на проникнення зазвичай неструктуроване та творче. Наприклад, у той час як один тест може використовувати атаку грубою силою, інший тест може атакувати керівників компанії за допомогою фішингу. Ця креативність важлива, оскільки досвідчені зловмисники використовуватимуть ті самі навички та креативність, щоб виявити слабкі місця безпеки організації.

Ще одна перевага тестувальників проникнення полягає в тому, що вони проводяться зовнішніми підрядниками, і можна визначити, скільки інформації про внутрішні системи потрібно оприлюднити. Тест на проникнення може імітувати зовнішнього зловмисника, який не знає внутрішньої мережі, або привілейованого внутрішнього користувача.

В яких випадках необхідно регулярно проводити пентест?

Організації використовують тестування на проникнення для великих і складних критично важливих для бізнесу операцій, а також для спеціальних компонентів.

Пентест необхідний для розробки програмного забезпечення, яке обробляє конфіденційні дані, такі як фінансові активи, інформація про клієнтів і дані транзакцій. Це потрібно як для стартапів так і для вже відомих гравців ринку розробки софта.

Чутливі сектори, зокрема державні, медичні та фінансові установи, суворо регулюються, тому вимагають жорстких заходів безпеки.

Індустрія розваг є ласим шматочком для хакерів, оскільки вона має багато привабливих конфіденційних даних. Крім того, пентест є необхідним кроком для отримання сертифікату TPN.

Відповідність стандартам безпеки. Норми, які регулюють бізнес-діяльність у таких галузях, як фінанси, торгівля, охорона здоров’я, транспорт, енергетика тощо, зазвичай містять положення та правила, пов’язані з кібербезпекою. Тест на проникнення є необхідним для отримання відповідності стандартам безпеки і проводиться для того, щоб перевірити, наскільки ефективна система кібербезпеки підприємства на даний момент. Таким чином організація може точно знати:

1. Чи безпечна інфраструктура чи є вразливі місця в безпеці.
2. Якщо вразливі місця існують, як ними можуть скористатися зловмисники.
3. Чи можуть зловмисники отримати контроль над діяльністю підприємства.
4. Якої шкоди потенційно можуть завдати зловмисники.
5. Які ефективні дії може вжити організація, щоб виявити несанкціонований доступ і запобігти витоку даних.

Відповідно, така діагностика дозволяє дати певні гарантії, достатні для підтвердження того, що обов’язкові заходи безпеки дотримані та ефективні. Що, у свою чергу, може слугувати передумовою для стандартизації або забезпечення відповідності.

Найпоширеніші стандарти та норми безпеки, які вимагають проведення пентесту на регулярній основі:

• PCI DSS
• NIST
  
• SOC 2
  
• ISO 27001
  
• GDPR
  

Детальніше про значення тестування на проникнення для отримання сертифікації та відповідності читайте в нашій статті "Тестування на проникнення для відповідності стандартам безпеки (Compliance)".

Що необхідно перевіряти на вразливості?

Мережу

Тестування на проникнення в мережу - термін «тестування мережі», також відомий як тестування інфраструктури, відноситься до типу пентесту, який виконується з метою захисту організації від типових мережевих атак.

Мета пентесту мережевих служб полягає в тому, щоб виявити найбільш помітні слабкі місця безпеки та вразливості в мережі, перш ніж зловмисники зможуть скористатися цими сліпими плямами.

Пентест мережевих служб зазвичай перевіряє різні компоненти інфраструктури, включаючи сервери та міжмережеві екрани, комутатори та маршрутизатори, робочі станції та принтери.

В ідеалі перевірка мережевих служб може допомогти вам захиститися від поширених мережевих атак, таких як неправильна конфігурація міжмережевого екрану, атаки на маршрутизатор, атаки на комутації або маршрутизації, атаки на бази даних, атаки людини посередині (MITM), атаки на проксі-сервер тощо.

Оскільки критично важливі системи покладаються на працездатність мережі для безперервної доступності, організації повинні проводити тестування зовнішніх і внутрішніх мережевих служб щонайменше раз на рік.

Веб-ресурси

Метою пентесту веб-ресурсів є виявлення слабких місць безпеки або вразливості у веб-додатках та їх компонентах, включаючи вихідний код, базу даних і будь-яку відповідну серверну мережу. 

В даний час WordPress залишається найпопулярнішою системою управління контентом (CMS), але також вважається головною мішенню для кіберзлочинців. Веб-сайти на WordPress, як і будь-які інші веб-сайти, можуть бути вразливими до різних кіберзагроз. Ось деякі поширені кіберзагрози, спрямовані саме на веб-сайти:

1. Атака методом «грубої сили», або брутфорс 

2. SQL-ін’єкція 

3. Міжсайтовий сценарій (XSS)

4. Міжсайтова підробка запитів (CSRF)

5. Зараження зловмисним програмним забезпеченням

6. Вразливі теми та плагіни

7. Атаки на відмову в обслуговуванні (DoS) і розподілені атаки на відмову в обслуговуванні (DDoS)

8. Експлойти включення файлів

9. Фішингові атаки

10. Неавторизований доступ до інформаційної панелі адміністратора WordPress

Детальніше про кібербезпеку для сайтів на WordPress читайте в нашій статті “Головні поради щодо захисту вашого сайту на WordPress”.

Фізична безпека

Тестування на фізичне проникнення виконується з метою виявлення будь-яких вразливостей і проблем у фізичних активах, таких як замки, камери, датчики та бар’єри, які можуть призвести до злому.

Наприклад, фізичний пентест може оцінити, чи можуть зловмисники отримати несанкціонований доступ до серверної кімнати. Цей доступ може служити точкою входу в корпоративну мережу.

Тестування на фізичне проникнення також може оцінити, як організація справляється із загрозами фізичній безпеці, як-от соціальна інженерія, клонування бейджів та інше.

Наприкінці цього пентесту організація отримує інформацію про виявлені недоліки фізичної безпеки та пропозиції щодо їх усунення.

Тестування на проникнення соціальної інженерії

Атака соціальної інженерії спрямована на співробітників компанії або сторін, які мають доступ до активів компанії, намагаючись переконати, обманом або шантажем змусити їх розкрити інформацію та облікові дані.

Пентест соціальної інженерії намагається визначити, як організація справляється під час атаки соціальної інженерії. Наприкінці цього тесту організація отримує інформацію, яка може допомогти створити або покращити програму підвищення обізнаності щодо соціальної інженерії та відповідні протоколи безпеки.

Мобільні додатки

Пентест мобільних додатків намагається виявити вразливі місця в мобільних додатках. Цей тест не включає сервери та мобільні API.

Тестування мобільних програм на проникнення зазвичай передбачає використання двох наступних тестів:

Бездротові мережі

Тест на проникнення в бездротову мережу має на меті виявити неправильні конфігурації авторизованого бездротового обладнання, а також наявність незаконних точок доступу, і допомагає виявити недоліки шифрування та вразливості WPA.

Переваги тестування на проникнення

1. Виявлення недоліків в архітектурі самої системи та методах забезпечення її безпеки;
2. Виявлення недоліків і вразливостей в системі безпеки, в тому числі невеликих, які самі по собі не сильно впливають на безпеку, але разом або в сукупності можуть становити реальну загрозу безпеці;
3. Гнучкість, яка дозволяє моделювати практично будь-яку можливу хакерську атаку максимально реалістично.

У той же час тест на проникнення може бути трудомістким і, отже, дорогим. Також слід враховувати, що вибір підрядника безпосередньо впливає на якість самого пентесту, а отже і на висновки, на основі яких будуть внесені зміни в систему захисту інформації.

Як часто проводити тестування на проникнення

Згідно зі звітом Pen Testing Report за 2023 рік, більшість фахівців з кібербезпеки (38%) проводять тест на проникнення один або два рази на рік. Зрештою, немає жорсткої, конкретної цифри. Це залежатиме від розміру вашої організації, масштабу, у якому ви хочете запустити тести, і типу ресурсів, які ви хочете використовувати.

Взагалі, тестування на проникнення рекомендовано проводити регулярно (принаймні раз на рік), щоб забезпечити більш узгоджене управління безпекою ІТ та мережі шляхом виявлення того, як нещодавно виявлені загрози (0-дні, 1-дні) або нові вразливості можуть бути використані зловмисними хакерами.

На додаток до регулярних аналізів і оцінок, які вимагаються такими нормативними актами, як GDPR, тести PCI-DSS також слід проводити, коли:

• Додано нову мережеву інфраструктуру або програми
• Значні оновлення або модифікації застосовуються до інфраструктури або програм
  
• Встановлюються нові офіси
  
• Застосовуються виправлення безпеки
  
• Політики кінцевих користувачів змінено

Важливість повторного тестування

Однією з найважливіших причин для частішого тесту на ручку є необхідність повторного тестування. Повторне тестування передбачає виконання тих самих тестів, що й попередній сеанс тестування пера, щоб переконатися, що спроби виправлення були успішними. Іноді вносяться зміни, щоб усунути недоліки безпеки, виявлені під час тестів на проникнення, але лише припускається, що ці заходи достатньо усувають ці проблеми. Як дізнатися, що ці дії спрацювали, якщо не перевірити це? Навіть прості помилки, такі як відсутність перезавантаження системи після застосування патча, можуть спричинити збереження слабкості системи. Повторне тестування порівняно з базовим рівнем початкового тесту гарантує, що вдосконалення успішно впроваджено, а прогалини в безпеці закриті.

Звіт з пентесту: що має містити

Провайдер який проводить тестування на проникнення як результат своєї роботи повинен надати детальний звіт про процес тестування та виявлені вразливості. Звіт про тестування на проникнення є єдиним реальним продуктом пентесту. Загальна мета тесту на проникнення полягає у виявленні вразливостей і проблем безпеки, які організація може виправити, і про це повідомляється у звіті. Таким чином, тестувальник на проникнення повинен забезпечити створення найкращого звіту.

Звіт про тест на проникнення містить детальний огляд слабких місць системи, що тестується. У ньому також описано, як вирішити проблеми, включаючи рекомендації щодо виправлення, посилення та обмеження функціональності систем, коли це необхідно.

Екперти ESKA завжди пишуть звіти таким чином, щоб вони були корисними і зрозумілими не тільки технічним спеціалістам, а і власникам або іншим співробітникам компанії бех технічного бекграунду. Крім того, ми окрім опису вразливості з подальшими рекомендаціями для її виправлення, уточнюємо вплив, який вони мають вплив на бізнес клієнта та наслідки. Звіти повинні пропонувати клієнтам практичні рішення щодо ризиків.

В цій статті ми описали базові важливі аспекти та компоненти тестування на проникнення, однак це лише верхівка айсберга.

Зв’яжіться з експертами ESKA, щоб обговорити, як тестування на проникнення допоможе вам посилити стійкість до кібератак і вбереже від зламів і витоку даних.

Прочитати детальніше про послугу Тестування на проникнення