Более чем для 70% компаний, проанализированных в рамках исследований Positive Technologies, внешний атакующий способен проникнуть во внутреннюю сеть и получить привилегии в критически важных для бизнеса системах, при этом в половине случаев он способен развить атаку вплоть до получения полного контроля над IТ-инфраструктурой.
Тест на проникновения может проводиться для периметра корпоративной сети (внешний тест) и для внутренних ресурсов (внутренний тест). Работы могут проводиться с уведомлением администраторов и пользователей тестируемой системы, либо без него (Red Team Test). В ходе внутреннего тестирования может использоваться как ноутбук аудитора, так и стандартное рабочее место пользователя Заказчика.
В процессе тестирования используются как инструментальные средства, так и ручные методы анализа.
В общем случае порядок проведения работ следующий:
- Получение предварительной информации о сети Заказчика. Используются те же источники информации, которые доступны злоумышленникам (Интернет, новости, конференции).
- Составление карты сети, определение типов устройств, ОС, приложений по реакции на внешнее воздействие.
- Идентификация уязвимостей сетевых служб и приложений.
- Анализ WEB-приложений Заказчика. С помощью автоматизированных утилит и ручными методами детектируются следующие уязвимости: внедрение операторов SQL (SQL Injection), межсайтовое исполнение сценариев (Cross-Site Scripting), подмена содержимого (Content Spoofing), выполнением команд ОС (OS Commanding), уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации и пр.
- Эксплуатации уязвимостей. Методы и инструментарий выбираются индивидуально для каждого типа уязвимости. Используются как общедоступные утилиты, так и инструментарий собственной разработки.
- По согласованию с Заказчиком могут проводиться базовые работы по контролю защищенности беспроводных сетей.
- По согласованию с Заказчиком может производиться проверка устойчивости внешнего периметра и открытых ресурсов на атаки типа отказа в обслуживании. Производится оценка степени устойчивости сетевых элементов и возможного ущерба при проведении наиболее вероятных сценариев подобных атак.
- Проверка устойчивости сети к атакам на канальном уровне. Производится моделированием атак на протоколы канального уровня STP, VTP, CDP, ARP.
- Анализ сетевого трафика. В случае проведения работ в сети Заказчика или при получении такой возможности в ходе эксплуатации уязвимостей проводится анализ сетевого трафика с целью получения важной информации (пароли пользователей, конфиденциальные документы и пр.).
- Проверка устойчивости маршрутизации. Производится моделированием фальсификации маршрутов и проведения атаки типа отказа в обслуживании против используемых протоколов маршрутизации.
- Проверка возможности получения злоумышленником несанкционированного доступа к конфиденциальной информации или информации ограниченного доступа Заказчика. Производится проверкой прав доступа к различным информационным ресурсам Заказчика с привилегиями, полученными на различных этапах тестирования.
- Полученная в ходе анализа уязвимостей и попыток их эксплуатации информация документируется и анализируется для выработки рекомендаций по улучшению защищенности сети.
Результатом работы будет являться отчет, содержащий:
- Методику проведения теста.
- Выводы для руководства, содержащие общую оценку уровня защищенности.
- Описание выявленных недостатков СУИБ.
- Описание хода тестирования с информацией по всем выявленным уязвимостям и результатам их эксплуатации.
- Рекомендации по устранению выявленных уязвимостей.
- При оценке критичности обнаруженных уязвимостей используется методика Common Vulnerability Scoring System (CVSS), что позволяет использовать результаты тестирования на проникновения в качественных и количественных методиках анализа риска.
Логическим продолжением теста на проникновение могут являться работы:
- Проектирование и внедрение систем защиты
- Проектирование и внедрение системы управления уровнем защищенности
- Мониторинг защищенности периметра корпоративной сети