Пентест веб-приложений
При проведении пентеста веб-приложения пентестеры будут иметь доступ к стандартному уровню прав, если это решение используется внутри компании, или доступ к бэк-офису, если это платформа, используемая BtoB или BtoC клиентами.
Если решение используется внутри компании, то задача состоит в том, чтобы пойти дальше тестирования «черного ящика» и найти недостатки, доступные аутентифицированному пользователю. Это позволяет проверить правильность разделения уровней прав, проверить возможности несоответствующего поведения и все технические недостатки, которые могут быть использованы злоумышленником.
Для теста платформы, используемой клиентами, наличие доступа к бэк-офису является актуальным, особенно если существует несколько уровней привилегий для пользователей бэк-офиса, чтобы проверить разделение прав. В противном случае, наличие доступа к бэк-офису может быть полезно для тестирования возможностей доступа к другим частям ИБ. Это может быть использовано для тестирования рисков в случае, если злоумышленник получит контроль над бэк-офисом, либо используя технические недостатки, либо украв идентификаторы.
Частым примером, который мы видим у наших клиентов, является наличие защищенной веб-платформы, когда она предназначена для клиентов BtoB или BtoC. Приложения для внутреннего использования (например, приложение для бэк-офиса) обычно надежно защищены от внешних атак. С другой стороны, как только вы проходите аутентификацию в качестве внутреннего пользователя или администратора, очень часто можно увидеть как недостаток детализации, так и недостаток бдительности в отношении недостатков безопасности.
В некоторых случаях приложения для внутреннего использования плохо защищены даже от внешних атак, потому что они не определены как подлежащие защите, считаются не очень чувствительными или не включены в список объектов, подвергающихся воздействию онлайн. Однако получение контроля над уязвимым веб-приложением может представлять значительный риск, если оно находится на одном сервере с другими веб-приложениями или взаимодействует с другими элементами.
Пентест внутренней сети
Пентест внутренней сети обычно включает в себя рассмотрение внутренней угрозы. Очень редко тесты ограничиваются рисками внешних атак (black box network intrusion test), позволяя, в частности, проверить возможности доступа к сети WI-FI без идентификатора подключения. В этом случае уязвимости в используемых технологиях (WEP/WPS/WPA) могут позволить внешнему злоумышленнику получить доступ к вашей сети.
Как правило, для тестирования внутренней сети пентестеры имеют доступ, как минимум, эквивалентный доступу сотрудников с минимальным уровнем прав на ИБ компании: рабочая станция, стандартная учетная запись в домене, доступ к проводной и/или WI-FI сети и т.д. Это позволяет протестировать разграничение прав (возможности доступа к критическим ресурсам или получения контроля над серверами или рабочими станциями администраторов и т.д.), а также все технические уязвимости, которые могут быть использованы злоумышленником или внешним злоумышленником, получившим доступ к вашей сети.
Тем не менее, не следует пренебрегать или недооценивать риски внутренних атак со стороны пользователей с большими привилегиями в ИБ компании. Действительно, угрозу может представлять каждый, и в большинстве ИТ-команд, например, не все пользователи имеют максимальный уровень доступа. Таким образом, предоставление различных типов доступа (стандартный доступ для сотрудников, а также более высокий специфический доступ) позволяет провести более детальный и полный анализ рисков внутренних атак. Это тем более актуально и важно, если в компании установлены специальные разделы по видам бизнеса (отдельная сеть, доступ к определенным инструментам и т.д.).
Пентест с применением социальной инженерии
В ходе пентеста с применением социальной инженерии пентестеры получают доступ к тому же уровню информации, что и сотрудники компании. В зависимости от ситуации это может быть: полный список имен, должностей и контактных данных, адреса электронной почты, внутренние детали функционирования определенных команд, точная информация об используемых внутренних инструментах и технологиях.
В принципе, уровень информации, предоставляемой пентестерам, будет зависеть от того, что вы хотите протестировать в качестве уровня внутренней угрозы. Предоставление как можно большего объема информации может исказить результаты тестирования, поскольку в большинстве случаев внутренние атаки основаны на частичном знании компании. Вот почему стоит предоставлять только ту информацию, которой действительно обладают сотрудники (деятельность компании, внутренние инструменты, организационные схемы, контактные данные), чтобы пентестеры могли построить и выполнить реалистичные сценарии атак.
Конкретные примеры тестов по социальной инженерии, которые соответствуют рискам со стороны внутреннего злоумышленника или человека, получившего информацию о компании:
- Рассылка новостей о происходящем в компании, чтобы заставить людей открыть фишинговое письмо.
- Использование знаний о взаимоотношениях между различными отделами компании и людьми, которые там работают, чтобы выдать себя за кого-то.
- Зная инструменты, используемые внутри компании, клонировать их и пытаться украсть идентификаторы.