Тесты на проникновение направлены на выявление технических уязвимостей, которые злоумышленники могут использовать для прорыва нашей защиты. В отличие от традиционных аудитов информационной безопасности, в этих тестах аудиторы сосредотачиваются не на изучении процедур или анализе документации, а на реальных попытках взлома системы безопасности с использованием методов, инструментов и знаний, которыми чаще всего владеют киберпреступники.
Единственное различие между тестами на проникновение и реальными попытками вторжения или взлома данных заключается в намерениях проверяющих (известных как пентестеры). Тесты на проникновение проводятся для поиска, документирования и устранения уязвимостей до того, как с ними столкнутся реальные преступники.
Тесты на проникновение «черный ящик» и «белый ящик»
Различают два разных подхода к процессу проведения тестов на проникновение. Они зависят от входной информации, доступной пентестеру (а в реальной атаке — злоумышленнику). В отсутствие какой-либо информации о тестируемой (атакуемой) инфраструктуре мы говорим о тестах на проникновение методом «черного ящика». Они отражают реальные атаки, которые могут быть осуществлены извне компании злоумышленниками, не имеющими представления о наших системах.
В случае предоставления аудитору физического доступа, паролей, исходных кодов, документации или других данных, описывающих тестируемые системы, то мы говорим о тестах на проникновение методом «белого ящика». Такой аудит чаще всего проводится с целью выявления угроз, которые могут исходить от конкретных лиц с определенным уровнем полномочий. Его цель, например, определить, могут ли сотрудники организации, не имеющие соответствующего разрешения, получить доступ к конфиденциальным данным. В случае с программным обеспечением, с другой стороны, тестирование на проникновение методом «белого ящика» также позволяет найти потенциальные ошибки в исходном коде, которые может быть трудно выявить с помощью метода «черного ящика».
Существует также промежуточный подход — тесты на проникновение методом «серого ящика», которые сочетают в себе элементы первых двух методов. Они выполняются наиболее часто и предполагают сначала попытки «черного ящика», а в случае неудачи — попытки «белого ящика», основанные на заполненной информации, повышенных привилегиях или предоставленном физическом доступе.
Тестирование на проникновение и риск
Тесты на проникновение связаны с определенной долей риска. Как я уже упоминал во введении, они часто используют инструменты и методы, применяемые злоумышленниками в реальных атаках. Следует помнить, что такие инструменты создаются с учетом максимальной эффективности, и их авторам не приходится беспокоиться о побочных эффектах от их использования. Если доступ к данным или системе требует уничтожения или отключения доступа к другим сервисам, преступники не будут беспокоиться. С другой стороны, пентестеры должны помнить о непрерывности бизнес-процессов. Поэтому важно убедиться, что правила тестирования установлены должным образом. Прежде чем приступать к проведению испытаний рекомендуется включить в договор с подрядчиком информацию о том, могут ли пентестеры нарушить работу определенных систем и в каких случаях, каковы критерии оценки риска и кто несет ответственность за любой ущерб. Также стоит заранее подумать о необходимости восстановления определенных ресурсов в случае, если что-то пойдет не так.
Безопасность и конфиденциальность
Из-за только что упомянутых рисков, а также из-за критического характера информации, содержащейся в итоговом отчете, тесты на проникновение следует поручать только тем подрядчикам, которые гарантируют высочайший уровень конфиденциальности и профессионализма. Помимо рекомендаций, стоит проверить, имеет ли подрядчик признанные в отрасли сертификаты, свидетельствующие не только о компетентности, но и о высоком уровне профессиональной этики. Мы бы точно не хотели, чтобы пентестеры, вовлеченные в работу, рассказывали случайным людям анекдоты об ошибках, найденных в нашей инфраструктуре.
Наличие сертифицированных компетенций также гарантирует, что тесты на проникновение будут проведены в соответствии с одной из известных методологий, которые включают, например:
- OSSTMM (Руководство по методологии тестирования безопасности с открытым исходным кодом);
- NIST SP 800-115 (Техническое руководство по тестированию информационной безопасности);
- PTES (стандарт выполнения тестов на проникновение);
- Руководство по тестированию OWASP.
Заключение
Тесты на проникновение обычно вызывают много сомнений и опасений, особенно у тех, кто отвечает за тестируемую инфраструктуру. Такой подход хотя и понятен, но не совсем оправдан. Стоит помнить, что в индустрии безопасности не существует государства, которое можно назвать на 100% безопасным. Это связано с тем, что в каждой системе есть слабые места, и каждый аудит даст определенные результаты в виде указания областей для улучшения. Их следует рассматривать не как свидетельство некомпетентности, а как возможность улучшить безопасность до того, как она будет нарушена злоумышленниками.
Тестирование на проникновение может дополнить программу аудита, которая также может включать:
- Аудит информационной безопасности;
- Социальную инженерию;
- Аудит персональных данных.
Читайте наш обзор лучших компаний, специализирующихся на проведении пентеста.