Атаки типа «отказ в обслуживании» или DoS-атаки регулярно попадают в новости, поскольку их последствия могут быть значительными. Цель таких атак — заставить сервер, сетевую инфраструктуру, приложение перестать отвечать на запросы. Вывести их из строя.
Как защитить себя? Вы можете проверить свою устойчивость к DoS-атакам в рамках теста на проникновение.
DoS-атаки? DDoS?
Для атаки типа «отказ в обслуживании» (DoS), а также распределенной атаки типа «отказ в обслуживании» (DDoS) существует две стратегии атаки:
- перегрузка оборудования (пропускная способность, брандмауэр, IPS, балансировщик нагрузки и т. д.).
- использование уязвимости в приложении, чтобы сделать его недоступным.
DoS или DDoS атака может длиться от нескольких минут до нескольких дней, в зависимости от ресурсов атакующего.
Особенность DDoS-атак заключается в том, что несколько устройств одновременно атакуют цель. Проведение DDoS-тестов в рамках пентеста не представляет особого интереса для компании, заказывающей аудит, поскольку всегда можно вывести из строя сервис, если выделить на это необходимые ресурсы (в основном вопрос «ресурсов» стоит как на стороне атакующего, так и на стороне атакуемого).
С другой стороны, проведение тестов DoS-атак позволяет обнаружить уязвимости на уровне конфигурации или приложения, для которых возможно устранение. Устранение обычно связано с конфигурацией или может потребоваться изменение функциональности.
Каковы риски при проведении пентеста, включающего тестирование DoS-атак?
Теоретически, риски различны: они могут варьироваться от падения производительности до падения сервера в самых тяжелых случаях.
Как можно снизить риски во время проведения пентеста?
Исключение DoS-тестов снизит риски во время пентеста, но не в случае реальной атаки злоумышленника!
Напротив, проведение DoS-тестов может снизить риск атак типа «отказ в обслуживании» на компанию. Чтобы сделать эти тесты приемлемыми во время аудита безопасности, необходимо принять во внимание несколько аспектов:
- Будет ли пентест проводиться на производственной среде или на тестовой?
- В контексте производственного пентеста можно специально провести DoS-тесты на предпроизводственной среде, чтобы ограничить риски.
- Если весь пенттест проводится на производстве, можно проводить DoS-тесты в подходящие дни/время, чтобы ограничить перебои в работе пользователей.
Коммуникация между командой, ответственной за проведение пентеста, и технической командой клиента является важным моментом: чем больше команда клиента будет доступна и готова реагировать в случае необходимости, тем больше будет возможность ограничить последствия возможного инцидента.
Наконец, следует помнить, что правильно проведенный пентест несет гораздо меньше риска, чем реальная атака: существует постоянный контроль за тем, что делается. DoS-атаки тестируются постепенно: если целевой сервис быстро замедляется, нет необходимости пускать в ход тяжелую артиллерию! Более того, тест, который может вызвать отказ в обслуживании, останавливается сразу после достижения этой точки отказа. Служба может завершить свою обработку и будет недоступна лишь на короткое время.