В одной из наших предыдущих статей мы рассмотрели, что такое тест на проникновение, также называемый пентестом. После изучения и определения этого метода теперь необходимо более подробно изучить реализацию пентеста. Цель этой статьи — показать вам, какие существуют типы тестов.
Быстрое напоминание о том, что такое пентест, прежде чем перейти к сути дела
Тестирование на проникновение существует для выявления недостатков безопасности в информационной системе, веб-приложении, мобильном приложении или программном обеспечении. Пентест обнаруживает уязвимости или возможные атаки, имевшие место в системе.
Тест на проникновение (пентест) гораздо более конкретен, чем, например, аудит безопасности. Потому что в нем будет представлен список рекомендаций по действиям, которые необходимо реализовать для повышения безопасности ИС.
Тестирование на проникновение можно проводить двумя способами: либо непосредственно внутри, из внутренней сети организации, либо извне через интернет-соединение.
Человек, обладающий знаниями для проведения пентеста, называется пентестером.
Что такое внешний пентест?
Человек, ответственный за тест, называется пентестером. Он будет действовать так, как если бы он был хакером . Он попытается проникнуть в программное обеспечение, приложение или целевую информационную систему. Для этого в данном случае используются публичные IP-адреса пентестера и цели.
Что такое внутренний пентест?
При выполнении внутреннего пентеста пентестер присутствует во внутренней сети компании. Всегда находясь в позиции атакующего, он попытается атаковать свою цель напрямую через внутреннюю сеть. Действительно, этот тип сценария может представлять собой атаку, исходящую от кого-то, кто подключен к системе, кто уже находится внутри системы (например, сотрудник или любое лицо, имеющее доступ к внутренней сети).
Неосторожное действие со стороны сотрудника, который вставит зараженный USB-ключ на рабочую станцию или передаст поврежденный документ, может спровоцировать утечку данных.
При каких условиях проводится тест на проникновение?
Давайте углубимся еще подробнее, проанализировав жаргон, используемый опытным пентестером: черный ящик, серый ящик и белый ящик.
Что такое черный ящик в контексте пентеста?
Когда пентестер находится в ситуации черного ящика, это означает, что у него нет информации о своей цели. Он ничего не знает, ни паролей, ни идентификаторов и т. д.
В этом типе сценария пентестер начнет свою работу с первого шага углубленного изучения информации о своей цели, такой как, например:
- Общая информация о компании, ее тип, сфера деятельности, история и т. д.
- Сотрудники компании, ее партнеры.
- Географическое расположение учреждения (учреждений) компании.
В случае с черным ящиком пентестер берет на себя роль хакера, который проникает в незнакомую ему организацию.
Что такое серый ящик в контексте пентеста?
У пентестера очень мало информации на старте, перед тестом. Рассмотрение сценария серого ящика может позволить пентестеру работать быстрее и больше сосредоточить свою работу на анализе внутри системы.
Например, пентестер может знать идентификатор и пароль, что поможет ему быстро начать тест.
В этом типе сценария пентестер выполняет роль обычного пользователя, который уже находится внутри целевой компании.
Что такое белый ящик в пентесте?
В рамках белого ящика пентестер находится на месте системного администратора или сетевого администратора организации. У пентестера есть много информации о компании, например: документация по архитектуре сети, учетные записи пользователей для аутентификации, исходный код ПО и т. д.
Белый ящик дает преимущество наиболее полного и тщательного извлечения всех ошибок программного обеспечения или ИС.
Что выбрать?
Тип теста, а также условия владения информацией с самого начала очень важны. Чтобы помочь вам в этом выборе, сделайте его в соответствии со степенью риска, с которым вы сталкиваетесь. Действительно, задайте себе вопрос: от какого типа атаки вы хотите защитить себя?
Пример 1
Вы работаете сетевым менеджером в компании, занимающейся онлайн-банкингом. Вы беспокоитесь о том, сможет ли хакер украсть банковские реквизиты ваших клиентов, которые вы храните. В этом случае проведите тест черного ящика, потому что метод черного ящика ближе всего подходит к сценарию, от которого вы хотите защититься.
Пример 2
Вы являетесь главой компании, занимающейся электронной коммерцией, и у вас серьезный конфликт с одним из ваших сотрудников. Вы опасаетесь худшего, того, что ваш сотрудник отомстит и начнет атаку на ваш сайт электронной коммерции. В таком случае рассмотрите пентест на основе серого ящика, чтобы пентестер имел доступ к тем же данным, что и ваш сотрудник.