1

Пентест: що приховано під білим капюшоном?

Як тільки клієнти не називають доволі популярну послугу зі світу кібербезпеки: пінтест, пейнтест (paintest), тест на проТикнення. А цій послузі, тест на проникнення, вже багато років.

Виходячи з назви, тест на проникнення – це імітація реальної хакерської атаки (з деякими обмеженнями, про які нижче). Отже, якщо це імітація реальної атаки, її мета – знайти можливість отримання доступу до цінних активів компанії та/або людини (фінанси, цінна інформація, тощо).

Відмінності тесту на проникнення (penetration testing, penetration test, pentest, пентест) від реальної хакерської атаки полягають в його обмеженнях:

  1. Закон. Логічно, що всі дії узгоджуються на підставі договору і дозвільних документів від замовника. Чорні хакери дозволу не питають.
  2. Час. Чорні хакери не обмежені у часі, вони можуть роками стежити за «жертвою», виявляючи нові дірки у безпеці (вразливості) в системах, які використовуються, надсилати сотні фішингових листів. У білих, етичних хакерів, є чітко встановлені терміни, які, як правило, обмежені максимум кількома тижнями.
  3. Бюджет. Чорні хакери можуть інвестувати значні кошти в наступальні інструменти, так звану кіберзброю (шкідливе програмне забезпечення), включно з покупкою ексклюзивних експлойтів (0-day, вірусів-шкідників, про які ніхто, крім хакерів, не знає). Білі хакери обмежені бюджетом замовників.
  4. Глибина проникнення. Ясна річ, що чорні хакери нічим не обмежені, в тому числі й можливістю отримання доступу до всіх систем, які можуть «зламати». Етичні хакери мають обмеження – список систем, до яких можна отримати доступ, обмежується замовником (може і не обмежуватися, що буває рідше).

Для компенсації обмежень білі хакери отримують деяке послаблення, порівняно з чорними:

Обсяг відомої про замовника інформації, а також залучення замовника. За термінологією пентеста – це біла, сіра і чорна коробки. Отже, біла коробка передбачає розкриття повної інформації про інфраструктуру, процеси, системи замовника (іноді й аудит вихідного програмного коду), обізнаність всього технічного персоналу про тестування, а чорна – мінімальний обсяг інформації (наприклад, назва організації, сайт і т.п. ) і про тестування знає обмежена кількість співробітників (іноді тільки топ-менеджмент).

У певний момент замовника вже не задовольнив тест на проникнення у класичному вигляді, коли знаходять одну або ланцюжок вразливостей, отримують необхідний доступ і проект завершується. Замовник захотів, аби білі хакери знайшли всі або максимально можливу кількість вразливостей в його системі. Так з’явилася нова послуга – аудит стану кібербезпеки, але в більшості випадків саме її називають тестом на проникнення.

Тест на проникнення сайту, мобільного додатку або програми для персональних комп’ютерів – так називають послуги, які є, по суті, послугою з перевірки безпеки додатку (application security). Іноді до цього додають аудит вихідного коду додатку (source code analysis).

По мірі зростання популярності краудсорсингу (crowdsourcing) пентест також було доповнено цим модним підходом за допомогою bug bounty програм. Ці програми працюють по всьому світу, де замовники – великі міжнародні компанії, а виконавці – білі хакери по всьому світу. Ідея наступна: замовник розміщує на платформі заявку на тестування своєї компанії або продукту (application security), вказує обмеження й розмір винагороди за знайдені вразливості (в залежності від рівня критичності); виконавець (етичний хакер) шукає вразливості та в разі успіху отримує винагороду. Також з’явився й різновид bug bountybug bash, обмежений в часі захід, як правило в рамках великої конференції з тими самими умовами (винагорода за «злам» продукту). Але ці підходи мають й недоліки:

  • Не завжди знайдену вразливість хакер віддає власнику продукту, іноді він продає її набагато дорожче в даркнеті ( «підпільному» інтернеті) або спецслужбам, які використовують такі вразливості для створення кіберзброї. Навіть існують компанії, які заробляють на продажу знайдених вразливостей спецслужбам, наприклад, французька Vupen, італійська Hacking Team, ізраїльська Celebrite і т.д.
  • Теоретично розробники продукту можуть вступати у змову з багбаунтерами: спеціально залишати дірки у безпеці продукту, які швидко «знаходять» певні хакери, а потім ділять прибуток навпіл …

– А можна якось здешевити пентест? Можна просто посканувати наші ресурси автоматичними сканерами для пошуку вразливостей і надати нам звіт?

– Можна!

Так з’явилася послуга зі сканування вразливостей (vulnerability scanning), яку часто продають під назвою – тестування на проникнення, хоча це лише його маленька частина.

Також пентест може проходити під пильною увагою і навіть за умови активної протидії атакам – такі собі тестові кібервійни, які називають red-blue-teaming або redteaming, де червона (red) команда – це команда атакуючих, як правило, зовнішня команда, а синя (blue) команда – команда захисників, як правило – внутрішня.

Отже, що входить до повноцінного пентесту?

Пентест може включати наступні етапи:

  1. Розвідка. Пасивна – пошук всієї доступної інформації у відкритих джерелах (OSINT): дана активність для замовника є непомітною. Активна – використання спеціалізованих інструментів для сканування ресурсів замовника, що може призвести до спрацювання систем виявлення вторгнень.
  2. Аналіз отриманої інформації з попереднього етапу і планування подальших сценаріїв атак.
  3. Спроби тестових атак, запланованих на попередньому етапі. Атаки проводяться в рамках обмежень та в разі потреби під наглядом технічного персоналу замовника, щоб не призвести до збоїв у роботі різних систем.
  4. Результати тестування, викладені у вигляді багаторівневого звіту, що включає інформацію, яка є зрозумілою для бізнес-замовника, технічних менеджерів, а також технічних фахівців.

Тестування на проникнення може охоплювати весь спектр технологій замовника – мережеві, веб, додатки (мобільні, десктоп), інтернет речей (IoT), операційні технології (OT, ICS, SCADA) і т.п. Також до переліку тестових зламів можна додати: внутрішній пентест (розвиток атаки за мережевим периметром), соціальні канали (соціальна інженерія), а також фізичне проникнення на територію замовника з використанням технологій (клонування ID-карт, злам радіоінтерфейсів систем управління доступом, тощо), а іноді навіть із тестовим зламом механічних дверних замків (lockpicking).

Правилом гарного пентесту є перевірка бізнес-логіки додатків і впливу їхніх вразливостей на бізнес-процеси компанії. У такому випадку звіт міститиме інформацію більш корисну для замовника, тобто вона буде зрозумілою не тільки технічним спеціалістам, але й дозволить пріоритезувати критичність знайдених дірок у безпеці конкретного бізнесу.

Ринок пентестінга зростає. Згідно з деякими дослідженнями, він складатиме $3,2 млрд. у 2023 році. Що ж впливає на таке активне зростання? По-перше, збільшення кількості користувачів підключених пристроїв по всьому світу. По-друге, зростання кількості бізнес-додатків на базі веб- і хмарних технологій в організаціях. Очікується, що зростаючі потреби у безпеці Інтернету речей (IoT) і тенденція Bring Your Own Device (BYOD) стимулюватимуть зростання ринку тестування на проникнення в найближчі роки.

Related Posts

card__image

Штучний інтелект може видавати себе за вашу дитину. Кібершахраї використовують нові технології — чи можна цьому протистояти — Віталій Якушев

Стрімкий розвиток технологій створює нові можливості для кіберзлодіїв та нові виклики для тих, хто покликаний їм протистояти. Фахівці попереджають: не виключено, що шахраї, які користуються популярним методом виманювання грошей, невдовзі можуть задіяти створені штучним інтелектом діпфейки родичів потенційної жертви обману.   Згідно з дослідженням Visa Stay Secure, 7 з 10 українців переймаються тим, що їхні […]

card__image

Плинність серед CISO — CISO як головні цапи-відбувайли

Плинність серед CISO (Chief Information security Officer, Директор з інформаційної безпеки) — це прихована загроза у кібербезпеці. Основні ініціативи або впровадження стратегій та програм безпеки можуть тривати довше, ніж резидентство одного CISO.   Середній термін перебування на посаді Директора з інформаційної безпеки від 18 до 24 місяців. Цього ледве вистачить, щоб зорієнтуватися на новому місці. […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *