1

Пентест: що приховано під білим капюшоном?

Як тільки клієнти не називають доволі популярну послугу зі світу кібербезпеки: пінтест, пейнтест (paintest), тест на проТикнення. А цій послузі, тест на проникнення, вже багато років.

Виходячи з назви, тест на проникнення – це імітація реальної хакерської атаки (з деякими обмеженнями, про які нижче). Отже, якщо це імітація реальної атаки, її мета – знайти можливість отримання доступу до цінних активів компанії та/або людини (фінанси, цінна інформація, тощо).

Відмінності тесту на проникнення (penetration testing, penetration test, pentest, пентест) від реальної хакерської атаки полягають в його обмеженнях:

  1. Закон. Логічно, що всі дії узгоджуються на підставі договору і дозвільних документів від замовника. Чорні хакери дозволу не питають.
  2. Час. Чорні хакери не обмежені у часі, вони можуть роками стежити за «жертвою», виявляючи нові дірки у безпеці (вразливості) в системах, які використовуються, надсилати сотні фішингових листів. У білих, етичних хакерів, є чітко встановлені терміни, які, як правило, обмежені максимум кількома тижнями.
  3. Бюджет. Чорні хакери можуть інвестувати значні кошти в наступальні інструменти, так звану кіберзброю (шкідливе програмне забезпечення), включно з покупкою ексклюзивних експлойтів (0-day, вірусів-шкідників, про які ніхто, крім хакерів, не знає). Білі хакери обмежені бюджетом замовників.
  4. Глибина проникнення. Ясна річ, що чорні хакери нічим не обмежені, в тому числі й можливістю отримання доступу до всіх систем, які можуть «зламати». Етичні хакери мають обмеження – список систем, до яких можна отримати доступ, обмежується замовником (може і не обмежуватися, що буває рідше).

Для компенсації обмежень білі хакери отримують деяке послаблення, порівняно з чорними:

Обсяг відомої про замовника інформації, а також залучення замовника. За термінологією пентеста – це біла, сіра і чорна коробки. Отже, біла коробка передбачає розкриття повної інформації про інфраструктуру, процеси, системи замовника (іноді й аудит вихідного програмного коду), обізнаність всього технічного персоналу про тестування, а чорна – мінімальний обсяг інформації (наприклад, назва організації, сайт і т.п. ) і про тестування знає обмежена кількість співробітників (іноді тільки топ-менеджмент).

У певний момент замовника вже не задовольнив тест на проникнення у класичному вигляді, коли знаходять одну або ланцюжок вразливостей, отримують необхідний доступ і проект завершується. Замовник захотів, аби білі хакери знайшли всі або максимально можливу кількість вразливостей в його системі. Так з’явилася нова послуга – аудит стану кібербезпеки, але в більшості випадків саме її називають тестом на проникнення.

Тест на проникнення сайту, мобільного додатку або програми для персональних комп’ютерів – так називають послуги, які є, по суті, послугою з перевірки безпеки додатку (application security). Іноді до цього додають аудит вихідного коду додатку (source code analysis).

По мірі зростання популярності краудсорсингу (crowdsourcing) пентест також було доповнено цим модним підходом за допомогою bug bounty програм. Ці програми працюють по всьому світу, де замовники – великі міжнародні компанії, а виконавці – білі хакери по всьому світу. Ідея наступна: замовник розміщує на платформі заявку на тестування своєї компанії або продукту (application security), вказує обмеження й розмір винагороди за знайдені вразливості (в залежності від рівня критичності); виконавець (етичний хакер) шукає вразливості та в разі успіху отримує винагороду. Також з’явився й різновид bug bountybug bash, обмежений в часі захід, як правило в рамках великої конференції з тими самими умовами (винагорода за «злам» продукту). Але ці підходи мають й недоліки:

  • Не завжди знайдену вразливість хакер віддає власнику продукту, іноді він продає її набагато дорожче в даркнеті ( «підпільному» інтернеті) або спецслужбам, які використовують такі вразливості для створення кіберзброї. Навіть існують компанії, які заробляють на продажу знайдених вразливостей спецслужбам, наприклад, французька Vupen, італійська Hacking Team, ізраїльська Celebrite і т.д.
  • Теоретично розробники продукту можуть вступати у змову з багбаунтерами: спеціально залишати дірки у безпеці продукту, які швидко «знаходять» певні хакери, а потім ділять прибуток навпіл …

– А можна якось здешевити пентест? Можна просто посканувати наші ресурси автоматичними сканерами для пошуку вразливостей і надати нам звіт?

– Можна!

Так з’явилася послуга зі сканування вразливостей (vulnerability scanning), яку часто продають під назвою – тестування на проникнення, хоча це лише його маленька частина.

Також пентест може проходити під пильною увагою і навіть за умови активної протидії атакам – такі собі тестові кібервійни, які називають red-blue-teaming або redteaming, де червона (red) команда – це команда атакуючих, як правило, зовнішня команда, а синя (blue) команда – команда захисників, як правило – внутрішня.

Отже, що входить до повноцінного пентесту?

Пентест може включати наступні етапи:

  1. Розвідка. Пасивна – пошук всієї доступної інформації у відкритих джерелах (OSINT): дана активність для замовника є непомітною. Активна – використання спеціалізованих інструментів для сканування ресурсів замовника, що може призвести до спрацювання систем виявлення вторгнень.
  2. Аналіз отриманої інформації з попереднього етапу і планування подальших сценаріїв атак.
  3. Спроби тестових атак, запланованих на попередньому етапі. Атаки проводяться в рамках обмежень та в разі потреби під наглядом технічного персоналу замовника, щоб не призвести до збоїв у роботі різних систем.
  4. Результати тестування, викладені у вигляді багаторівневого звіту, що включає інформацію, яка є зрозумілою для бізнес-замовника, технічних менеджерів, а також технічних фахівців.

Тестування на проникнення може охоплювати весь спектр технологій замовника – мережеві, веб, додатки (мобільні, десктоп), інтернет речей (IoT), операційні технології (OT, ICS, SCADA) і т.п. Також до переліку тестових зламів можна додати: внутрішній пентест (розвиток атаки за мережевим периметром), соціальні канали (соціальна інженерія), а також фізичне проникнення на територію замовника з використанням технологій (клонування ID-карт, злам радіоінтерфейсів систем управління доступом, тощо), а іноді навіть із тестовим зламом механічних дверних замків (lockpicking).

Правилом гарного пентесту є перевірка бізнес-логіки додатків і впливу їхніх вразливостей на бізнес-процеси компанії. У такому випадку звіт міститиме інформацію більш корисну для замовника, тобто вона буде зрозумілою не тільки технічним спеціалістам, але й дозволить пріоритезувати критичність знайдених дірок у безпеці конкретного бізнесу.

Ринок пентестінга зростає. Згідно з деякими дослідженнями, він складатиме $3,2 млрд. у 2023 році. Що ж впливає на таке активне зростання? По-перше, збільшення кількості користувачів підключених пристроїв по всьому світу. По-друге, зростання кількості бізнес-додатків на базі веб- і хмарних технологій в організаціях. Очікується, що зростаючі потреби у безпеці Інтернету речей (IoT) і тенденція Bring Your Own Device (BYOD) стимулюватимуть зростання ринку тестування на проникнення в найближчі роки.

Related Posts

card__image

Технологія обману. Що таке Deception і як обманюють хакерів

Ви напевно чули про ханіпоти — цілі-приманки, які дозволяють через атаку на них відстежити хакерів. В останні роки ця технологія еволюціонувала і тепер носить загальну назву Deception.   Слово deception перекладається з англійської як обман. Ця назва дуже влучно характеризує суть рішення — адже щоб упіймати атакуючого, пастки мають не відрізнятися від справжніх сервісів.   […]

card__image

Опитування Fortinet: причина 80% кіберзламів — брак навичок з кібербезпеки

«Нестача навичок — це не лише проблема браку талантів, але й серйозний вплив на бізнес, що робить його головною причиною занепокоєння керівників у всьому світі», —  Сандра Вітлі, старший віце-президент з маркетингу, аналізу загроз і комунікацій Fortinet.   Згідно з глобальним звітом Fortinet, опублікованим у березні 2022 року, недостатній рівень навичок з кібербезпеки та брак […]

card__image

Дві з трьох організацій у 2021 році постраждали від атак програм-вимагачів

Відсоток організацій, що постраждали від атак програм-вимагачів, підскочив до 66% у 2021 році, що на 29% більше, ніж у минулому. Оскільки атаки стають складнішими, організації краще долають наслідки, але мають складнощі, щоб запобігти атакам.   Це один із висновків дослідження The State of Ransomware 2022, проведеного компанією Sophos.   88% організацій повідомили, що вони мають […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься.