en ru

Тестирование на проникновение (Pentest)

Тестирование на проникновение (Пентест) — метод оценки безопасности информационных систем или сетей средствами моделирования атаки злоумышленника. Метод включает в себя активное исследование системы на наличие уязвимостей, которые могут спровоцировать неправильную работу целевой системы, либо полный отказ в обслуживании. Исследование ведётся с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Итогом работы является отчёт, содержащий в себе все найденные уязвимости системы безопасности, а также может содержать советы по их устранению. Специалист, проводящий испытание на проникновение, называется пентестером.

В ходе тестирования на проникновение решаются следующие задачи:

  • Проверяется возможность получения доступа к конфиденциальной информации рядовым сотрудником.
  • Оценка бизнес­логики критичных сервисов, с целью определения возможности реализации мошеннических схем.
  • Проверка возможности получения несанкционированного доступа к чувствительной информации (персональные и аутентификационные данные, ключевые файлы конфигурации).
  • Выявляются уязвимости информационной безопасности и варианты их использования.
  • Проверяется возможность повышения своих привилегий рядовым сотрудником.
  • Разрабатываются рекомендации по нейтрализации обнаруженных уязвимостей.

Методика тестирования согласовывается с каждым заказчиком индивидуально. Однако за основу всегда берутся лучшие практики, принятые в отрасли — NIST SP800-115, NIST SP800­1153, BSI (British Standards Institution) Penetration Testing Model, CEH (Certified Ethical Hacker), OWASP Testing Guide v4, OSSTMM (Open Source Security Testing Methodology Manual), OSINT (Open source intelligence), PCI DSS (Payment Card Industry Data Security Standard), WASC (Web Application Security Consortium).

Основные цели для Заказчика?

  • Проверка уровня защищенности организации и получение рекомендаций по устранению найденных уязвимостей при их наличии.
  • Выполнение требований различных стандартов и нормативных документов. Например — требование пункта 11.3 стандарта PCI DSS или требование пункта 2.5.5.1.(П.14.2) Положения Банка России № 382-П. Или выполнение иных требований, установленными договором.

Этапы тестирования на проникновение

  • Внешний анализ защищенности — модель Black Box. Работы проводятся удаленно через интернет: специалисты пытаются организовать ряд атак через публичные ресурсы заказчика.
  • Внутренний анализ защищенности — модель Grey Box или White Box. Заказчик предоставляет удаленный доступ к своей внутренней сети — например, с помощью VPN-соединения. Атаки моделируются с правами рядового сотрудника.

Завершительный этап - Подготовка отчета о тестировании на проникновение

Отчет содержит описание целей проведения тестировании на проникновение, характеристику обследуемой системы, указание границ проведения тестирования и используемых методов, результаты анализа данных тестирования, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности или соответствие её требованиям стандартов, и, конечно, рекомендации пентестера по устранению существующих недостатков и совершенствованию системы защиты. 

Какие услуги мы оказываем?

1.     Анализ защищенности мобильного приложения

Оценка защищенности выполняется в отношении версий приложения для операционных систем на базе Android и iOS. В ходе работ применяются методы статического (Static Application Security Testing) и динамического анализа (Dynamic Application Security Testing) клиентских частей приложений, а также производиться анализ поведения внутренних служб и API принадлежащих серверной части приложений (бэк­энд). В ходе работ используются специализированные фреймворки для проведения атак на веб и мобильные приложения ­ Burp Suite Professional, Mobile Security Framework, Zed Attack Proxy, Frida, а так же специализированный инструментарий ОС Kali Linux 2020.2 и программное обеспечение собственной разработки.

2.     Проведение комплексного тестирования на проникновения

Комплексное тестирование на проникновение выполняется для всех целевых систем Заказчика. Целью данных работ является:

  • Проверка возможности получения несанкционированного доступа к критической информации Заказчика;
  • Проверка возможности получения несанкционированного доступа к платежным данным и данным пользователей;
  • Проверка возможности компрометации Службы каталогов (домена) и критических элементов информационной инфраструктуры КИС;
  • Проверка текущего уровня защиты КИС и публичных сервисов Заказчика по отношению к угрозам, связанным с атаками через сеть Интернет.
  • Демонстрация возможности получения несанкционированного доступа к ресурсам в КИС Заказчика за счет эксплуатации найденных уязвимостей;
  • Разработка рекомендаций по повышению уровня защищённости внешнего периметра КИС и внутренней сети.

В соответствии с методикой, работы выполняются по следующим сценариям Перечня возможных нарушителей:

1. Внешний нелегитимный пользователь (хакер);

2. Внутренний нелегитимный пользователь (гость).

Используемые в ходе работ сценарии, представлены в упрощенной типовой схеме сети на Рисунке 1 и выделены красным цветом.


Этапы работ 

1.     Внешнее тестирование:

  • Получение предварительной информации о КИС Заказчика на основе разведки по открытым источникам (интернет, новости, архив DNS ­записей, архивы объявлений и пр.), выполняемой по методике Open source intelligence (OSINT); 
  • Сбор, идентификация, проверка, систематизация информации, полученной на предыдущем этапе, определение активных узлов и сервисов на внешнем периметре КИС; 
  • Активное сканирование внешнего периметра КИС, идентификация версий и типов запущенных сетевых служб и приложений, с целью выявления оптимальных векторов атаки; 
  • Тестирование веб-­приложений на предмет наличия в них уязвимостей, характерных для веб-­приложений (SQL Injection, Cross­Site Scripting, Сross Site Request Forgery, Command Injection, Path Traversal и др.); 
  • Тестирование сетевых сервисов и приложений, не использующих веб-­интерфейсы (REST API и пр.), на предмет выявления уязвимостей и ошибок в их конфигурации; 
  • Демонстрация Заказчику эксплуатации выявленных уязвимостей, развитие атаки во внутреннюю сеть.

2.     Внутреннее тестирование:

  • Сканирование и сбор информации о внутренней сети Заказчика, построение карты внутренней сети, выявление активных зон;
  • Сканирование портов на активных узлах сети, прослушивание сети (Sniffing), сбор, идентификация, проверка и анализ полученной информации с целью выявления оптимальных векторов атаки;
  • Сбор информации о пользователях, группах и структуре домена Заказчика, с использованием уязвимостей протокола LDAP;
  • Проведение атак направленных на подмену и искажение трафика (MITM, Spoofing), с целью получения несанкционированного доступа к учетным записям сотрудников Заказчика, а также ресурсам и сервисам внутренней сети;
  • Проведение атак на внутренние сервисы и приложения КИС с использованием учетных данных сотрудников, полученных с использованием разведки по открытым источникам и на предыдущем этапе. В ходе атаки применяются методы подбора паролей с использованием перебора грубой силой (Brute­force) и по словарю с использованием наиболее популярных паролей пользователей;
  • Проведение атак на внутренние сервисы и приложения КИС, в которых были обнаружены уязвимости, с целью их валидации и получения несанкционированного доступа к информации.

Узнайте подробнее об услуге
Заполните форму и наши специалисты свяжутся с Вами в ближайшее время