Что такое Пентест?

Пентест — это взлом информационной системы по договору с Заказчиком, так, как будто это делает «злой» хакер.

Т.е. проверка устойчивости информационной системы к взлому, с информированием Заказчика о выявленных уязвимостях по результатам взлома.

 

Что дает Пентест?

По результатам Пентеста формируется отчет, в котором подробно описываются вектора атаки, выявленные уязвимости, степень их критичности, а также рекомендации по их устранению.

В результате Заказчик получает реальную, а не мнимую картину защищенности своей информационной системы.
А устранив выявленные уязвимости — реально защищенный каменный замок, а не песочный!

 

Виды Пентеста?

Пентест делится по методам, а также объектам тестирования.

Под методами тестирования понимаются «Черный ящик» (Black Box), «Серый ящик» (Grey Box), а также «Белый ящик» (White Box).

Объектами тестирования, как правило являются:

  • Облачная платформа (агрегатор сайтов)
  • ИТ-инфраструктура (внутренняя сеть организации)
  • Веб-приложение (сайт) / оконное приложение / консольное приложение / мобильное приложение / «демон» / сервис / служба
  • Микросервис (модуль сайта)

 

Методы Пентеста?

Как было сказано выше, существует три метода пентеста:

Модель «Черный Ящик» («BlackBox») — минимальное раскрытие информации для аудитора. Основной целью такого режима тестирования является имитация настоящей хакерской атаки для проверки защищенности web-приложения на практике.

Модель «Серый ящик» («Grey box») — частичное раскрытие информации для аудитора.

Модель «Белый ящик» («White box») — полное раскрытие информации для аудитора.

 

Чем отличается Пентест сайта от ИТ-инфраструктуры?

Пентест сайта выполняется для конкретного веб-приложения, а не для серверов, на базе которых осуществляется функционирование всей организации (неких инфраструктурных приложений, типа системы электронного документооборота и др.).

Веб-приложение, например, может состоять из нескольких микросервисов (модулей):

  • личный кабинет
  • подсистема идентификации и аутентификации (авторизации)
  • подсистема регистрации событий безопасности
  • «дашбоард»
  • отчеты
  • панель администратора
  • и мн. др.

А ИТ-инфраструктура — это комплекс серверов, для обслуживания деятельности предприятия, в которые как правило входят:

  • почтовый сервис, например Zimbra
  • корпоративное облачное хранилище, например Seafile
  • сервис управления задачами, например JIRA
  • сервис управления документацией, например CONFLUENCE
  • бухгалтерия, например 1C
  • Хранилище медиаконтента, например NextCloud
  • и др.

Итого, при пентесте хакер взламывает сайт, а при пентесте ИТ-инфраструктуры — корпоративные информационные ресурсы «смотрящие» в Интернет (IP адреса и порты с доступом из Интернет).

 

Пентест сетей

Пентест сетей — это попытка взлома «маршрутизирующего» оборудования и иного «периметрового» оборудования, на границе сетей, с целью пролезть в компьютерную сеть и расширить свои полномочия.

На границе каждой сети устанавливается такое оборудование, как:

  • маршрутизаторы
  • коммутаторы
  • межсетевой экран (также может использоваться в составе маршрутизатора или коммутатора)
  • детектор атак
  • криптошлюз

Каждый компонент информационной системы может иметь уязвимость и в итоге являться «дыркой» в безопасности.

Поэтому очень важно следить за актуальностью прошивки (установка последних обновлений) и рекомендациями производителей по настройке такого сетевого оборудования, с целью устранения выявленных уязвимостей, содержащихся в международном перечне уязвимостей, чтобы избежать взлом системы.

 

Пентест приложения

Под пентестом приложения понимается — попытка взлома запущенного (функционирующего) приложения, потенциально имеющего уязвимости, через которые можно «залезть» в систему глубже и расширить свои полномочия.

Но приложения бывают разные, и поэтому пентест делиться по объектам оценки, таким как:

  • Облачная платформа
  • Веб-приложение
  • Десктопное приложение
  • Консольное приложение
  • «Демон», служба, сервис
  • Микросервис

Внимание: речь не идет об анализе исходного кода, так как это отдельный продукт (услуга).
Анализ исходников осуществляется статическими анализаторами для выявления небезопасных конструкций.

Более подробно про анализ исходного кода смотрите по ссылке.

 

Веб Пентест

Веб Пентест — это взлом веб-приложений (сайтов) конкретной организации / физического лица.

Цели взлома могут быть разные и поэтому обсуждение этого момента мы опустим.

Вектора атак при веб пентесте имеют очень широкий спектр и поэтому озвучим лишь небольшой спектр:

  • Тестирование наличия проверок форм ввода данных (обрезание некорректных данных)
  • Наличие парольных политик (кол-во попыток ввода паролей и др.)
  • Наличие csrf токена
  • SQL injection
  • Проверка наличия устаревших версий ПО с уязвимостями
  • Проверка наличия уязвимости SSL сертификата
  • Возможность захвата клика
  • Недостаточная фильтрация GET запросов

В результате веб пентеста можно, как «задефейсить» веб портал (сайт), так и используя интерпретатор (командную строку) веб сервера — поломать сам веб-сервер и пролезть глубже в систему для расширения полномочий и кражи баз данных и другой интересной хакеру конфиденциальной информации.

 

Внешний пентест

Внешний пентест осуществляется компанией, оказывающей услуги по выявлению и анализу уязвимостей информационных систем (услуги пентеста).

У такой компании должны быть в наличии лицензия ФСТЭК на техническую защиту конфиденциальной информации и опытные специалисты и большим опытом работы.

Внешний пентест проводится для объектов оценки, «смотрящих» в сеть Интернет, т.е. для IP адресов и доменов / поддоменов с доступом в Интернет.

В рамках проекта по внешнему пентесту этичный хакер моделирует попытки взлома, так, как будет это делает реальный — злой хакер.

 

Внутренний пентест

Внутренний пентест проводится для ИТ-инфраструктуры организации.

А в частности для всякого рода серверов, служб и сервисов, наподобии:

  • Сервер 1С Предприятие
  • Файловое хранилище
  • Почтовый сервер
  • Система электронного документооборота
  • Система управления проектами (ERP)
  • Система управления клиентами (CRM)
  • Система бизнес аналитики (BPM)
  • IP-телефония
  • СКУД
  • Видеонаблюдение

В каждом указанном сервисе может быть уязвимость, через которую злоумышленник может пролезть внутрь системы, расширить полномочия и напакостить еще больше (украсть или стереть базу данных).

Поэтому именно для серверов «смотрящих» во вне, т.е. в сеть Интернет — обязательно необходимо периодически проводить пентест, чтобы убедиться в отсутствии «дырок» в текущий момент. А найденные «дырки» залатать.

Итого крепость и репутация компании будут стойкие!

 

Пентест на проникновение

Пентест на проникновение в информационные системы осущесвтялется путем взлома веб-приложения, ИТ-инфраструктуры, облачной платформы или микросервиса с целью выявления уязвимостей, которые может использовать «злой» (не этичный) хакер против данной организации.

Компания, заказав этичный хакинг у опытного пентестера — получает отчет с полным перечнем имеющихся уязвимостей и рекомендациями по их устранению.

Пентест на проникновение необходимо заказывать только у лицензиата ФСТЭК России, так как по закону это лицензируемый вид деятельности.

 

Кто имеет право проводить Пентест?

Пентест может проводить только лицензиат ФСТЭК России на техническую защиту конфиденциальной информации с пунктами «б», «е» в лицензии:

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).

Указанные пункты являются обязательными для вида деятельности «Пентест».

Полные требования к лицензиатам ФСТЭК устанавливаются постановлением Правительства №79 «О лицензировании деятельности по технической защите конфиденциальной информации».

 

Как проводится Пентест?

Для проведения аудита безопасности web-приложения за основу берется международная методология OWASP по тестированию защищенности web-приложений:

The Ten Most Critical Web Application Security Vulnerabilities –The Open Web Application Security Project (OWASP)

Дополнительно используется индивидуальный подход с учетом специфических особенностях web-приложения Заказчика, без нарушения непрерывности его бизнес-процессов. Особое внимание уделяется логическим уязвимостям, обнаружение которых невозможно автоматическими средствами.

 

Аудит ведется с учетом используемых web-приложением технологий и компонентов, включая как server-side уязвимости и атаки, так и client-side:

«Abuse of Functionality»;

«Brute Force»;

«Directory Indexing»;

«Content Spoofing»;

«Credential/Session Prediction»;

«Cross-Site Scripting»;

«Cross-Site Request Forgery»;

«JSONP»

«Cross-Site WebSocket Hijacking (CSWSH)»

 «HTTP Response Smuggling»;

«HTTP Response Splitting»;

«HTTP Request Smuggling»;

«HTTP Request Splitting»;

«LDAP Injection»;

«Null Byte Injection»;

«OS Commanding»;

«Path Traversal»;

«Predictable Resource Location»; «Remote File Inclusion» (RFI)

 

 «Routing Detour»;

«Session Fixation»;

«SOAP Array Abuse»;

«SSI Injection»;

«SQL Injection»;

«URL Redirector Abuse»; «XPath Injection»;

«XML Attribute Blowup»; «XML External Entities»; «XML Entity Expansion»; «XML Injection»;

«XQuery Injection».

 

Программы для Пентеста?

Каждый пентестер использует свой набор программ, который он считает нужным.

Вот пример одного из наборов программ для пентеста:

Acunetix WVS

w3af

HP WebInspect Real-Time

Xspider 7.8

Burpsuite

 Wapiti

skipfish

Scrawlr

WebScarab

Kali linux

 

Услуги Пентеста?

Услуги пентеста, по закону, имеет право проводить только лицензиат ФСТЭК России (лицензия ФСТЭК на техническую защиту конфиденциальной информации).

Стоимость и сроки зависят от масштаба объекта оценки, а также от выбранных заказчиком методов пентеста (Черный ящик, Серый ящик, Белый ящик).

ООО «ЦБИС» имеет полный перечень необходимых лицензий, с которыми вы можете ознакомиться по ссылке.

Также ООО «ЦБИС» имеет большой опыт работы пентеста для крупнейших компаний России:

  • ООО «МЭЙЛ.РУ»
  • ПАО «ИнтерРАО»
  • ООО «МЕДИЦИНАОБОМНЕ»
  • АНО РСВ
  • ИСКРА
  • ЦИФРОВОЙ ПРОРЫВ
  • НАЧНИ ИГРУ
  • ЛИДЕРЫ РОССИИ
  • ЛИДЕРЫ МЕНЯЮТ МИР
  • КЛУБ ЭЛЬБРУС
  • ДРУГОЕ ДЕЛО
  • БОЛЬШЕ ЧЕМ ПУТЕШЕСТВИЕ
  • КУЛЬТУРНАЯ ИНИЦИАТИВА
  • УПРАВЛЯЙ
  • МОЯ СТРАНА – МОЯ РОССИЯ
  • CASE-IN
  • МЕЧТАЙ СО МНОЙ
  • JUNIOR
  • ТВОЙ ХОД
  • МУРАВЬЕВ-АМУРСКИЙ

С отзывами компании вы можете ознакомиться по ссылке.

 

Стоимость Пентеста?

Стоимость по рынку варьируется от 150 тыс. до 6 млн. и в целом зависит от следующих критериев:

  • кол-во объектов для тестирования и связанных с ними объектами (домены/поддомены, сети/подсети, IP-адреса, зеркала, кластеры);
  • необходимость выезда на территорию Заказчика (с выездом или без) и географическая отдаленность;
  • тип тестирования (физическое проникновение, социальная инженерия, удаленное тестирование через Интернет, локальное тестирование — в периметре сети Заказчика);
  • тип тестируемого доступа (проводной или беспроводной доступ);
  • методы тестирования (черный ящик, серый ящик, белый ящик);
  • тестируемый уровень информационной системы (уровень ИТ-инфраструктуры, уровень веб приложения, уровень конкретного микросервиса);
  • ограничения и пожелания по тестируемым технологиям/векторам атак (например только веб доступ или только почта или только wifi и др.);
  • наличие смежных анализов (только пентест или с аудитом кода/функциональным тестированием);
  • формат отчетных документов (по форме исполнителя или заказчика);
  • осведомленность представителей Заказчика о проводимом тестировании;
  • возможность обновления ПО тестируемых объектов со стороны Заказчика в период тестирования;
  • наличие предыдущих отчетов/опыта работ с тестируемым объектом;
  • сроки тестирования, ограничения по времени тестирования и доступности тестируемых объектов, наличие сопровождения от Заказчика (конкретно выделенные люди), порядок взаимодействия представителей Заказчика и Исполнителя, возможные риски (ответственность по договору в случае непреднамеренного повреждения объекта тестирования), наличие у Заказчика бэкапа данных по всем тестируемым объектам, раскрытие методик (наработок/опыта) и инструментов тестирования исполнителя, включая ноу-хау и собственные разработки, организация защищенных каналов связи при тестировании или записи действий исполнителя.

 

Бесплатный Пентест?

Как известно всем — бесплатный сыр только в мышеловке.
Пентест отличается от черного хакерского взлома тем, что он проводится по договору с заказчиком и поэтому считается белым.

Исполнитель несет ответственность за проводимые работы, задействует человеческие ресурсы, использует специальное оборудование (софт, железо) и поэтому такие работы не могут быть бесплатными.

Рекомендуем обращаться только к лицензиату ФСТЭК России с очень опытными специалистами, что подтверждается международными сертификатами и отзывами клиентов о проделанной работе.

 

Сертификация по Пентесту?

Сертификация по пентесту проводится лицензиатами ФСТЭК России, имеющими в штате хакеров с большим опытом работы.

Почему так?

Потому-что согласно постановлению Правительства №79, услуги по контролю защищенности информации подпадают под лицензируемый вид деятельности.

Организация с такой лицензией должна иметь в штате квалифицированный персонал, соответствующий определенным требованиям:

  • Высшее образование или переподготовка по информационной безопасности
  • Стаж работы по профессии от 3-х лет

Но, чтобы проводить такие сложные работы, как пентест, также необходим опыт «ночной жизни» (хакерского взлома).

Только тогда клиент получит действительно качественный отчет с реальными рекомендациями и залатает «дыры» своей системы.

Также нужно учитывать, что согласно приказу ФСТЭК № 21 для информационных систем персональных данных, оценка эффективности реализованных мер проводится не реже 1 (одного) раза в три года.

Такую оценку владелец системы может проводить в виде пентеста, что не запрещено по закону.

 

Пентест ФСТЭК?

На сегодняшний день у ФСТЭК нет методик проведения пентеста информационных систем.

Поэтому пентест проводится по международной методологии OWASP.

Но у ФСТЭК есть методика проведения анализа уязвимостей программного обеспечения, разработанная для испытательных лабораторий и разработчиков программного обеспечения, которые планируют сертифицировать свой продукт в системе обязательной сертификации средств защиты информации по требованиям безопасности информации ФСТЭК России # РОСС RU.0001.01БИ00.

Также, согласно требованиям ФСТЭК и 21 приказа в частности, каждый оператор персональных данных обязан для своих информационных систем персональных данных проводить оценку эффективности реализованных мер защиты персональных данных. Такая оценка вполне может быть проведена в форме пентеста.

В том числе, так как пентест, по сути и оценивает защищенность системы целиком, подтверждая или опровергая эффективность реализованной системы защиты.

 

Этапы пентеста?

Если кратко, то общий порядок этапов проведения пентеста выглядит следующим образом:

1. Стадия сбора информации о доменах, поддоменах и серверах:

1) Различные Search Engine

2) Различные DNS сервера

3) Брутфорс DNS

4) Утечки полезной информации со стороны серверов

5) Утечки полезной информации на найденных приложениях серверов

6) Анализ запущенных сервисов на серверах

7) При отсутствии возможности  анализа в связи использования фаервола попытки обхода

фаерволов

2. Стадия тестирования:

1) Positive testing (сбор дополнительной информации о продукте тестирования)

2) Извлечении доступной инфраструктуры используя всевозможные

задокументированные в RFC методы

3) Фаззинг и изучение имплементации приложений доступных через доступные сервера

4) Penetration testing (тестирование на проникновение в систему)

5) Тестирование серверов

6) Тестирование приложений расположенных на серверах

7) Исходя из разведовательных данных выполнение нужных действий следовательно

внутреннему секретному протоколу

8) Stress testing

9) Стресс-Тестирование серверов

10) Стресс-Тестирование приложений расположенных на серверах

3. Стадия разработки отчёта:

1) Повторное тестирование на наличие угрозы

2) Вычисление уровня риска угрозы с помощью калькулятора CVSS

3) Классификация и систематизация угроз, в рамках отчета

4) Подробное описание угроз

5) Вставка скриншотов, POC (Proof Of Concept) и дополнительной

информации если требуется

6) Написание рекомендаций по устранению и улучшению безопасности системы

4. Стадия перепроверки/дополнительное тестирование:

1) Перепроверка и повторный поиск уязвимостей командой специалистов

2) Дополнение отчёта при найденных уязвимостях по протоколу написания отчёта

3) Перепроверка отчета на ошибки

4) Оформление и конвертирование отчёта в формат PDF

5) Отправка отчёта Заказчику

Примечание: общий план тестирования применяется по усмотрению исполнителя в зависимости от того или иного объекта тестирования и применяемых методик.

 

Отчет по результатам Пентеста?

Отчет как правило включает следующие разделы:

  • 1. ОБЩИЕ СВЕДЕНИЯ
  • 1.1      Основание и сроки проведения работ
  • 1.2      Цель проведения работ
  • 1.3      Задачи проведения работ
  • 1.4      Состав работ
  • 1.5      Границы проведения работ и описание объектов тестирования
  • 1.6      Модели злоумышленника
  • 1.7      Условия проведения тестирования
  • 2. КРАТКОЕ ОПИСАНИЕ РЕЗУЛЬТАТОВ
  • 2.1      Сводный отчет по выявленным уязвимостям и степени их критичности
  • 3. ПОДРОБНОЕ ОПИСАНИЕ РЕЗУЛЬТАТОВ И РЕКОМЕНДАЦИИ ПО УСТРАНЕНИЮ УЯЗВИМОСТЕЙ
  • 4. ЗАКЛЮЧЕНИЕ И ВЫВОДЫ

А выглядит он вот так:

Отчет пентест

 

Заказать Пентест?

Стоимость формируется индивидуально, в основном в зависимости от объекта пентеста и методов тестирования.

Как правило организации заказывают пентест методом «черный ящик», для объектов «смотрящих» в сеть Интернет.

Пентест проводиться удаленно через Интернет в свободном для исполнителя графике — так, как буду-то его проводит реальный ночной житель [хакер].

По результатам пентеста формируется отчет, который сдается заказчику для понимания уязвимостей своей системы.

При необходимости заказчику выдаются пояснения по каждой выявленной уязвимости — для скорейшего закрытия выявленных дыр.

 

Купить Пентест?

Узнать о стоимости пентеста можно нажав кнопку ниже «Заказать звонок» и мы свяжемся с вами за 25 секунд.

Стоимость зависит от типа объекта оценки и выбранных методов тестирования (черный, белый, серый ящик).

ООО ЦБИС имеет богатый опыт проведения данных работ с благодарственными отзывами от клиентов.

В арсенале ООО ЦБИС — штат высококвалифицированных специалистов, имеющих реальный опыт хакинга компьютерных систем и кибервойн.

Полный набор необходимых лицензий — в комплекте.

Обращайтесь и мы обязательно вам поможем.

 

Для оценки точной стоимости пентеста вашего объекта можно поинтересоваться по телефону
ЗАКАЗАТЬ ЗВОНОК