Что такое Тестирование на проникновение?

Тестирование на проникновение — это официальная процедура взлома компьютерной системы, по договору с заказчиком работ, в результате которой он получает отчет о выявленных уязвимостях и рекомендации по их устранению.

Тестирование на проникновение осуществляется для различных типов объектов (компонентов) информационной системы, как в комплексе (целиком), так и по отдельности (Облачная платформа, ИТ-инфраструктура, Веб-приложение, Микросервис).

 

Что дает Тестирование на проникновение?

Тестирование на проникновение необходимо для выявления уязвимостей информационной системы, закрытия «дыр» и минимизации репутационного риска владельца системы.

Тестирование на проникновение позволяет вывить все уязвимые места системы на текущий момент и избежать хакерского захвата! Владельцам системы лучше заказать белый хакинг, чем пострадать от черного.

Выявив критическую уязвимость, типа RCE возможно сделать с системой практически все, что угодно.

От выполнения команд веб-сервера, до выполнения команд консоли (командной строки).

 

Виды Тестирование на проникновение?

Тестирование на проникновение делится на три вида тестирования:

  • «Черный ящик» (Black Box)
  • «Серый ящик» (Grey Box)
  • «Белый ящик» (White Box)

Также тестирование на проникновение делится по объектам тестирвоания:

  • Облачная платформа (платформа с множеством сайтов)
  • ИТ-инфраструктура (компьютерная сеть компании)
  • Веб-приложение (сайт) / оконное приложение / консольное приложение / мобильное приложение / «демон» / сервис / служба
  • Микросервис (конкретный модуль / сервис сайта)

 

Методы Тестирования на проникновение?

Как было сказано выше, существует три метода тестирования на проникновение:

Модель «Черный Ящик» («BlackBox») — Модель тестирования с минимальным раскрытием информации для аудитора. Основной целью такого режима тестирования является имитация настоящей хакерской атаки для проверки защищенности web-приложения на практике.

Модель «Серый ящик» («Grey box») — Модель тестирования с частичным раскрытием информации для аудитора.

Модель «Белый ящик» («White box») — Модель тестирования с максимальным раскрытием информации для аудитора, включая административный доступ на тестируемые сервера, к имеющимся исходным кодам и документации тестируемых ИТ-сервисов компании. Данный метод используется для максимально полного выявления уязвимостей, обычно при первых комплексных аудитах в компании и наоборот, когда компания уже проводила не один аудит, все уязвимости были исправлены и требуется найти более сложные и трудоемкие вектора атак.

 

Тестирование приложений на проникновение?

В качестве приложений для тестирования на проникновение могут выступать разные типы приложений:

  • Облачная платформа
  • Веб-приложение
  • Консольное приложение
  • Оконное приложение
  • Мобильное приложение
  • «Демон» / сервис / служба

Как вы видите, типов приложений несколько и поэтому нельзя сказать, что тестирование на проникновение обычно проводится только для одного типа объекта тестирования.

В зависимости от того, какой тип продукта имеется у того или иного заказчика (вендора) / эксплуататора информационной системы — заказывается соответствующий тип и метод тестирования на проникновение (черный, белый, серый ящик).

 

Инструменты тестирования на проникновение?

У каждого пентестера имеются в арсенале свои инструменты (программы) для аудита.

Но, в качестве типового набора, можем привести следующий набор средств контроля защищенности:

Acunetix WVS

w3af

HP WebInspect Real-Time

Xspider 7.8

Burpsuite

 Wapiti

skipfish

Scrawlr

WebScarab

Kali linux

 

Как проводится тестирование на проникновение?

Тестирование проводится не по методикам ФСТЭК России, а по международной методике OWASP:

The Ten Most Critical Web Application Security Vulnerabilities –The Open Web Application Security Project (OWASP)

Проверяются настройки веб-приложения и его окружения на предмет уязвимостей, в том числе логических:

«Application Misconfiguration»;

«Directory Indexing»;

«Improper Filesystem Permissions»;

«Improper Input Handling»;

«Improper Output Handling»;

«Information Leakage»;

«Insecure Indexing»;

 

 «Insufficient Anti-automation»;

«Insufficient Authentication»;

«Insufficient Authorization»;

«Insufficient Password Recovery»;

«Insufficient Process Validation»;

«Insufficient Session Expiration»;

«Insufficient Transport Layer Protection»; «Server Misconfiguration».

 

Тестирование на проникновение в сеть?

Под тестированием на проникновение в сеть понимается попытка взлома компьютерной системы через уязвимые элементы, которые могут быть:

  • Само веб-приложение
  • Отдельный микросервис веб-приложения
  • Веб или FTP сервер
  • Маршрутизатор / коммутатор
  • Межсетевой экран / детектор атак
  • Криптошлюз

Да, уязвимым элементом системы может быть специализированное средство защиты, типа межсетевого экрана и детектора атак. Почему? Потому что это такой же софт, который разработал тот или иной вендор и борется с возможными и уже выявленными уязвимостями данного софта. Не все это понимают, но по факту это так.

 

Внешнее тестирование на проникновение?

Под внешним тестированием на проникновение понимается тестирование объекта оценки через Интернет, т.е. сканирование и выявление уязвимостей IP-адресов и портов, «Смотрящих» в сеть.

Внешний аудитор осуществляет попытки взлома объекта оценки в таком ключе, как будто это делает черный хакер.

Разница лишь в том, что этот взлом заказал сам заказчик и он получит подробный отчет по результатам взлома, с рекомендациями по их устранению.

Внешний аудит может проводить только лицензиат ФСТЭК России, т.е. компания с действующей лицензией на техническую защиту конфиденциальной информации.

В указанной лицензии должны быть пункты «б» и «е».

 

Тестирование на проникновение web приложений?

Под тестированием на проникновение web приложений понимается аудит безопасности (проверка наличия уязвимостей) в конкретном web приложении.

В качестве объекта оценки может выступать как отдельный сайт, так и облачная платформа с тысячами сайтов.

Также в качестве объекта оценки может выступать микросервис заданного родительского web приложения.

Границы объекта оценки определяет сам заказчик, а также желаемый метод тестирования (Черный, Белый, Серый ящик).

По результатам тестирования формируется отчет с подробными рекомендациями по устранению выявленных уязвимостей.

 

Отчет по результатам Тестирования на проникновение?

Как правило, отчет по результатам тестирования на проникновение содержит следующие разделы:

  • Общие сведения
  • Основание и сроки проведения работ
  • Цель проведения работ
  • Задачи проведения работ
  • Состав работ
  • Границы проведения работ и описание объектов тестирования
  • Модели злоумышленника
  • Условия проведения тестирования
  • Краткое описание результатов
  • Сводный отчет по выявленным уязвимостям и степени их критичности
  • Подробное описание результатов и рекомендации по устранению уязвимостей
  • Заключение и выводы

А выглядит он вот так:

Отчет тестирование на проникновение

 

Тестирование на проникновение веб приложений?

Под тестированием на проникновение веб приложения понимается тестирование конкретного сайта.

Для тестирования методом черного ящика, достаточно только адреса домена сайта.

А для тестирования методом серого ящика также потребуются доступы ко всем типам учёток веб приложения.

По результатам моделирования атак от каждого типа субъекта доступа — белый хакер формирует отчет, в котором подробно расписывает как ему получилось взломать систему и как он рекомендует закрыть выявленные уязвимости.

В процессе тестирования также возможен слив базы данных для демонстрации «дырявости» системы и представления «мясистого» отчета заказчику.

 

Тестирование информационной системы на проникновение?

Под тестированием информационной системы на проникновение понимается белый (этичный) хакинг ИТ-инфраструктуры заказчика — по договору и с отчетом по результатам тестирования.

В качестве ИТ-инфраструктуры обычно рассматриваются следующие системы организации:

  • бухгалтерская система, например 1С Предприятие
  • система управления персоналом, например 1С Кадры
  • система электронного документооборота, например ДоксВижн
  • система управления клиентами, например МегаПлан
  • система хранения данных, например Seafile
  • система корпоративной почты, например Exchange
  • система управления задачами, например Jira

Итого в каждой организации как минимум с 10 (десяток) корпоративных информационных систем, функционирующие на специализированном софте, через который возможно залезть в систему.

Да-да, практически каждый элемент системы является потенциально уязвимым и поэтому этичный хакинг просто необходим.

 

Тестирование на проникновение сайта?

Под тестированием на проникновение сайта понимаются попытки взлома веб приложения, размещенного на том или ином веб сервере. Сайт может быть размещен как на хостинге, так и на собственном сервере в офисе компании.

При тестировании на проникновении сайта осуществляется поиск страниц сайта с небезопасным кодом, анализ фрагментов кода, инъекции кода в адресную строку, попытки ввода некорректных значений в поля ввода данных и другие действия для выявления брешей в безопасности сайта — для дальнейшего прохода и расширения полномочий.

Векторов атак очень много и поэтому вот лишь некоторые из них:

  • «Abuse of Functionality»
  • «Brute Force»
  • «Directory Indexing»
  • «Content Spoofing»
  • «Credential/Session Prediction»
  • «Cross-Site Scripting»
  • «Cross-Site Request Forgery»
  • «JSONP»
  • «Cross-Site WebSocket Hijacking (CSWSH)»

 

Тестирование на проникновение мобильных приложений?

Да, в качестве объекта тестирования на проникновение может выступать мобильное приложение.
Это особый тип объекта оценки, так как он функционирует не на обычном десктопном компьютере, а на мобильной платформе (смартфоне).

Но и такой особый объект оценки можно подвергнуть тестированию на проникновение.

Для этого необходимо определить перечень мобильных платформ, на базе которых объект оценки может функционировать и методы тестирования (белый, серый, черный ящик).

Работы проводятся по договору — за фиксированную стоимость и срок.

По результатам тестирования заказчик получает отчет, который содержит не только подробное описание выявленных уязвимостей, но и рекомендации по их устранению.

 

Этапы Тестирования на проникновение?

В качестве общих этапов проведения тестирования на проникновение можно выделить:

  • Планирование мероприятий по выявлению и анализу уязвимостей.
  • Проведение тестирования системы для выявления уязвимостей.
  • Анализ выявленных в результате тестирования уязвимостей.
  • Выработка рекомендаций по устранению выявленных уязвимостей.

Этапы работ по договору обычно выглядят следующим образом:

  • Выявление уязвимостей Web-приложения.
  • Документирование результатов выявления уязвимостей̆, включая оценку критичности выявленных уязвимостей̆ и ошибок конфигурации.
  • Разработка рекомендаций по устранению выявленных уязвимостей̆.
  • Проверка наличия уязвимостей по результатам их устранения.

Внимание: порядок и условия работ для того или иного объекта тестирования, как правило определяются индивидуально и закрепляются в техническом задании к договору или в самом договоре.

 

Тестирование на проникновение ФСТЭК?

В соответствии с требованиями 21 приказа ФСТЭК России, не реже чем 1 раз в три года, каждый оператор персональных данных обязан проводить оценку эффективности реализованных мер защиты персональных данных в информационной системе персональных данных.

Но, требования 21 приказа не регламентируют форму оценки соответствия и поэтому, каждый оператор персональных данных самостоятельно определяет такую форму оценки.

Тестирование на проникновение, как форма оценки реальной защищенности информационной системы — вполне подходит в качестве указанной оценки эффективности.

 

Тестирование на проникновение и пентест?

Для не посвященных — термин «тестирование на проникновение» и «пентест» — это одинаковые термины, отличающиеся лишь длиной 🙂

Больший интерес лишь может вызывать термин — аудит кода, так как он проводится не на запущенной (функционирующей) системе, а только лишь по файлам исходных текстов (по исходникам), с использованием специализированных сканеров исходных текстов.

Подробнее про аудит кода смотрите по ссылке.

 

Хакинг и тестирование на проникновение?

Есть ли разница между хакингом и тестированием на проникновение?

Если под тестированием на проникновение понимать «этичный хакинг», а под хакингом — черный взлом, то за этичный «не прилетит».

Этичный хакинг заказывают разного рода организации, чтобы обезопасить свои корпоративные информационные ресурсы от взлома черных хакеров.

Хакинг же наоборот, заказывают например, конкуренты, чтобы закинуть в сеть конкурента злой вирус и убрать конкурента с рынка.

 

Методология тестирования на проникновение?

В России, ни у ФСТЭК России, ни у Росстандарта методик проведения тестирования на проникновение в информационные системы — нет.

Поэтому, до сих пор все аудиторы пользуются международной методологией OWASP, которая расшифровывается как «The Ten Most Critical Web Application Security Vulnerabilities –The Open Web Application Security Project».

Однако, у ФСТЭК России имеется методика проведения анализа уязвимостей отдельного программного обеспечения, планируемого к проведению сертификации в системе сертификации ФСТЭК России.

Данная методика подробно описывает процесс проведения такого анализа и требования к нему.

Также у Росстандар имеются:

  • ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей»
  • ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем»
  • ГОСТ Р 58142-2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 1. Использование доступных источников для идентификации потенциальных уязвимостей» (неэквивалентен ISO/IEC TR 20004:2015)
  • ГОСТ Р 58143-2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения» (неэквивалентен ISO/IEC TR 20004:2015)

Внимание: указанные требования относятся именно к программному обеспечению, а не к информационной системе целиком. Поэтому ее нельзя считать методикой анализа уязвимостей информационной системы.

 

Заказать Тестирование на проникновение?

ООО ЦБИС имеет полный набор лицензий, необходимых для оказания услуг по тестированию на проникновение.

В штате ООО ЦБИС имеются опытные хакеры с огромным опытом работы, работающие в белом поле (пентест, сертификация, аттестация программного обеспечения и информационных систем).

Все услуги оказываются по договору, за фиксированную стоимость и срок — с гарантией конфиденциальности полученных данных.

Среди постоянных заказчиков ООО ЦБИС такие компании как:

  • ООО «МЭЙЛ.РУ»
  • ПАО «ИнтерРАО»
  • ООО «МЕДИЦИНАОБОМНЕ»
  • АНО РСВ
  • ИСКРА
  • ЦИФРОВОЙ ПРОРЫВ
  • НАЧНИ ИГРУ
  • ЛИДЕРЫ РОССИИ
  • ЛИДЕРЫ МЕНЯЮТ МИР
  • КЛУБ ЭЛЬБРУС
  • ДРУГОЕ ДЕЛО
  • БОЛЬШЕ ЧЕМ ПУТЕШЕСТВИЕ
  • КУЛЬТУРНАЯ ИНИЦИАТИВА
  • УПРАВЛЯЙ
  • МОЯ СТРАНА – МОЯ РОССИЯ
  • CASE-IN
  • МЕЧТАЙ СО МНОЙ
  • JUNIOR
  • ТВОЙ ХОД
  • МУРАВЬЕВ-АМУРСКИЙ

С отзывами компании вы можете ознакомиться по ссылке.

 

Купить Тестирование на проникновение?

Чтобы купить услугу тестирования на проникновение вам необходимо нажать кнопку «Заказать звонок».

Мы свяжемся с вами и подробно проконсультируем по объектам и методам тестирования, а также стоимости и срокам.

Как правило, услуги по тестированию оказываются по договору — за фиксированную стоимость и срок.

Исполнитель работ дает гарантию конфиденциальности результатов и несет финансовую ответственность за оказываемые услуги.

Обращайтесь.

 

Для оценки точной стоимости тестирования на проникновение можно поинтересоваться по телефону
ЗАКАЗАТЬ ЗВОНОК