Що таке пентест?

Програмне забезпечення гарантовано має помилки. У програмному забезпеченні може бути багато тисяч рядків коду, і людська помилка означає, що принаймні деякі з них не будуть повними, як задумано. Життєвий цикл розробки програмного забезпечення – це процес, розроблений для того, щоб мінімізувати ці проблеми шляхом регулярного тестування.

Проблема полягає в тому, що тестування часто проводять розробники, які, можливо, навчилися щось кодувати, але не навчилися безпечних методів кодування. Навіть у ретельно перевірених системах зовнішній погляд і нова перспектива можуть допомогти виявити нові проблеми.

Поширений спосіб, яким це робиться, — це тест на проникнення, який зазвичай скорочується до пентесту. Для цього потрібно залучити професійного, етичного хакера, пентестера, який перевірить систему та знайде будь-які проблеми з безпекою.

Порада: це «pentest» і «pentester», а не «pen ​​test». Пентестер не перевіряє ручки. «Проба пером» є трохи більш прийнятною, ніж «проба ручкою», але її також слід уникати.

Мета пентесту

Метою будь-якого пентесту є виявлення всіх вразливостей системи, що тестується, і повідомлення про них клієнту. Зазвичай, однак, зобов’язання дещо обмежені в часі залежно від вартості. Якщо в компанії є внутрішній пентестер або команда пентестів, вони можуть постійно працювати в компанії. Тим не менш, багато компаній, які мають для цього масштаб, мають широкий портфель систем, які необхідно перевірити. Це включає як продукти, що продаються, так і бізнес-системи компанії.

Таким чином, вони не можуть витрачати весь свій час на тестування однієї речі. Багато компаній вважають за краще найняти зовнішню компанію з пентестування для виконання зобов’язань. Це все ще обмежено в часі залежно від вартості. Вартість обумовлена ​​тим фактом, що пентест – це дуже ручний процес, і цього набору навичок бракує.

Як правило, пентест охоплює певний часовий проміжок. Це робиться на основі відповідної цілі та того, скільки часу потрібно, щоб бути достатньо впевненим, щоб знайти все. Часова шкала для пошуку вразливостей зазвичай є дзвоноподібною. Не так багато знайдено миттєво, коли пентестер переглядає програму. Тоді переважну більшість результатів можна досягти протягом певного періоду часу, перш ніж зменшуватись. У якийсь момент витрати на додатковий час на пошуки не варті ймовірності, що більше нічого знайти.

Іноді навіть названа ціна за рекомендований час виявляється занадто великою. У цьому випадку тест може бути «обмеженим за часом». Тут клієнт визнає, що він не тестує стільки, скільки рекомендовано, але хоче, щоб пентестери зробили все можливе за скорочений проміжок часу. Як правило, це включено до звіту як застереження.

Ручний процес

Деякі інструменти доступні для автоматичного тестування безпеки. Вони можуть бути корисними. Однак вони часто мають високий рівень хибнопозитивних і хибнонегативних результатів. Це означає, що ви повинні витрачати час на перевірку проблем, знаючи, що вона може бути неповною. Більшість із цих інструментів шукають певні індикатори, наприклад відомі вразливі версії програмного забезпечення або відомі вразливі функції. Однак є багато способів, щоб ці проблеми не були реальними або пом’якшилися на практиці.

Вразливі місця в безпеці можуть складатися з купи, здавалося б, нешкідливих фрагментів. Найкращий спосіб помітити це - за допомогою ручних зусиль людини. Пентестери використовують інструменти, але знають, як інтерпретувати результати, перевіряти їх вручну та виконувати незалежні ручні дії. Ця спроба вручну відокремлює пентест від сканування чи оцінки вразливості.

Види пентесту

Як правило, пентест передбачає тестування всього продукту в тому вигляді, в якому він буде розгорнутий. В ідеалі це відбувається в реальному виробничому середовищі. Однак це не завжди практично. По-перше, існує страх, що пентест може вибити ціль з мережі. Загалом, цей страх, по суті, безпідставний. Pentests зазвичай не генерують надто багато мережевого трафіку, можливо, це еквівалент кількох додаткових активних користувачів. Пентестери також навмисно не тестуватимуть проблеми типу відмови в обслуговуванні, особливо у виробничих середовищах. Натомість зазвичай вони повідомляють про ймовірні проблеми з відмовою в обслуговуванні, щоб дозволити клієнту дослідити це самостійно.

Крім того, варто зазначити, що якщо система підключена до Інтернету, вона постійно піддається «безкоштовним пентестам» від справжніх хакерів із чорним капелюхом та їхніх ботів. Ще однією причиною уникати робочих середовищ є проблеми з конфіденційністю живих даних користувачів. Пентестери є етичними хакерами відповідно до NDA та контрактів, але якщо тестове середовище існує та схоже, його можна використовувати.

Порада: «безкоштовний пентест» — це жартівливий спосіб позначення того, що вас атакують чорні капелюхи в Інтернеті.

Пентести можна виконувати практично проти будь-якої технічної системи. Веб-сайти та мережева інфраструктура є найпоширенішими типами тестів. Ви також отримуєте тести API, тести «товстого клієнта», мобільні тести, тести апаратного забезпечення тощо.

Варіації на тему

Реально кажучи, фішинг, OSINT і red team вправи пов’язані, але дещо відрізняються. Ви напевно знаєте про загрозу фішингу. Деякі тести включають перевірку того, як співробітники реагують на фішингові листи. Відстежуючи, як користувачі взаємодіють – або не взаємодіють – із фішингом, можна навчитися адаптувати майбутнє навчання фішингу.

OSINT означає Open Source INTelligence. OSINT-тест полягає в збиранні загальнодоступної інформації, щоб побачити, наскільки цінні дані можна зібрати та як їх можна використати. Це часто передбачає створення списків працівників із таких місць, як LinkedIn та веб-сайт компанії. Це може дозволити зловмиснику ідентифікувати високопоставлених осіб, які можуть стати гарною мішенню для атаки з метою фішингу, спеціально адаптованого до окремого одержувача.

Залучення червоної команди, як правило, є набагато більш глибоким і може включати деякі або всі інші компоненти. Це також може включати перевірку фізичної безпеки та дотримання політики безпеки. З політичного боку речей це передбачає соціальну інженерію. Це намагається переконати вас пройти в будівлю. Це може бути таким же простим, як посидіти в зоні для куріння та повернутися з курцями після перекуру.

Це може бути видавання посадовця або просіння когось відкрити для вас двері, несучи тацю з чашками кави. З боку фізичної безпеки це може навіть включати спробу фізичного проникнення, перевірку покриття камери, якості замків тощо. Залучення червоної команди зазвичай включає команду людей і може тривати набагато довше, ніж звичайні пентести.

Червоні команди

Вправа червоної команди може здатися менш етичною, ніж стандартний пентест. Тестувальник активно полює на нічого не підозрюючих співробітників. Ключовим є те, що вони мають дозвіл від керівництва компанії, як правило, на рівні правління. Це єдина причина, чому червоний командник може намагатися вторгнутися. Однак ніщо не дозволяє йому бути насильницьким. Червона команда ніколи не намагатиметься поранити чи приборкати охоронця, обійти чи обдурити його.

Щоб запобігти арешту червоного члена команди, вони, як правило, матимуть при собі підписаний контракт із підписами затверджуючих членів правління. Якщо їх спіймають, це можна використати, щоб довести, що вони мали дозвіл. Звичайно, іноді це використовується як подвійний блеф. Червоний командник може мати при собі два листи дозволу, один справжній і один підроблений.

Коли їх спіймають, вони спочатку передають фальшивий дозвіл, щоб перевірити, чи зможуть вони переконати службу безпеки, що це законно, навіть якщо це не так. З цією метою він часто використовує фактичні назви правління компанії, але містить номер телефону для підтвердження, який надсилається іншому червоному команді, який отримав брифінг для перевірки історії на обкладинці. Звісно, ​​якщо служба безпеки це побачить, буде передано справжній дозвіл. Однак до цього можна поставитися з великою підозрою.

Залежно від того, як було спіймано червоного члена команди, можна продовжити тест, припустивши, що вони обійшли окремого охоронця, який їх спіймав. Однак цілком можливо, що особу тестувальника може бути «розкрито», що фактично усуне його від будь-якого подальшого особистого тестування. На цьому етапі інший член команди може змінитися з повідомленням безпеки або без нього.

Висновок

Пентест — це завдання, під час якого фахівця з кібербезпеки просять перевірити безпеку комп’ютерної системи. Тест передбачає ручний пошук і перевірку наявності вразливостей. Для цього можна використовувати автоматизовані інструменти. Наприкінці перевірки надається звіт із детальним описом виявлених проблем та наданням порад щодо їх усунення.

Важливо, щоб цей звіт був не просто автоматизованим виходом інструменту, але й був перевірений і перевірений вручну. Будь-яка комп’ютерна система, апаратне забезпечення, мережа, додаток або пристрій можуть бути протестовані. Навички, необхідні для кожного, відрізняються, але часто доповнюють один одного.