16.05.2009 Тестирование на проникновение
Одним из наиболее распространенных видов аудита информационной безопасности является тестирование на проникновение.
В чем оно заключается? Зачем оно необходимо? Какие виды тестирования на проникновение бывают? Какие используются методологии и программные средства для проведения тестов?
Что такое тестирование на проникновение?
Тестирование на проникновение представляет собой набор мероприятий по выявлению уязвимостей информационных ресурсов. Сразу хочу отметить, что тестирование на проникновение не является демонстрацией возможности использования одной единственной уязвимости, позволяющей проникнуть в сеть компании. Целью тестирования является выявление максимально возможного количества реальных брешей в системе защиты.
Почему тестирование на проникновение дает более качественные результаты, чем простое сканирование на наличие уязвимостей?
Сканирование на наличие уязвимостей является одним из этапов тестирования на проникновение. Одно сканирование не позволяет адекватно оценить степень опасности уязвимости, так как сканер ничего не знает о критичности информационного ресурса, также сканер не сможет определить опасную комбинацию на первый взгляд не опасных уязвимостей. Например, в сетевой папке, открытой для чтения всем пользователям домена хранятся образы операционных систем. Сканер покажет только наличие такой папки, а аудитор, проведя анализ содержимого папки, извлечет из образа файл с хэшами паролей и, скорее всего, сможет взломать пароль локального администратора, тем самым продемонстрировав серьезнейшую уязвимость в корпоративной сети.
Зачем необходимо тестирование на проникновение?
Тестирование на проникновение позволяет получить достаточно объективную оценку уровня защищенности корпоративной сети.
Виды тестирования на проникновение
Внутреннее тестирование на проникновение
В ходе внутреннего тестирования на проникновение имитируется попытка взлома корпоративных информационных систем из внутренней сети. Целью аудитора является получение доступа к системам или к определенной информации. На своем сайте мы описали основные этапы внутреннего тестирования на проникновение и привели ссылки на часть используемых программных средств.
Сценарий успешного проникновения в ходе внутреннего тестирования может выглядеть следующим образом:
- Аудиторы начинают тестирование с ИТ-инфраструктуры и “прощупывают” контроллер домена.
- Выясняется, что контроллер домена позволяет получить перечень учетных записей пользователей через нулевую сессию или анонимный доступ к LDAP.
- Аудиторы запускают проверку использования самых распространенных паролей и находят административную учетную запись с паролем “administrator”.
- С помощью учетной записи администратора получают хэши паролей всех пользователей домена и осуществляют их взлом.
- Далее идет поиск конфиденциальной информации на рабочих станциях пользователей и попытки проникнуть в другие системы, используя те же самые пароли.
Очень часто в ходе внутреннего тестирования на проникновение проводится тестирование защищенности беспроводной сети.
Внешнее тестирование на проникновение
В ходе внешнего тестирования на проникновения аудитор выступает в роли внешнего злоумышленника пытающегося проникнуть в сеть компании из сети Интернет. Как правило, на начальном этапе аудитор ничего не знает о компании, кроме ее названия. На нашем сайте приведено описание основных этапов внешнего тестирования на проникновение.
Возможный сценарий успешного проникновения в ходе внешнего тестирования:
- В ходе сканирования на наличие уязвимостей аудиторы обнаруживают уязвимую версию ftp-сервера.
- Использование уязвимости позволяет получить удаленную командную строку с правами администратора.
- Получив доступ сначала в демилитаризованную зону, а потом и во внутренний сегмент сети, аудиторы применяют подход внутреннего тестирования на проникновение.
В ходе внешнего тестирования аудиторы часто проводят анализ защищенности Web-приложений.
Тестирование на проникновение с использованием методов социальной инженерии
В ходе тестирования на проникновение с использованием методов социальной инженерии аудитор пытается получить конфиденциальную информацию от пользователей, используя слабости человеческой натуры.
Возможный сценарий подобного тестирования на проникновение:
- Аудиторы обнаружили Интернет-портал, используемый для предоставления удаленного доступа к внутренним ресурсам. Выбирается вариант тестирования с применением фишинг-атаки.
- Из социальных сетей, таких как Linedin и Мой круг извлекаются данные о сотрудниках компании: имя и должность. Формируется перечень адресов электронной почты.
- Устанавливается web-сервер, на котором размещается форма для смены пароля, требующая ввода старого пароля. Дизайн страницы совпадает с дизайном портала.
- Сотрудникам бизнес-подразделений высылается письмо с просьбой пройти по ссылке и сменить пароль. Сообщение отсылается от имени определенного ИТ-специалиста, а в качестве адреса отправителя используется какой-либо несуществующий адрес, например itsupport@название_компании.ru Письмо подготавливается в html-формате, который позволяет скрыть некрасивый IP-адрес сервера аудиторов за красивой ссылкой на реальный сервер.
- В случае успеха аудиторы получают пароли пользователей и отмечают в своем отчете еще один недостаток.
В ходе тестирования выявляются наиболее вероятные сценарии проникновения. На основе тестирования, включающего автоматизированный и ручной поиск уязвимостей, формируется полный перечень обнаруженных брешей.
Некоторые приемы тестирования
Для наглядности привожу ссылки на некоторые приемы, используемые в ходе тестирования на проникновение.
Методологии
В данном разделе дан краткий обзор наиболее полезных методологий по проведению тестирования на проникновение.
Information Systems Security Assessment Framework (ISSAF)
Методология содержит детальное описание процессов тестирования, включая практические приемы работы с различными утилитами. Рассматривается тестирование межсетевых экранов, антивирусных систем, беспроводных сетей, операционных систем, баз данных и т.д. Методология рассчитана на непосредственных исполнителей.
Ссылка: http://www.oissg.org/information-systems-security-assessment-framework-issaf.html
NIST 800-42 Guideline on Network Security Testing
Уровень детализации меньше, чем в предыдущем документе. Особое внимание уделено процессу организации тестирования в компании. Документ рассчитан на ИТ-менеджеров и непосредственных исполнителей.
Ссылка: http://csrc.nist.gov/publications/nistpubs/800-42/NIST-SP800-42.pdf
Open Source Security Testing Methodology Manual (OSSTMM)
Помимо описания процессов тестирования приведены полезные шаблоны документов, которые можно использовать при документировании результатов.
OWASP Testing Guide
Руководство содержит детальное описание процесса тестирования защищенности Web-приложений. Документ рассчитан, прежде всего, на непосредственных исполнителей.
Wireless Penetration Testing Framework
Схема тестирования защищенности беспроводных сетей с описанием конкретных команд. Рассчитана на непосредственных исполнителей.
Ссылка: http://wirelessdefence.org
Отчет с результатами тестирования на проникновение
По результатам тестирования готовится отчет, который, как правило, содержит:
- краткое резюме для руководства;
- описание границ тестирования и проведенных проверок,
- скриншоты, подтверждающие наличие уязвимостей, факта проникновения;
- описание обнаруженных уязвимостей;
- описание рисков информационной безопасности, связанных с обнаруженными уязвимостями;
- рекомендации по устранению уязвимостей.
Программные средства для проведения тестирования на проникновение
В ходе тестирования на проникновение, как правило, используются свободно распространяемые программные средства.
На мой взгляд, самым лучшим сборником подобных утилит, является Linux Live CD Backtrack
Самым популярным доступным сканером уязвимостей остается Nessus
Литература
Лучше всего приемы тестирования на проникновение описаны в следующих книгах, которые без труда можно найти в книжных магазинах:
- “Секреты хакеров. Безопасность Microsoft Windows Server 2003” — готовые решения, Джоел Скембрей, Стюарт Мак-Клар; 512 стр., с ил.; 2004, 3 кв.; Вильямс
- “Секреты хакеров. Безопасность сетей — готовые решения”, 4-е издание, Стюарт Мак-Клар, Джоэл Скембрей, Джордж
Курц; 656 стр., с ил.; 2004, 2 кв.; Вильямс - “Секреты хакеров. Безопасность Linux — готовые решения”, 2-е издание, Брайан Хатч, Джеймс Ли, Джордж Курц; 704 стр., с ил.; 2004, 1 кв.; Вильямс
- “Секреты хакеров. Безопасность Web-приложений” — готовые решения, Джоел Скембрей, Майк Шема, Йен-Минг Чен, Дэвид Вонг; 384 стр., с ил.; 2003, 1 кв.; Вильямс
Следующие книги также являются очень полезными, но пока доступны только на английском языке:
- No Tech Hacking: A Guide to Social Engineering, Dumpster Diving and Shoulder Surfing, Johnny Long;
- Google Hacking for penetration testers, Johnny Long;
- Nessus Network Auditing, Russ Rogers;
- The web application hacker’s handbook, Dafydd Stuttard, Marcus Pinto
Related Posts
- Тестирование на проникновение Windows 2003 Server. Часть 2. Попытка получить списки пользователей.
- Тестирование на проникновение Windows 2003 Server. Часть 1. Сканирование портов.
- Каталог компаний, оказывающих услуги по тестированию на проникновение
- Интересный способ продвижения услуг по тестированию на проникновение
- Случайный тест на проникновение
- Отзывов (19)
- Рубрика: информационная безопасность
Постоянная ссылка #
Ригель
пишет
> аудита информационной безопасности> тестирование на проникновениеЧтобы что-то говорить о ИБ по пентесту, не вредно сначала доказать, что для организации N значимые риски связаны именно с проникновением.Никогда не видели, как чужеземцы оставляют машины с не запертыми дверьми, открытыми окнами, а то и ключами в замке? Никогда не пытались сообщить им сенсационную новость, что способны проникнуть в их машину?
Постоянная ссылка #
пишет
Зачем кому-то что-то доказывать? Если бизнес принимает риски, то и не стоит тратить деньги на их минимизацию.
Постоянная ссылка #
Ригель
пишет
Давайте возьмем ситуацию, когда бизнес в рисках ни уха не рыла, потому и позвал внешних специалистов.В деревне Вилларибо наибольший бизнес-ущерб связан отсутствием бекапа везде и напрочь, а в деревне Виллабаджо — с отсутствием письменных согласий субъектов персональных данных. Итого, к ИБ анализ защищенности сети имеет отношение самое десятое.
Постоянная ссылка #
пишет
>Давайте возьмем ситуацию, когда >бизнес в рисках ни уха не рыла, >потому и позвал внешних >специалистов.В этом случае лучше звать тех, кому доверяете, а то продадут вам сотню другую IDS-сенсоров для защиты от злых американских хакеров.Хороший пример с деревнями из рекламы — компании действительно бывают разные, и проблемы у всех тоже разные. Есть организации, в которых никто не занимается ИБ. Ведь основная задача компаний приносить прибыль их владельцам, а не обеспечивать тотальную защиту всего от всего.
Постоянная ссылка #
Ригель
пишет
> тех, кому доверяете, а то продадут Это ведь не отменяет необходимости делать рекламу корректно, не правда-ли? Т.е. так и писать на видном месте: "в том довольно-таки редком случае, когда {бла-бла-бла-бла-бла-бла-бла}, тестирование на приникновение можно считать за аудит ИБ".
Постоянная ссылка #
пишет
Тестирование на проникновение — это всего лишь один из видов аудита ИБ. О том, какие еще бывают виды можно посмотреть в моей статье Аудит информационной безопасности: за что платит компания?
Постоянная ссылка #
Ригель
пишет
Т.е. чтобы найти мега-багу в виде полного отсутствия бекапа, нужно купить аудит всей СУИБ по всему 27001 (бекап, вообще-то говоря, в 17799 ака 27002 и к менеджменту отношения не имеет, ну да ладно)?А точно нет способа попроще и подешевле?
Постоянная ссылка #
пишет
Постоянная ссылка #
Ригель
пишет
Разве речь обо мне?Деревня Вилларибо не знает о резервном копировании. Вопрос: сколько чего она должна заказать, чтобы ей сообщили ее ошибку?
Постоянная ссылка #
infowatch
пишет
Вступил в полемику.
Постоянная ссылка #
пишет
Давайте рассмотрим процесс по шагам.Шаг 1. У компании появляется желание воспользоваться услугами консультантов/аудиторов по ИБ. Такое желание может быть обусловлено: а) необходимостью проверить уровень защищенности для собственного спокойствия, b) необходимостью выполнения требований родительской компании или партнеров, с) желанием прекратить череду инцидентов, связанных с проникновением злоумышленников в сеть, d) желанием не столкнуться с проблемами в ходе аудита финансовой отчетности, в ходе которого тестируются некоторые ИТ-контроли, e) желанием проверить насколько интегратор, разработавший решение электронной коммерции, выполнил требования по ИБ и т.д. Шаг 2. Для максимального удовлетворения потребностей компании подходит такая услуга, как независимый аудит ИБ. У проекта есть определенные границы, которые задаются составом работ, перечнем информационных систем, физическими локациями офисов и т.д. Границы проекта определяются потребностями клиента. Пусть, в границы аудита включены процессы восстановления ИТ-после сбоев.Шаг 3. Консультанты проводят работу: сначала проводят анализ документации, а потом проверяют, как все работает на самом деле. Они подходят к администратору системы, попавшей в границы проекта, и просят показать журналы резервного копирования. Выясняется, что резервное копирование не осуществляется. Данный факт включается в отчет с описанием связанного с ним риска.Шаг 4. Отчет с результатами проверок и рекомендациями финализируется и передается клиенту.Таким образом, все определяется потребностями клиента, если деревня Вилларибо хочет проверить свои процессы восстановления ИТ-после сбоев, то она заказывает соответствующий аудит.
Постоянная ссылка #
пишет
to infowatch: Спасибо! Я продолжил тему.
Постоянная ссылка #
Ригель
пишет
> независимый аудит> восстановления ИТ-после сбоев.Я восьмой раз призываю Вас не рассматривать ситуацию "Вилларибо знает свою проблему и приглашает консультантов просто из неприязни к денежным знакам".Если пришедший в поликлинику не принес с собой диагноз, то его не отсылают на полную диспансеризацию, а есть первичный осмотр терапевтом, общие анализы, что-то еще, и затем перенаправление к профильному специалисту — т.е. последовательное приближение к больному месту вместо тотального квадратно-гнездового обследования всего и вся.Меня интересует наличие в Вашем арсенале именно поверхностных методик.
Постоянная ссылка #
пишет
"Я восьмой раз призываю Вас не рассматривать ситуацию "Вилларибо знает свою проблему и приглашает консультантов просто из неприязни к денежным знакам"."Я рассматриваю ситуацию, когда клиент в курсе своих потребностей, а не проблем.Поверхностные методики есть, они применяются в ходе встречи с руководством. Это серия вопросов.
Постоянная ссылка #
Ригель
пишет
Если какие-то методики где-то есть, тогда непонятно затруднение с ответом на вопрос "на каком шаге и какой сумме Вилларибо наконец узнает".В ответ "на первом же шаге и за ноль денег", я конечно, по ряду причин не верю, ну да шут с ним уже.
Постоянная ссылка #
пишет
Хорошим ресурсом для поиска различных методик ИТ-аудита является сайт ассоциации ISACA: http://www.isaca.org Рекомендую.
Постоянная ссылка #
Ригель
пишет
Я должен поразиться, что циса знает адрес исаки?Меня интересовал конкретный ответ на конкретный вопрос конкретно от Вас.
Постоянная ссылка #
пишет
Ок. Резюмируя предыдущие ответы, даю Вам ответ: Сначала выявляются потребности клиента, потом определяются вид и границы аудита. Вопиющие вещи, наподобие Вашего случая с бэкапом, могут быть выяснены на первой встрече (если конечно менеджмент имеет адекватную информацию о том, что делают подчиненные). А конкретные методики базируются на методологиях, разрабатываемых сообществами профессионалов. Одного решения, подходящего для каждой компании — нет. Подход индивидуальный. Все зависит от потребностей клиента.
Постоянная ссылка #
slothar
пишет
уважаемый Александр Дорофеев! я делаю доклад о тестировании на проникновение на Инфосекьюрити 29-го сентября в 13.25, возможно Вам было бы интересно принять участие в качестве оппонента, т.к. мое позиционирование пентеста перпендекулярно Вашему. (для меня пентест это эффектная страшилка, а не инструмент поиска уязвимостей). мой мейл slothar@mail.ru, тел. 8-926-418-9936, буду рад сотрудничеству.