Рішення

Проникнення у систему і мережу

Що це?

Тестування на проникнення (тести на подолання захисту, penetration testing, pentest, пентест) – це послуга у сфері інформаційної безпеки, суть якої полягає в санкціонованій спробі проникнути до інформаційної системи і обійти наявний комплекс засобів її захисту. Процес тестування на проникнення передбачає моделювання реальних дій зловмисника і пошук вразливостей системи захисту та їхню подальшу експлуатацію. Тест на проникнення дозволяє отримати незалежну оцінку та експертний висновок про стан захищеності конфіденційної інформації.


Навіщо це потрібно? 

Розроблена компанією «Делойт» методологія тестування на проникнення допоможе вам уникнути інцидентів, які можуть підірвати репутацію вашої організації і завдати вам істотних збитків. Вдала реалізація спроби на експлуатацію виявлених вразливостей ІС дозволить продемонструвати можливі шляхи проникнення до ІС, а також виявити слабкі місця у забезпеченні інформаційної безпеки. Це дозволить відокремити критичні проблеми безпеки, що вимагають пильної уваги, від тих, що становлять меншу загрозу. А отже, з’явиться можливість розумно виділяти фінансові та матеріальні ресурси на забезпечення безпеки ІС саме на тих ділянках, на яких це потрібно найбільше.


Як здійснюється (етапи)?

Методологія компанії «Делойт» з проведення тестування на проникнення містить такі етапи:

  1. Планування тесту на проникнення.
  2. Збір публічно доступних даних про цільові системи.
  3. Пошук вразливостей ІС (сканування).
  4. Проникнення до системи (експлуатація вразливостей).
  5. Написання та надання звіту.
  6. Очищення системи від наслідків тесту.


1.    Планування тесту на проникнення

На цьому етапі визначаються терміни, вартість робіт, що будуть проводитись, методи, які будуть застосовані, тип та кількість ІС для тестування і форма звіту.

Існує 3 підходи до проведення тесту на проникнення:

White box

Виконавець має доступ до систем і володіє повною інформацією про них.

Grey Box

Виконавець імітує хакерів, які мають інформацію про ІС частково (наприклад, про діапазон IP-адрес, web-сайти, фізичне розташування, ідентифікатори бездротових мереж тощо).

Black Box

Виконавець імітує хакерів, які мають лише назву компанії та практично нульові відомості про цільову систему.



2.    Збір публічно доступних даних про цільові системи

До обсягу робіт, як правило, входить пошук інформації в таких джерелах:

  • пошукові системи;
  • соціальні мережі та сайти знайомств;
  • каталоги підприємств;
  • сайти новин;
  • корпоративні сайти компанії замовника, сайти клієнтів і партнерів;
  • сайти пошуку роботи;
  • бази даних WHOIS;
  • DNS сервера компанії;
  • аналіз маршрутів мережевого обладнання;
  • аналіз e-mail листів;
  • дзвінки в сall-центр компанії з метою отримати інформацію про ключових співробітників компанії, про структуру компанії і технології;
  • аналіз метаінформації у документах, розміщених на сайтах компанії;
  • безпосереднє сканування мережі різними інструментами для виявлення IP-адрес, портів, версій сервісів, які функціонують, і операційних систем.

Часто вже на цьому етапі можливе виявлення критичних вразливостей, як-от забуті або «безгосподарні» сервіси, що не вимагають авторизації і дають доступ до внутрішньої мережі, опубліковані конфіденційні дані, паролі та інша критична інформація.


3. Пошук вразливостей ІС (сканування)

Залежно від обраних систем на цьому етапі скануються вразливості різними програмами-сканерами. Спеціалізація таких сканерів може бути орієнтована на тестування периметра мережі, web-сайтів, окремих програм і сервісів: баз даних, VPN-пристроїв, пристроїв IP-телефонії тощо.


4. Проникнення до системи (експлуатація вразливостей)

Знайдені потенційні вразливості повинні бути перевірені вручну, щоб відфільтрувати всі помилкові спрацьовування. Цей етап передбачає:

  • верифікацію та дослідження вразливостей;
  • проведення атак на компоненти ІТ-інфраструктури;
  • підбір паролів;
  • визначення способів взаємодії додатків;
  • підтвердження виявлених вразливостей;
  • збір доказів;

Для зламу вразливих ІТ-систем використовується різний спеціалізований інструментарій, експлойти в публічному доступі на хакерських сайтах. У деяких випадках знадобиться власна розробка вірусів і експлойтів для проникнення всередину мережі.


5. Написання та надання звіту

Після проведення тесту на проникнення розробляється звіт про тестування, який зазвичай містить:

  • опис меж, у рамках яких було проведено тест на проникнення;
  • методи і засоби, які використовувалися під час проведення тесту на проникнення;
  • опис виявлених дефектів і недоліків, зокрема рівень їхнього ризику і можливість їхнього використання зловмисником;
  • опис застосованих сценаріїв проникнення;
  • опис досягнутих результатів;
  • базову оцінку ризиків інформаційної безпеки Компанії;
  • базову оцінку процесів забезпечення інформаційної безпеки Компанії;
  • рекомендації з усунення виявлених недоліків та вдосконалення процесів забезпечення інформаційної безпеки Компанії;
  • план робіт щодо усунення знайдених вразливостей і вдосконалення процесів забезпечення інформаційної безпеки Компанії, пріоритезований відповідно до критичності вразливостей.


Строки проведення

Тривалість проведення тесту на проникнення варіюється залежно від масштабу роботи і рівня захищеності об'єктів тестування. Мінімальний термін – від 2 тижнів.


Результат (що отримає замовник)?

Основою вигодою проведення тесту на проникнення є посилення захищеності ІС, а саме:

  • виявлення максимальної кількості вразливостей;
  • вжиття заходів на основі обґрунтованих рекомендацій;
  • впевненість у захищеності інформації;
  • виконання вимог контролюючих органів / стандартів;
  • обґрунтування бюджетів підрозділу на усунення прогалин.


Чому «Делойт»?

Команда «Делойт» – це сертифіковані спеціалісти в галузі тестування на проникнення (СЕН). Ми володіємо знаннями найкращих практик (Cobit), стандартів інформаційної безпеки (ISO/IEC 27001, ISO/IEC 27002, NIST800-115) та широким практичним досвідом впровадження. Також наша команда володіє низкою технік для виявлення вразливостей цільової ІС, проникнення до ІС без завдання шкоди бізнес-процесу компанії та чіткого опису реального стану захищеності ІС. Методика компанії «Делойт» з проведення тесту на проникнення розроблена на основі загальновизнаних міжнародних методологій (PTES, PCI DSS, ISSAF).