Тестирование на проникновение
Тестирование на проникновение — это взлом ради защиты. Суть работы заключается в моделировании и выполнении действий потенциального злоумышленника. Перед началом тестирования на проникновение определяются цели взлома и модель нарушителя, согласно которой действуют наши специалисты.
Целью может быть какое-либо нежелательное действие по отношению к системе, при этом представляющее интерес для злоумышленника. Наиболее лакомыми кусками являются сервисы, из которых легко извлечь материальную выгоду, например, связанные с переводом денег. Нарушитель последовательно совершает шаги, приближающие его к этой цели, например, крадет пароли пользователей, получает несанкционированный доступ к определенным данным, повышает привилегии вплоть до получения всех прав администратора системы.
В качестве модели нарушителя может быть принята любая роль, с точки зрения которой имеет смысл взглянуть на защищенность объекта тестирования. Это может быть внешний анонимный пользователь, зашедший на сайт компании, её клиент, посетитель офиса, или недавно принятый на работу сотрудник, а может быть и системный администратор или менеджер среднего звена.
Тестирование на проникновение может проводиться методом «черного», «серого» и «белого ящика», в зависимости от количества предоставляемой информации о системе. Этот фактор имеет существенное значение, поскольку тестирование выполняется в условиях ограниченного времени, которое в случае недостатка информации придется потратить на её сбор и анализ.
Метод «черного ящика» предполагает, что никакой информации о тестируемой системе не предоставляется, и специалист по тестированию на проникновение должен собрать все интересующие его сведения самостоятельно.
Метод «белого ящика» предусматривает передачу исполнителю всех значимых с точки зрения безопасности сведений о системе, которые он запросит. Речь идёт о таких вещах как схема сети, описание внутренней архитектуры системы, а также применяемых средств защиты.
Метод «серого ящика» является компромиссом между двумя упомянутыми ранее. В этом варианте заказчик передает экспертам заранее согласованный ограниченный набор сведений.
Реальный злоумышленник, в отличие от специалистов по тестированию на проникновение, в большинстве случаев не стеснен сроками выполнения работ по договору и имеет значительный запас времени на предварительный сбор информации. Поэтому правильный выбор модели нарушителя и метода тестирования важен для объективности результатов работы.
Тестирование на проникновение является обязательной проверкой защищенности по некоторым стандартам информационной безопасности. Например, требование 11.3 Стандарта безопасности данных индустрии платежных карт (PCI DSS) регламентирует его выполнение извне и изнутри платёжной информационной инфраструктуры на сетевом и прикладном уровне. Кроме того, тестирование на проникновение предусмотрено рекомендациями Банка России РС БР ИББС-2.6-2014 и Приказом ФСТЭК России № 21.
Результатом тестирования на проникновение является отчет с подробным описанием выявленных уязвимостей и действий по их эксплуатации, а также описанием составленных векторов атак вместе с достигнутыми результатами их реализации. Описание сопровождается документальными свидетельствами (снимками экрана и фотографиями).