Тести на проникнення ідеально підходять для вашого підприємства, коли вам потрібно перевірити ефективність ваших протоколів безпеки.
Імітуючи атаки в реальному житті, ваша ІТ-команда може виявляти вразливі місця в системах, використовувати їх і надавати знання про вирішення проблемних областей безпеки. Якщо вам потрібен вичерпний огляд кроків, ось наш посібник щодо етапів тестування на проникнення.
Внутрішній чи зовнішній тест на проникнення моделюватиме вектори атак. Якщо це зовнішня атака, ви залучаєте віддаленого зловмисника, щоб з’ясувати інформацію, до якої мають доступ сторонні особи. Якщо це внутрішній, він виконується після зовнішнього і має на меті визначити, чого хакер може досягти, маючи внутрішній доступ до вашої системи.
Виходячи з цілей тесту пером, тестер може мати певні знання про середовище, що тестується (чи ні). Якщо тестер знає систему, це біле поле. В інших випадках тест на проникнення може бути націлений на додатки, мережеві служби, соціальну інженерію, бездротовий зв’язок або навіть фізичний зв’язок.
Незалежно від обраного вами тесту на проникнення, якісний завжди виявить вразливі місця та допоможе консолідувати слабкі місця у вашій системі. Однак вибір правильного для вашої організації може зайняти час і зусилля, особливо з урахуванням кількох варіантів для вивчення.
Ця стаття є підбіркою різних типів тестування на проникнення, пояснюючи, що передбачає кожен із них і коли найкраще використовувати той чи інший. І наприкінці ви дізнаєтеся кілька порад щодо вибору найкращого тесту для ручки для потреб вашої організації.
Тестування веб-проникнення
Джерело: synopsys.com
Цей перо-тест має на меті виявити вразливість веб-сайтів і веб-додатків, таких як системи електронної комерції, менеджери по роботі з клієнтами та системи керування вмістом.
Переглядаючи безпеку програми, спеціальні функції та основні функції логіки, цей тест розгадує способи усунення порушень, фінансових втрат і крадіжки особистих даних. Перед тестуванням тестер оснащений декількома програмами для перевірки, полями введення для перевірки та записом статичних і динамічних сторінок для легкої оцінки дизайну та недоліків розробки.
Поширеними вразливими місцями веб-додатків є міжсайтовий сценарій (XSS), ін’єкція бази даних і несправна автентифікація. Щоб отримати поглиблені знання про веб-безпеку, ви можете ознайомитися з захист відкритих веб-додатків (OWAP), хороший репозиторій для читання. Він публікує інформацію про частоту та серйозність веб-вад на основі даних, зібраних із тисяч програм.
Якщо у вашій компанії є веб-ресурси, найкраще розглянути тести веб-пера. У багатьох сучасних організаціях веб-програми є безцінними для зберігання та передачі інформації. Для таких операційних моделей необхідне веб-тестування. Статистика говорить так кіберзлочинність зросла після пандемії Covid-19.
Тестування проникнення в мережу
Джерело: synopsys.com
Тести мережевого пера — це аудит безпеки, націлений на мережеву інфраструктуру, незалежно від того, працюєте ви локально чи в хмарі. Застосовуючи широкий спектр перевірок, як-от уразливість шифрування, відсутність патчів безпеки та незахищені конфігурації, ці тести підтверджують безпеку критично важливих даних у бізнесі.
У цьому випадку ви можете пройти внутрішнє або зовнішнє тестування. У зовнішньому випадку тестувальник не має попередніх знань про систему та використовує Інтернет, щоб отримати ноу-хау, яке хакери використають у атаках. Якщо внутрішній, увага зосереджена на отриманні доступу до внутрішньої мережі. Наприклад, тестувальник може використовувати вразливі місця в системах, що виходять в Інтернет, і намагатися отримати доступ до інформації або порушити роботу.
Після виконання тести мережевого пера захищають ваше підприємство від поширених мережевих атак, таких як неправильна конфігурація та обхід брандмауера, атаки на маршрутизатор, атаки на рівні системи доменних імен (DNS), атаки на базу даних і атаки на проксі-сервер. Тест мережі підійде вам, якщо діяльність вашої компанії передбачає передачу величезних обсягів даних. Враховуючи критичність мережевих послуг для бізнесу, найкраще проводити тестування мережі принаймні раз на рік.
Тестування мобільних додатків на проникнення
У мобільних додатках перо-тести перевіряють додатки на різних операційних системах (Android та iOS) та їх взаємодію з API. Хороші тести декомпілюють вихідний код програми, щоб отримати якомога більше інформації.
У цьому випадку увага зосереджена на архітектурі додатка – щоб розшифрувати його перед виконанням ручних тестів, щоб виявити незахищений дизайн і мережевий зв’язок – щоб вивчити, як дані переміщуються, зберігання даних і конфіденційність – щоб забезпечити відповідність, оскільки більшість програм зберігають важливі дані, як-от паролі та Ключі API, що зберігаються у файлах string.xml, автентифікація та керування сеансами – де тести потребують контролю за процесами керування сеансами, такими як кінець сеансу, дійсність маркерів, оновлення паролів і неправильна конфігурація багатофакторної автентифікації.
Припустімо, ваша компанія зосереджена на розробці мобільних додатків, таких як ігри, фінансові послуги та покупки. У такому випадку ви можете розглянути можливість тестування пера перед випуском продукту для загального користування або розгортанням нових оновлень.
Тестування бездротового проникнення
Тестування бездротового зв’язку націлено на бездротову мережу вашої організації та під’єднані до неї пристрої. До таких пристроїв належать смартфони, планшети, комп’ютери та інші пристрої Інтернету речей (IoT).
За допомогою перьєвих тестів ви можете оцінювати рівні безпеки програм безпеки бездротового зв’язку, виявляти та використовувати вразливості, розуміти загрози, які виникають у кожній точці доступу, і створювати керовані даними стратегії для усунення вразливостей.
Перед тестуванням ви повинні визначити обсяг залучення, встановивши гостьову та бездротову мережі та ідентифікатори наборів послуг (SSID), до яких потрібно отримати доступ. Хоча цей процес більшою мірою базується на апаратному забезпеченні, його можна виконати за допомогою програмних засобів в операційних системах з відкритим кодом, таких як Kali Linux. Для гарної культури безпеки підприємства можуть проводити тести бездротового зв’язку двічі на рік.
Тестування API на проникнення
Перо-тестування API (іноді в комплекті з мікросервісами) використовується для виявлення недоліків API. Зараз він стає все більш популярним, оскільки багато компаній дозволяють третім сторонам отримувати доступ до деяких своїх даних і послуг.
Тестування засвідчує, що GraphQL, REST, веб-сервіси та інші API є безпечними та перевіряються на відомі вразливості. Під час тестування API процес подібний до процесу в Інтернеті. Це, в свою чергу, дозволяє використовувати подібні засоби. Однак можуть бути представлені нові інструменти, такі як Postman і Swagger.
Якщо ви хочете дізнатися більше, ось наш контрольний список інструментів розробки та тестування API. Часто ці інструменти подаються разом із схемою API, а потім каркасні запити API моделюються та направляються до продукту.
Якщо у вашій компанії є веб-програми або мобільні програми з серверною частиною API, проведення частих тестів API може допомогти виявити вразливість або поганий дизайн коду, який може стати точкою входу для зловмисників.
Тестування на проникнення соціальної інженерії
На відміну від інших методів, зосереджених на недоліках технологій, соціальна інженерія втручається в людську психологію, щоб порушити безпеку вашої організації.
Тести є корисними, оскільки вони виявляють вразливі місця, вимірюють обізнаність про безпеку, підвищують обізнаність співробітників, зменшують ризики, покращують реагування на випадки, відповідають нормам, зміцнюють довіру зацікавлених сторін і забезпечують економічно ефективне управління ризиками.
Найпоширеніші методи атаки включають претекст, фішинг, видалення медіа/фізичну тактику та переслідування. Тести соціальної інженерії покладаються на формування, зібране під час розвідки; тут використовується розвідка з відкритим кодом.
Тестер може побудувати точну картину цілі, щоб адаптувати атаку до відповідних методів. Хоча це не так часто, як веб-тести, соціальна інженерія може бути чудовим способом виявлення недоліків у ваших моделях роботи.
Тест на проникнення фізичної безпеки
Тестування фізичної безпеки передбачає отримання доступу до фізичного простору об’єкта для підтвердження ефективності існуючих заходів захисту та перевірки на вразливі місця. На відміну від ручних тестів, вони працюватимуть на фізичних заходах безпеки, таких як системи сигналізації, контроль доступу та різні розділи з конфіденційною інформацією.
Щоб провести цей тест, ви можете використовувати такі методи, як фізичний обхід, гальмування та соціальна інженерія. Результати, отримані під час тестування, потім використовуються для встановлення траєкторії усунення вразливостей і посилення існуючих заходів безпеки.
Якщо ваша організація чи бізнес має фізичну присутність, наприклад, сховища даних та іншої конфіденційної інформації, найкраще використовувати перо-тести для посилення безпеки. У цьому випадку виграє багато команд, таких як банки та фінансові установи, центри обробки даних, установи державних послуг, лікарні та програми охорони здоров’я, роздрібні магазини та торгові центри, виробничі підприємства та організації, що тримають сертифікацію.
Тестування проникнення в хмару
Тести хмарного пера включають виявлення та використання вразливостей у програмах та інфраструктурі, наприклад, SaaS, у хмарних рішеннях, таких як Microsoft Azure, Amazon Web Services (AWS) і Google Cloud Platform.
На відміну від інших тестів, проникнення в хмару вимагає глибокого розуміння хмарних сервісів. Наприклад, слабкість SSRF у програмах AWS може поставити під загрозу всю вашу хмарну інфраструктуру.
З іншими хмарними рішеннями, зокрема Azure AD і AWS Cognito, ви зіткнетеся з їхніми проблемами та неправильною конфігурацією. Поширені вразливості хмари включають незахищені API, слабкі облікові дані, неправильну конфігурацію сервера, застаріле програмне забезпечення та небезпечні методи кодування.
Тести на проникнення в хмару можуть підвищити безпеку в хмарі, якщо ваша компанія надає хмарні послуги. Оскільки більшість хмарних роботодавців обирають модель спільної відповідальності, хмарні тести можуть усунути вразливості платформи, її мереж і зберігання даних.
Тест на проникнення контейнера
Контейнери добре відомі своїм профілюванням візуалізацій операційної системи. Вони можуть запускати мікросервіси, програмні процеси та навіть великі програми. Окрім погляду на контейнери з точки зору хакера, тести пера контейнерів дозволяють розгортати власні тестові середовища.
Під час сканування на вразливості є два варіанти. По-перше, статичний аналіз сканує вразливості в образах контейнерів. По-друге, динамічний аналіз перевіряє поведінку контейнера під час виконання. Щоб отримати кращий результат, найкраще виконувати обидва.
Уразливості контейнерів охоплюють додатки, конфігурацію, мережу та образ ОС. Якщо ваш DevOps орієнтується на Docker для тестування на проникнення, ви можете налаштувати свої контейнери, збагатити їх усіма необхідними інструментами, зменшити вразливості та оптимізувати загальну функціональність.
Тестування проникнення в базу даних
Бази даних мають неоціненне значення для бізнесу. Бази даних, які зберігають конфіденційні дані, як-от платіжні реквізити, інформацію про клієнтів, а також дані про продукти та ціни, піддають підприємства ризику в разі зламу. Щоб гарантувати відповідну безпеку, перед запуском нової бази даних продукту та регулярно тестують існуючі.
Намагаючись отримати доступ до бази даних, як хакер, використовуючи найкращі галузеві практики, тести бази даних вказують вам, як справлятися з реальними атаками.
Поширені загрози базі даних включають впровадження SQL, необмежені привілеї, погані журнали аудиту, відкриті резервні копії, неправильну конфігурацію, відмову в обслуговуванні (DoS) і погане керування даними. Тести виявляють вразливі місця у вашій базі даних і гарантують, що вся конфіденційна інформація захищена від зловмисників. Ось чому компанії повинні інвестувати в безпеку баз даних.
Тестування проникнення в IoT
Інтернет речей включає в себе взаємозв’язок веб-пристроїв, які спілкуються та обмінюються даними через Інтернет. Ці пристрої включають фізичні об’єкти, транспортні засоби та будівлі з вбудованим програмним забезпеченням, датчиками, електронікою та мережевими з’єднаннями.
З проникненням IoT основна увага приділяється дослідженню мережі та пристроїв Інтернету речей, щоб виявити недоліки. Крім того, тести безпеки виходять за рамки пристроїв і включають мережу зв’язку, наприклад, платформи хмарних обчислень.
Домінуючими недоліками безпеки в пристроях IoT є незашифровані дані, незахищене мікропрограмне забезпечення, слабкі паролі та погана автентифікація/контроль доступу. У міру того як організації використовують більше пристроїв IoT, аудити IoT посилюють управління активами, продуктивністю та ризиками, а також відповідають вимогам відповідності.
Тестування на проникнення білого ящика
Для тестів білої скриньки ви маєте глибокі знання про цільову систему, включаючи архітектуру програми, вихідні коди, облікові дані, білий список, різноманітні ролі облікових записів і документацію.
Застосовуючи такий підхід, білий ящик економить на вартості залучень. Білий ящик добре працює зі складними системами, які вимагають високого рівня безпеки, як-от фінансові підприємства та уряди. Запровадивши повне охоплення коду, ви зможете перерахувати внутрішні помилки.
Якщо ви зазнали порушення, тести білого ящика будуть найкращими для перевірки безпеки програм, стану мережі, фізичної безпеки та безпеки бездротового зв’язку. В інших випадках ви можете розглянути можливість тестування білого ящика на ранніх стадіях програмного забезпечення та перед початком виробництва.
Тест на проникнення чорного ящика
З тестами чорної скриньки ви не знаєте системи та використовуєте підхід хакера. Оскільки ви не можете отримати доступ до вихідного коду чи діаграми архітектури, ви використовуєте підхід стороннього користувача, щоб використовувати мережу. Це означає, що тест базується на динамічному аналізі систем і програм, що виконуються в цільовій мережі.
Щоб досягти успіху, ви повинні добре знати інструменти автоматизованого сканування та ручні методи тестування на проникнення. Ви також повинні створити свою цільову карту на основі своїх спостережень. Це швидкий спосіб запустити тести, і час залежить від вашої здатності знаходити та використовувати вразливості. Однак, якщо ви не можете зламати систему, уразливості залишаються невиявленими.
Незважаючи на те, що він є одним із найскладніших тестів, він забезпечує найкращий спосіб оцінити загальну безпеку вашої системи. Іноді це називають методом проб і помилок. Але це вимагає високого рівня технічної експертизи.
Тест червоної команди
Червоне об’єднання виглядає схоже на проби пера. Але він йде далі, приймає форму реального хакера та не має обмежень за часом. Ви комбінуєте інструменти, тактику та методи для цих тестів, щоб отримати доступ до цільової системи або даних.
Усі інші тести пера спрямовані на виявлення вразливостей. Однак червоні тести оцінюють здатність захисників виявляти загрози та реагувати. Виявлення може ґрунтуватися на показниках скомпрометованих систем моніторингу, тестах фізичної оцінки або навіть соціальної інженерії. Ви можете вважати червоні тести розширеними, на відміну від тестів на ручку.
Недоліком є те, що червоні тести не пропонують стільки тестів на проникнення. Вони зосереджені на доступі до системи або даних. Після досягнення мети вони не шукають інших слабких місць. Для перо-тестів ви повинні визначити всі вразливості.
Вибір правильної ручки
Було б найкраще, якби ви добре розбиралися в усіх існуючих моделях, щоб вибрати правильний тест на проникнення для вашої організації. Маючи ці знання, ви можете об’єднати свою організацію з підприємством, яке їй найкраще підходить на основі вашого робочого процесу.
Якщо ви запускаєте веб-додатки, веб-тести будуть найкращими. Тести API є підходящим варіантом, якщо ви пропонуєте API та розробку серверної частини. І цей список продовжується хмарними тестами для хмарних провайдерів.
Наведений вище список має стати хорошою відправною точкою. Це повинно допомогти вам диференціювати всі тести на проникнення, розповісти про них і закінчити найкращим варіантом використання для кожного. Розширюйте свої знання за допомогою цих та інших.
Далі ознайомтеся з преміальним програмним забезпеченням для тестування на проникнення для веб-додатків.
