Тест на проникновение (Penetration Test)

объективный метод оценки защищенности

информационной системы предприятия

Владимир Ткаченко, директор ООО «Агентство активного аудита» Евгений Ермолаев, CISM, Технический директор ООО «Агентство активного аудита»

Тест на проникновение

08.06.2012 © ООО «Агентство активного аудита» 2

Это Имитация атаки группой хакеров, цели которых:

В отличие от реальных злоумышленников команда пентестеров соблюдает этические правила при проведении всех работ.

• проникновение информационную систему(ы) компании

• кража и/или модификация конфиденциальных данных

• нарушение работы критических бизнес процессов компании

White box Исполнитель имеет доступ к системам и располагает полной информацией о них

Black Box Имитирует группу хакеров, которые не имеют сведений о целевой системе (системах).

Grey Box

Имитация хакеров, располагающих информацией частично (например о диапазоне IP адресов, Web сайтах, физическом месторасположении, идентификаторах беспроводных сетей и т.д), а также возможно, доступом с низким уровнем привилегий в некоторые тестируемые системы.

Виды тестов:

Цели теста

08.06.2012 © ООО «Агентство активного аудита» 3

Основные цели:

- Снизить потенциальный финансовый и репутационный ущерб от реализации угроз;

- Определить эффективность принятых мер защиты;

- Получить фундамент для планирования развития ИТ и ИБ предприятия;

- Защитить потенциальных пользователей (сотрудников, партнеров, заказчиков) систем(ы) или приложения от компрометации их данных или других мошеннических действий;

- Получить независимую оценку о степени защищенности систем(ы)

Задачи теста на проникновение

08.06.2012 © ООО «Агентство активного аудита» 4

1) Реальную картину защищенности информационной системы

Тестирование позволяет оценить:

Задачи теста на проникновение

08.06.2012 © ООО «Агентство активного аудита» 5

2) недостатки в процессах и процедурах управления ИБ

Тестирование позволяет оценить:

- установка обновлений в ИТ системах и ПО

- управление изменениями - управление доступом - резервное копирование - обучение пользователей - управление инцидентами - использование

лицензионного ПО

Задачи теста на проникновение

08.06.2012 © ООО «Агентство активного аудита» 6

3) осведомленность и реакцию персонала на возникновение инцидентов ИБ

Тестирование позволяет оценить:

- реакция на возникновение инцидента информационной безопасности

- способность обнаруживать и противостоять атакам методом социальной инженерии

Цели

08.06.2012 © ООО «Агентство активного аудита» 7

Возможные цели тестирования:

• Внешний и внутренний периметр сети • WEB сайты • Базы данных • Специализированные приложения • Анализ конфигураций сетевых устройств, приложений и серверов на соответствие стандартам безопасности • Тестирование сотрудников на устойчивость к методам социальной инженерии • Физическое проникновение на территорию • Беспроводные сети • Анализ кода WEB-сайтов • Анализ кода приложений

Векторы

08.06.2012 © ООО «Агентство активного аудита» 8

Методы проникновения по способу организации (вектору): 1) Проникновение через сетевую инфраструктуру

2) Социальная инженерия

3) Физическое проникновение

КАК ПРОВОДИТЬ ТЕСТ?

08.06.2012 © ООО «Агентство активного аудита» 9

Методы оценки защищенности (согласно NIST) включают - Тестирование - процесс проверки систем в определенных условиях, позволяющий

сравнить полученные результаты с ожидаемыми; - Экспертиза (обследование) – процесс инспектирования, аудита, изучения и анализа

систем для понимания их текущего состояния (функционирования) или сбора доказательств;

- Интервью - процесс получения информации от групп специалистов для понимания текущего состояния систем (процессов) и идентификации возможных мест для сбора доказательств.

• Special Publication SP 800-115 (Technical Guide to Information Security Testing and Assessment) ;

Наиболее распространенные методологии тестов на проникновение:

• OSSTMM (Open Source Security Methodology Manual );

• ISSAF (Information System Security Assessment Framework );

• BSI (A Penetration Testing Model)

08.06.2012 10

Планирование и подготовка

ЭТАПЫ Мероприятия Результаты

Оценка защищенности

-Определение ответственных с обеих сторон; - Проведение встречи для определения границ, подходов и методов; - Согласование тестов и путей воздействия

- Соглашение о неразглашении конфиденциальной информации; - Договор (предмет, ответственность сторон, оплата, сроки, условия и формат результатов)

-Сбор информации о целевой системе; - Составление карты сети; - Идентификация уязвимостей; - Проникновение; - Получение привилегий в системе; - Развитие атаки (нарушение КЦД информации); - Компрометация пользователей и/или систем; - Создание каналов доступа к системе; - Уничтожение следов пребывания в системе

Список возможных уязвимостей и вариантов их эксплуатации

Отчет об анализе защищенности

Основные этапы теста

© ООО «Агентство активного аудита»

Подготовка отчета

РЕЗУЛЬТАТ

08.06.2012 © ООО «Агентство активного аудита» 11

Результат проведения теста на проникновение – отчет понятный менеджменту, ИТ и другим аудиторам

• Получить объективную картину состояния ИБ на предприятии; • Получить входные данные для анализа ИТ рисков; • Оценить степень эффективности текущих мер защиты; • Планировать дальнейшее развитие ИТ и ИБ на предприятии; • Предотвратить потери для бизнеса

Отчет позволяет:

• Анализ угроз и уязвимостей по разделам (сетевой уровень (инфраструктура), приложения, базы данных, Web-сайты, беспроводные сети, атаки методами социальной инженерии, другие варианты атак (физическое проникновение));

• Сценарии атак и результаты реализации; • Рекомендации по снижению или устранению рисков.

Отчет содержит:

СКАНИРОВАНИЕ VS ТЕСТ НА ПРОНИКНОВЕНИЕ

08.06.2012 © ООО «Агентство активного аудита» 12

• Получить протоколы на английском на 500> стр;

• Получить красивые графики для менеждеров ;

• Потратить бюджет на тест на проникновение

• Оценить все векторы атак; • Получить данные для

анализа ИТ рисков; • Планировать бюджет ИТ и

ИБ с максимальным ROI • Корректировать процессы

и процедуры

РЕЗУЛЬТАТ (ПРИМЕР)

08.06.2012 © ООО «Агентство активного аудита» 13

0

1

2

3

4

5

6

7

8

9

10

Сетевой периметр

WEB-сайты (приложения)

Интерфейсы приложений (подбор паролей)

Беспроводные сети Социальная инженерия

Инсайдерские атаки (внутренний злоумышленник)

Физическое проникновение

Уровень защищенности по векторам атак (экспертная оценка)

Текущее состояние Идеальная защита Критический (система не защищена)

СТАТИСТИКА ПО ПРОВЕДЕННЫМ ТЕСТАМ

08.06.2012 © ООО «Агентство активного аудита» 14

4

5

6

6

7

7

8

8

9

10

0 1 2 3 4 5 6 7 8 9 10

Использование администраторами критических серверов для решения повседневных задач и использование дополнительных нестандартных …

Настройки сетевых устройств по умолчанию (пароли, SNMP community и др)

Возможность организации массовой рассылки с серверов корпоративной почты (спам, фишинг)

Уязвимости WEB-сайтов приводящие к НСД в сеть (SQL injection)

Отсутствие сегментирования сети, неправильная настройка правил фильтрации и мониторинга систем предотвращения вторжений

Неправильная архитектура сети, отсутствие разделения среды разработки, тестирования и эксплуатации приложений (взлом критических …

Множество доступных интерфейсов авторизации, и использование администраторами простых паролей

Неправильные настройки безопасности публично доступных приложений (невыполнение рекомендаций производителя)

Отсутствие обучения сотрудников основам ИБ

Отсутствие процессов управления СУИБ (политики безопасности, управление доступом, управление изменениями, управление …

TOP 10 критических уязвимостей

Риск от 0 до 10

info@auditagency.com.ua

www.auditagency.com.ua

044 228 15 88