Embed Size (px)
Citation preview
Тестирование на проникновение, как инструмент для поиска
уязвимостейАлександр Дорофеев,
CISSP, CISA
Содержание
1. Подходы к проведению инструментального аудита информационной безопасности
2. Обзор существующих методологий проведения теста на проникновение
3. Обзор программных средств для проведения инструментального аудита
4. Backtrack – как комплекс программных средства аудитора - «этичного хакера»
2
Содержание
5. Риски, связанные с тестированием на проникновение и меры по их минимизации
6. Формат отчета по аудиту ИБ7. Как социальная инженерия может
дополнить внешнее тестирование на проникновение?
8. Примеры из практики
3
Что такое тестирование на проникновение?
• Метод оценки защищенности информационной системы или сети с помощью имитации атаки (действий злоумышленников).
• English: penetration testing, ethical hacking
4
Модель злоумышленника
Уровень осведомленности
Ничего не знает
Что-то знает
Знает все
По отношению к системе
Внешний
Внутренний
5
Подходы к оценке защищенности
Классический тест на проникновение
Сканирование на наличие
уязвимостей
Анализ конфигурации
системы
Комплексный подход
6
Классический тест на проникновение
• Имитация действий реального злоумышленника – поиск первой уязвимости, позволяющей получить доступ к системе
• Больше искусство, чем аудит. Качество сильно зависит от уровня специалиста
• Обычный результат: несколько опасных уязвимостей
• Высокий риск нарушения доступности систем
7
Сканирование
• Использование исключительно сканеров для поиска уязвимостей
• Качество сильно зависит от используемого сканера.
• Результат: множество уязвимостей различного уровня опасности
• Средний риск нарушения работоспособности систем
8
Анализ конфигурациисистемы
• Проверка настроек систем в соответствии с рекомендуемыми вендорами или сообществами профессионалов по ИБ (NIST, Center of Internet Security).
• Результат: множество уязвимостей различного уровня опасности
• Низкий риск нарушения работоспособности систем
9
Комплексный подход
• Использование комбинации упоминавшихся выше подходов
• Контролируемые риски нарушения доступности систем
• Контролируемое качество аудита
10
Основные цели работ
11
Классический тест на
проникновение
•Демонстрация незащищенности систем
Сканирование
•Быстрый поиск уязвимостей для их устранения
Анализ конфигурации
•Поиск уязвимостей при минимальном воздействии на работу систем
Комплексный подход
•Поиск максимального количества уязвимостей с контролируемыми рисками проекта
Комплексный подход: основные этапы
идентификация целевых
сетевых узлов
•Nmap•Nslookup•Net view и т.д.
поиск уязвимостей
•Nessus, Nikto;•LanScope;•DumpSec, SID&USER и т.д.
эксплуатация уязвимостей,
проведение атак
•THC-Hydra;•Metasploit;•Cain, LCP
расширение привилегий
•Локальные эксплойты.
12
Методологии
• Information Systems Security Assessment Framework (ISSAF)
• Open Source Security Testing Methodology Manual (OSSTMM)
• OWASP Testing Guide• Книги серии “Секреты хакеров”
13
Backtrack
• Загрузочный диск Linux• Содержит десятки установленных
утилит, готовых к работе(NMap, Metasploit, Nikto и др.)
14
Backtrack в действии
15
Поисковики на службе хакеров
16
Риски и контрмеры
17
1. Нарушение доступности сервисов
• работы в нерабочее время• анализ конфигурации для критичных систем• атаки против тестовых систем с конфигурацией идентичной боевым• согласование запуска потенциально опасного кода с заказчиком
2. Нарушение конфиденциальности
• NDA• мониторинг (видео, перехват сетевого трафика)
3. Низкое качество • согласование с заказчиком целей, подходов к тестированию и формата результатов
Хороший отчет
• Резюме для руководства• Границы проекта• Подход• Описание каждой уязвимости в
формате: обнаружение – риск – рекомендация
• Захватывающее последовательное описание действий аудитора интересно только администратору
18
Мотивы
19
Заказчика
Повысить уровень
защищенности
Увеличить бюджет на ИБ
Выполнить внешние
требования
Консультанта
Продать ПО
Продать услуги
Уязвимости
• Отсутствие процедур• Отсутствие обновлений• Слабые пароли• Ошибки специалистов
20
Пароли
• 1111….1 • 123456 • 89031234567• 12301980 • Elena, elena82, elena26 • Qwerty• october • october56 • London• jrnz,hm• $uper
21
Рекомендации
• Внедрение процедур ИБ• Установка обновлений• Конфигурация систем в
соответствии с рекомендациями вендоров
22
Социальная инженерия
• Тестирование из Интернет с использованием инструментальных средств не всегда успешно.
• Фишинг-атака может помочь получить пароль пользователя быстрее, чем его найдет THC-Hydra по словарю.
23
Полезные ссылки
1. www.backtrack-linux.org2. www.nessus.org3. www.owasp.org4. www.oissg.org/issaf
24
Александр Дорофеев
CISSP, CISA
Директор
АНО “Учебный центр “Эшелон”
www: www.uc-echelon.ru
E-mail: [email protected]
Тел.: +7(495) 645-38-09
