5 методик тестирования на проникновение

Компании теряют большие деньги из-за утечки данных. По оценке IBM, средний ущерб от утечек в 2020 году составил $3,86 млн долл. При этом половина подобных инцидентов вызвана атаками злоумышленников.

Предотвратить утечку данных помогает тестирование на проникновение, поскольку, помимо прочего, включает имитацию атак. Пентест позволяет выявить реальные уязвимости в ИТ-инфраструктуре компаний, а также оценить потенциальный ущерб от действий злоумышленников.

Профессиональные тестировщики придерживаются специальных методик и стандартов, принятых в сфере информационной безопасности. Можно выделить 5 самых известных и авторитетных: OSSTMM, NIST SP800-115, OWASP, ISSAF и PTES. Для проведения пентестов можно использовать одну из методологий, однако опытные компании-аудиторы применяют сразу несколько. Выбор зависит от конкретной организации, ее бизнес-процессов и процессов информационной безопасности.

Рассмотрим каждую из методологий подробнее.

OSSTMM

The Open Source Security Testing Methodology Manual (OSSTMM) — один из самых популярных стандартов, разработанный Institute for Security and Open Methodologies (ISECOM).

OSSTMM предлагает подробный план тестирования, метрики для оценки уровня безопасности и рекомендации по составлению итогового отчета. Авторы стандарта гарантируют, что тест, который проведен согласно OSSTMM, будет подробным и всесторонним, а результаты — измеримыми и основанными на фактах.

Методология предлагает пять основных каналов (направлений) для тестирования операционной безопасности. Разделение на каналы помогает комплексно оценить уровень защищенности организации и облегчает процесс тестирования. 

Безопасность человека. Безопасность, которая напрямую зависит от физического, либо психологического взаимодействия людей.

Физическая безопасность. Любой материальный (неэлектронный) элемент безопасности, работа которого подразумевает физическое или электромеханическое воздействие.

Беспроводная связь. Безопасность всех беспроводных средств связи, от Wi-Fi до инфракрасных датчиков.

Телекоммуникации. Аналоговые или цифровые средства телефонной связи. В основном это касается телефонии, а также передачи служебной информации по телефонным линиям связи.

Сети передачи данных. Безопасность внутренних и внешних корпоративных сетей, интернет-подключений и сетевого оборудования.

OSSTMM — универсальный стандарт, потому что может быть базовым руководством при проведении тестирования на проникновение. С помощью OSSTMM пентестер может настроить индивидуальную оценку уровня безопасности для каждой конкретной компании, учитывая ее бизнес-процессы, технологические и отраслевые особенности.

NIST SP800-115

NIST Special Publications 800 Series — стандарт информационной безопасности, разработанный National Institute of Standards and Technology. В подразделе стандарта SP 800-115 описаны технические вопросы оценки уровня информационной безопасности, порядок проведения тестирования на проникновение, приведены рекомендации по анализу результатов и разработке мер по снижению рисков. Последняя версия документа уделяет большое внимание снижению рисков от кибератак.

NIST SP800-115 — техническое руководство, которое можно применять для проверки уровня информационной безопасности организаций из различных сфер, в том числе финансовых и ИТ-компаний. Это одна из обязательных методологий проведения пентеста, которую используют профессиональные аудиторские компании. 

Стандарт, помимо прочего, описывает:

• Методы обследования: обзор документации, логов, правил, конфигурации системы, сниффинг сети, проверка целостности файлов.
• Методы проверки целевых уязвимостей: взлом паролей, социальная инженерия, пентест.
• Оценка безопасности: координация, обработка данных, анализ и оценка.
• Действия по итогам тестирования: рекомендации по снижению рисков, составление отчета, устранение уязвимостей. 

OWASP

Open Web Application Security Project (OWASP) — открытое интернет-сообщество, которое предлагает самую исчерпывающую методологию для тестирования приложений, сайтов и API. Документация OWASP полезна любой ИТ-компании, которая заинтересована в создании безопасного программного обеспечения.

OWASP выпустил несколько документов и руководств.

OWASP Top 10. Документ, в котором описаны часто встречающиеся уязвимости веб- и мобильных приложений, IoT-устройств и API. Угрозы упорядочены по сложности и степени их влияния на бизнес.

Руководство по тестированию (OWASP Testing Guide). Содержит набор различных методик по тестированию безопасности веб-приложений, а также примеры из практики.

Руководство для разработчиков (OWASP Developer Guide). Здесь даны рекомендации по написанию безопасного и надежного кода. 

Проверка безопасности кода (OWASP Code Review). Руководство могут использовать веб-разработчики, а также менеджеры продуктов. Документ предлагает эффективные методы проверки безопасности существующего кода.

Одно из главных преимуществ OWASP в том, что методология описывает тестирование на каждой стадии жизненного цикла разработки приложений: определение требований, проектирование, разработка, внедрение и поддержка. При этом тестируются не только сами приложения, но и технологии, процессы, а также люди. 

Второе важное преимущество: OWASP могут применять как пентестеры, так и веб-разработчики.

Сообщество OWASP также выпустило кроссплатформенный инструмент для проведения автоматического тестирования — OWASP ZAP, отчасти схожий с Burp Suite.

ISSAF

Information System Security Assessment Framework (ISSAF) разработан Open Information Systems Security Group (OISSG). Документ охватывает большое количество вопросов, связанных с информационной безопасностью. В ISSAF приведены подробные рекомендации по тестированию на проникновение. Описаны утилиты, которыми можно провести пентест, указания по их использованию, а также подробно разъяснено, какие результаты и при каких параметрах можно получить в результате тестирования.

ISSAF считается достаточно сложной и подробной методологией, которую можно адаптировать для проверки информационной безопасности любой организации. Каждый этап тестирования согласно ISSAF тщательно документируется. Также даны рекомендации по использованию конкретных инструментов на каждом из этапов. 

Методология ISSAF предлагает строгий порядок шагов при имитации взлома:

• сбор информации;
• составление карты сети; 
• выявление уязвимости; 
• проникновение; 
• получение доступа и повышение привилегий; 
• удержание доступа (maintaining access); 
• компрометация удаленных пользователей и сайтов; 
• сокрытие следов проникновения.

PTES

Penetration Testing Methodologies and Standards (PTES) предлагает рекомендации для проведения базового пентеста, а также несколько расширенных вариантов тестирования, для организаций с повышенными требованиями к информационной безопасности. Одно из преимуществ PTES в том, что он дает подробное описание целей и ожиданий от пентеста.

Основные этапы PTES:

• Обследование (Intelligence Gathering). Организация предоставляет тестировщику общую информацию о целевых объектах ИТ-инфраструктуры. Дополнительные сведения тестировщик получает из общедоступных источников.
• Моделирование угроз. Определяются приоритетные направления и векторы атаки с учетом бизнес-процессов и критически важных элементов ИТ. 
• Анализ уязвимостей. Тестировщик выявляет и оценивает риски, связанные с уязвимостями. Проводится анализ всех уязвимостей, которыми может воспользоваться злоумышленник.
• Эксплуатация уязвимости. Попытка использовать найденную уязвимость в защите организации для имитации неправомерных действий. Тестер пытается получить контроль над элементами информационной системы. 
• Составление отчета. Подробно задокументированный итог тестирования на проникновение с информацией об обнаруженных уязвимостях, критичности для бизнеса и рекомендациями по их устранению.

В PTES также содержится руководство по выполнению повторного, или постэксплуатационного, тестирования. Это помогает определить, насколько эффективно были закрыты выявленные уязвимости. 

Заключение

Опытные тестировщики, даже если они используют одну из методологий, стремятся к тому, чтобы охватить весь спектр возможных угроз организации. При этом учитываются технические, организационные и правовые риски: тестировщик исключает те действия, которые несут потенциальную угрозу компании. От действий хакера пентест отличается в первую очередь тем, что тестировщик полностью контролирует уровень воздействия на инфраструктуру клиента.

Для любой компании важно как можно быстрее обнаружить и устранить уязвимость. От этого зависит в том числе размер материального ущерба, если злоумышленнику удастся ею воспользоваться. В этом смысле имитация взлома с помощью пентеста вроде военных учений: так компания поддерживает высокую «боевую готовность».