Цель имитации атаки – выявить слабые места в защите системы, которыми могут воспользоваться злоумышленники. Пентест - представляет собой широкий перечень услуг (внутренний, внешний пентест, а также иные услуги).
Проведём аналогию: банк нанял человека, который переоделся в грабителя и попытался проникнуть в здание с целью получить доступ к хранилищу. Если "преступник" достиг своей цели, банк получит ценную информацию о том, как ему следует усилить меры безопасности.
Лучше всего, чтобы пентест проводил человек, не имеющий практически никаких знаний о том, как защищена система, поскольку он может выявить "слепые пятна", упущенные разработчиками. По этой причине для проведения тестов обычно привлекаются внешние подрядчики. Их часто называют "этичными" или "белыми хакерами" (white hat в англоязычном жаргоне) – ведь они взламывают систему санкционированно и с целью повышения безопасности. То есть с законными мотивами.
Многие этичные хакеры – опытные разработчики с высшим образованием и сертификацией по пентестам. С другой стороны, некоторые из лучших этических хакеров – самоучки. Есть и вообще перевоспитавшиеся криминальные хакеры, которые теперь используют свой опыт для устранения недостатков безопасности, а не для их эксплуатации.
Лучший кандидат для проведения пентеста может сильно различаться в зависимости от целевой компании и типа исследования, который она хочет запустить.
Открытая проверка (white-box) – хакеру заранее предоставляется обширная информация о безопасности целевой компании.
Закрытый пентест (black-box) – также известен как "одиночный слепой" тест, при котором хакеру не предоставляется никакой справочной информации, кроме названия целевой компании.
Скрытый пентест – также известный как "двойной слепой" пен-тест, это ситуация, когда почти никто в компании не знает, что проводится пентест, включая специалистов по ИТ и безопасности, которые будут реагировать на атаку. Для скрытых тестов очень важно, чтобы хакер заранее в письменном виде описал масштаб и другие детали теста, чтобы избежать проблем с правоохранительными органами.
Внешний пентест – хакер работает с технологиями компании, обращенными к внешнему миру, такими как веб-сайт и серверы внешней сети. В некоторых случаях хакеру даже не разрешается входить в здание компании. Это может означать проведение атаки из удаленного места.
Внутренний пентест – хакер проводит тест из внутренней сети. Этот вид теста полезен для определения того, какой ущерб может нанести негативно настроенный сотрудник, имеющий доступ к брандмауэру компании.
Пентест начинаются с этапа разведки, во время которого этичный хакер собирает данные и информацию, необходимые для планирования имитации атаки. После этого основное внимание уделяется получению и сохранению доступа к целевой системе, для чего требуется широкий набор инструментов.
Инструменты для атак включают программное обеспечение, предназначенное для проведения атак методом перебора или SQL-инъекций. Существует также оборудование, специально разработанное для проведения пентестов, например, незаметные устройства, которые можно подключить к компьютеру в сети, чтобы предоставить хакеру удаленный доступ к этой сети.
Кроме того, этичный хакер может использовать методы социальной инженерии для поиска уязвимостей. Например, отправлять фишинговые электронные письма сотрудникам компании или даже маскироваться под курьера, чтобы получить физический доступ в здание.
Хакер завершает проверку, заметая следы; это означает удаление любого встроенного оборудования и все остальное, что он может сделать, чтобы избежать обнаружения и оставить целевую систему в том виде, в котором он ее нашел.
После завершения пен-теста этичный хакер поделится своими выводами с командой безопасности целевой компании.
Эта информация может быть использована для внедрения обновлений безопасности, чтобы устранить все уязвимости, обнаруженные в ходе тестирования. Эти обновления могут включать ограничение скорости запросов, новые правила WAF, защиту от DDoS, а также более строгую проверку и санитаризацию форм.
Восстановление аккумулятора ИБП: методы и советы
Узнайте, как диагностировать и восстанавливать аккумуляторы ИБП, причины их износа, методы восстановления и когда необходима замена. |
Искусство выбора: как подобрать идеальные обои для рабочего стола
Обои для смартфона или рабочего стола компьютера это не просто изображения, которые мы видим каждый раз, когда включаем нашу технику |
архив: 2013 2012 2011 1999-2011 новости ИТ гость портала 2013 тема недели 2013 поздравления