тест на проникновение
- 1. Тест на проникновение (Penetration Test) объективный метод оценки защищенности информационной системы предприятия Владимир Ткаченко, директор ООО «Агентство активного аудита» Евгений Ермолаев, CISM, Технический директор ООО «Агентство активного аудита»
- 2. Тест на проникновение Это Имитация атаки группой хакеров, цели которых: • проникновение информационную систему(ы) компании • кража и/или модификация конфиденциальных данных • нарушение работы критических бизнес процессов компании В отличие от реальных злоумышленников команда пентестеров соблюдает этические правила при проведении всех работ. Виды тестов: White box Исполнитель имеет доступ к системам и располагает полной информацией о них Black Box Имитирует группу хакеров, которые не имеют сведений о целевой системе (системах). Имитация хакеров, располагающих информацией частично (например о диапазоне IP адресов, Web сайтах, физическом месторасположении, идентификаторах беспроводных Grey Box сетей и т.д), а также возможно, доступом с низким уровнем привилегий в некоторые тестируемые системы. 08.06.2012 © ООО «Агентство активного аудита» 2
- 3. Цели теста Основные цели: - Снизить потенциальный финансовый и репутационный ущерб от реализации угроз; - Определить эффективность принятых мер защиты; - Получить фундамент для планирования развития ИТ и ИБ предприятия; - Защитить потенциальных пользователей (сотрудников, партнеров, заказчиков) систем(ы) или приложения от компрометации их данных или других мошеннических действий; - Получить независимую оценку о степени защищенности систем(ы) 08.06.2012 © ООО «Агентство активного аудита» 3
- 4. Задачи теста на проникновение Тестирование позволяет оценить: 1) Реальную картину защищенности информационной системы 08.06.2012 © ООО «Агентство активного аудита» 4
- 5. Задачи теста на проникновение Тестирование позволяет оценить: 2) недостатки в процессах и процедурах управления ИБ - установка обновлений в ИТ системах и ПО - управление изменениями - управление доступом - резервное копирование - обучение пользователей - управление инцидентами - использование лицензионного ПО 08.06.2012 © ООО «Агентство активного аудита» 5
- 6. Задачи теста на проникновение Тестирование позволяет оценить: 3) осведомленность и реакцию персонала на возникновение инцидентов ИБ - реакция на возникновение инцидента информационной безопасности - способность обнаруживать и противостоять атакам методом социальной инженерии 08.06.2012 © ООО «Агентство активного аудита» 6
- 7. Цели Возможные цели тестирования: • Внешний и внутренний периметр сети • WEB сайты • Базы данных • Специализированные приложения • Анализ конфигураций сетевых устройств, приложений и серверов на соответствие стандартам безопасности • Тестирование сотрудников на устойчивость к методам социальной инженерии • Физическое проникновение на территорию • Беспроводные сети • Анализ кода WEB-сайтов • Анализ кода приложений 08.06.2012 © ООО «Агентство активного аудита» 7
- 8. Векторы Методы проникновения по способу организации (вектору): 1) Проникновение через сетевую инфраструктуру 2) Социальная инженерия 3) Физическое проникновение 08.06.2012 © ООО «Агентство активного аудита» 8
- 9. КАК ПРОВОДИТЬ ТЕСТ? Методы оценки защищенности (согласно NIST) включают - Тестирование - процесс проверки систем в определенных условиях, позволяющий сравнить полученные результаты с ожидаемыми; - Экспертиза (обследование) – процесс инспектирования, аудита, изучения и анализа систем для понимания их текущего состояния (функционирования) или сбора доказательств; - Интервью - процесс получения информации от групп специалистов для понимания текущего состояния систем (процессов) и идентификации возможных мест для сбора доказательств. Наиболее распространенные методологии тестов на проникновение: • Special Publication SP 800-115 (Technical Guide to Information Security Testing and Assessment) ; • OSSTMM (Open Source Security Methodology Manual ); • ISSAF (Information System Security Assessment Framework ); • BSI (A Penetration Testing Model) 08.06.2012 © ООО «Агентство активного аудита» 9
- 10. Основные этапы теста Мероприятия ЭТАПЫ Результаты -Определение ответственных с - Соглашение о неразглашении обеих сторон; конфиденциальной информации; - Проведение встречи для Планирование - Договор (предмет, ответственность определения границ, подходов и сторон, оплата, сроки, условия и формат методов; и подготовка результатов) - Согласование тестов и путей воздействия -Сбор информации о целевой системе; - Составление карты сети; Оценка Список возможных уязвимостей и вариантов их эксплуатации - Идентификация уязвимостей; - Проникновение; защищенности - Получение привилегий в системе; - Развитие атаки (нарушение КЦД информации); - Компрометация пользователей и/или систем; - Создание каналов доступа к Отчет об анализе защищенности системе; - Уничтожение следов пребывания в Подготовка отчета системе 08.06.2012 © ООО «Агентство активного аудита» 10
- 11. РЕЗУЛЬТАТ Результат проведения теста на проникновение – отчет понятный менеджменту, ИТ и другим аудиторам Отчет позволяет: • Получить объективную картину состояния ИБ на предприятии; • Получить входные данные для анализа ИТ рисков; • Оценить степень эффективности текущих мер защиты; • Планировать дальнейшее развитие ИТ и ИБ на предприятии; • Предотвратить потери для бизнеса Отчет содержит: • Анализ угроз и уязвимостей по разделам (сетевой уровень (инфраструктура), приложения, базы данных, Web-сайты, беспроводные сети, атаки методами социальной инженерии, другие варианты атак (физическое проникновение)); • Сценарии атак и результаты реализации; • Рекомендации по снижению или устранению рисков. 08.06.2012 © ООО «Агентство активного аудита» 11
- 12. СКАНИРОВАНИЕ VS ТЕСТ НА ПРОНИКНОВЕНИЕ • Оценить все векторы атак; • Получить данные для анализа ИТ рисков; • Планировать бюджет ИТ и ИБ с максимальным ROI • Корректировать процессы и процедуры • Получить протоколы на английском на 500> стр; • Получить красивые графики для менеждеров ; • Потратить бюджет на тест на проникновение 08.06.2012 © ООО «Агентство активного аудита» 12
- 13. РЕЗУЛЬТАТ (ПРИМЕР) Уровень защищенности по векторам атак (экспертная оценка) Сетевой периметр 10 9 8 7 Физическое проникновение WEB-сайты (приложения) 6 5 4 3 2 1 0 Инсайдерские атаки (внутренний Интерфейсы приложений (подбор злоумышленник) паролей) Социальная инженерия Беспроводные сети Текущее состояние Идеальная защита Критический (система не защищена) 08.06.2012 © ООО «Агентство активного аудита» 13
- 14. СТАТИСТИКА ПО ПРОВЕДЕННЫМ ТЕСТАМ TOP 10 критических уязвимостей Риск от 0 до 10 Отсутствие процессов управления СУИБ (политики безопасности, 10 управление доступом, управление изменениями, управление … 9 Отсутствие обучения сотрудников основам ИБ Неправильные настройки безопасности публично доступных приложений 8 (невыполнение рекомендаций производителя) Множество доступных интерфейсов авторизации, и использование 8 администраторами простых паролей Неправильная архитектура сети, отсутствие разделения среды разработки, 7 тестирования и эксплуатации приложений (взлом критических … Отсутствие сегментирования сети, неправильная настройка правил 7 фильтрации и мониторинга систем предотвращения вторжений 6 Уязвимости WEB-сайтов приводящие к НСД в сеть (SQL injection) Возможность организации массовой рассылки с серверов корпоративной 6 почты (спам, фишинг) Настройки сетевых устройств по умолчанию (пароли, SNMP community и 5 др) Использование администраторами критических серверов для решения 4 повседневных задач и использование дополнительных нестандартных … 0 1 2 3 4 5 6 7 8 9 10 08.06.2012 © ООО «Агентство активного аудита» 14
- 15. info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88