В последнее время как государственные, так и частные организации стали рассматривать кибербезопасность в качестве стратегического приоритета. Киберпреступники часто делают государственные и частные организации своими слабыми объектами, используя различные направления атаки. К сожалению, из-за отсутствия эффективных политик, стандартов и сложности информационной системы, киберпреступники имеют большое количество целей, и они становятся успешными в использовании системы и краже информации тоже.
Тестирование на проникновение — это одна из стратегий, которая может быть использована для снижения рисков кибератак. Успех тестирования на проникновение зависит от эффективной и последовательной методологии оценки.
У нас есть различные методики оценки, связанные с тестированием на проникновение. Преимущество использования методологии состоит в том, что она позволяет оценщикам последовательно оценивать окружающую среду. Ниже приведены несколько важных методологий.
-
Руководство по методологии тестирования безопасности с открытым исходным кодом (OSSTMM)
-
Открытый проект безопасности веб-приложений (OWASP)
-
Национальный институт стандартов и технологий (NIST)
-
Стандарт выполнения испытаний на проникновение (PTES)
Руководство по методологии тестирования безопасности с открытым исходным кодом (OSSTMM)
Открытый проект безопасности веб-приложений (OWASP)
Национальный институт стандартов и технологий (NIST)
Стандарт выполнения испытаний на проникновение (PTES)
Что такое PTES?
PTES, стандарт выполнения тестирования на проникновение, как следует из названия, представляет собой методологию оценки для тестирования на проникновение. Он охватывает все, что касается теста на проникновение. У нас есть ряд технических руководств в рамках PTES, связанных с различными средами, с которыми может столкнуться оценщик. Это самое большое преимущество использования PTES новыми оценщиками, потому что в технических руководствах есть предложения по рассмотрению и оценке среды в рамках стандартных отраслевых инструментов.
В следующем разделе мы узнаем о различных этапах PTES.
Семь Фаз ПТЭС
Стандарт выполнения тестирования на проникновение (PTES) состоит из семи этапов. Эти этапы охватывают все, что связано с тестированием на проникновение — от первоначального общения и рассуждений за пентестом до этапов сбора информации и моделирования угроз, когда тестеры работают за кулисами. Это приводит к лучшему пониманию проверенной организации посредством исследования уязвимостей, эксплуатации и последующей эксплуатации. Здесь экспертные знания в области технической безопасности критически сочетаются с бизнес-пониманием задания и, наконец, с отчетностью, которая охватывает весь процесс таким образом, который имеет смысл для клиента и обеспечивает наибольшую ценность для него.
Мы узнаем о семи этапах PTES в наших последующих разделах —
Фаза взаимодействия перед взаимодействием
Это первый и очень важный этап PTES. Основная цель этого этапа состоит в том, чтобы объяснить доступные инструменты и методы, которые помогают успешно выполнить предварительный этап теста на проникновение. Любая ошибка при реализации этого этапа может оказать существенное влияние на остальную часть оценки. Эта фаза включает в себя следующее:
Запрос на оценку
Самая первая часть, с которой начинается этот этап, — это создание запроса на оценку со стороны организации. Оценщику предоставляется документ запроса предложений (RFP), содержащий подробную информацию об окружающей среде, виде требуемой оценки и ожиданиях организации.
торги
Теперь, основываясь на документе RFP , несколько оценочных фирм или отдельных корпораций с ограниченной ответственностью (LLC) предложат цену, и победит сторона, предложение которой соответствует запрашиваемой работе, цене и некоторым другим конкретным параметрам.
Подписание письма-обязательства (EL)
Теперь организация и партия, которая выиграла тендер, подпишут договор о помолвке (EL). В письме будет указано техническое задание (SOW) и конечный продукт.
Обзорная встреча
Как только EL подписан, может начаться тонкая настройка области. Такие встречи помогают организации и партии отрегулировать конкретный объем. Основная цель обзорной встречи — обсудить, что будет проверено.
Обработка ползучести области
Сфера действия — это то, что клиент может попытаться добавить или расширить обещанный уровень работы, чтобы получить больше, чем он, возможно, обещал заплатить. Вот почему изменения в первоначальном объеме должны быть тщательно продуманы из-за времени и ресурсов. Он также должен быть заполнен в некоторой документированной форме, такой как электронная почта, подписанный документ или авторизованное письмо и т. Д.
Анкетирование
Во время первоначального общения с клиентом, есть несколько вопросов, на которые клиент должен будет ответить для правильной оценки объема взаимодействия. Эти вопросы призваны обеспечить лучшее понимание того, что клиент хочет получить от теста на проникновение; почему клиент хочет провести тест на проникновение в своей среде; и хотят ли они, чтобы определенные типы тестов выполнялись во время теста на проникновение.
Способ проведения теста
Последняя часть этапа предварительной помолвки — это определение процедуры проведения теста. На выбор предлагаются различные стратегии тестирования, такие как Белый ящик, Черный ящик, Серый ящик, Двойное слепое тестирование.
Ниже приведены несколько примеров оценок, которые могут быть запрошены:
- Тест на проникновение в сеть
- Тест на проникновение веб-приложений
- Тест на проникновение беспроводной сети
- Тест на физическое проникновение
- Социальная инженерия
- Фишинг
- Протокол передачи голоса по Интернету (VOIP)
- Внутренняя сеть
- Внешняя сеть
Фаза сбора разведданных
Сбор информации, вторая фаза PTES, — это то, где мы проводим предварительную съемку против цели, чтобы собрать как можно больше информации, которую можно использовать при проникновении в цель на этапах оценки уязвимости и эксплуатации. Это помогает организациям в определении внешнего воздействия группой оценки. Мы можем разделить сбор информации на следующие три уровня —
Сбор информации уровня 1
Автоматизированные инструменты могут получить этот уровень информации практически полностью. Усилия по сбору информации уровня 1 должны соответствовать требованиям соответствия.
Уровень 2 Сбор информации
Этот уровень информации может быть получен с помощью автоматизированных инструментов с уровня 1 наряду с некоторым ручным анализом. Этот уровень требует хорошего понимания бизнеса, включая такую информацию, как физическое местоположение, деловые отношения, организационная структура и т. Д. Усилия по сбору информации уровня 2 должны соответствовать требованиям соответствия наряду с другими потребностями, такими как долгосрочная стратегия безопасности, приобретение мелких производителей и т. д.
Сбор информации уровня 3
Этот уровень сбора информации используется в самом продвинутом тесте на проникновение. Вся информация от уровня 1 и уровня 2 наряду с большим количеством ручного анализа требуется для сбора информации уровня 3.
Этап моделирования угроз
Это третья фаза PTES. Подход к моделированию угроз необходим для правильного выполнения тестирования на проникновение. Моделирование угроз может использоваться как часть теста на проникновение, или оно может столкнуться с рядом факторов. Если мы используем моделирование угроз как часть теста на проникновение, то информация, собранная на втором этапе, будет возвращена на первый этап.
Следующие шаги составляют фазу моделирования угроз —
-
Сбор необходимой и актуальной информации.
-
Необходимо идентифицировать и классифицировать первичные и вторичные активы.
-
Необходимо идентифицировать и классифицировать угрозы и угрозы сообществам.
-
Необходимо сопоставить сообщества угроз с первичными и вторичными активами.
Сбор необходимой и актуальной информации.
Необходимо идентифицировать и классифицировать первичные и вторичные активы.
Необходимо идентифицировать и классифицировать угрозы и угрозы сообществам.
Необходимо сопоставить сообщества угроз с первичными и вторичными активами.
Угроза Сообщества и агенты
В следующей таблице перечислены соответствующие сообщества и агенты угроз, а также их расположение в организации.
| Место нахождения | внутренний | внешний |
|---|---|---|
| Агенты / сообщества угроз | Сотрудники | Партнеры по бизнесу |
| Лица управления | Подрядчики | |
| Администраторы (Сеть, Система) | Конкуренты | |
| Инженеры | Поставщики | |
| Технический | Национальные государства | |
| Общее пользовательское сообщество | Хакеры |
Выполняя оценку моделирования угроз, мы должны помнить, что расположение угроз может быть внутренним. Требуется только один фишинговый адрес электронной почты или один раздраженный сотрудник, который держит безопасность организации под угрозой, передавая учетные данные.
Этап анализа уязвимостей
Это четвертая фаза PTES, в которой оценщик определит возможные цели для дальнейшего тестирования. На первых трех этапах PTES были извлечены только подробности об организации, и оценщик не коснулся каких-либо ресурсов для тестирования. Это самая трудоемкая фаза PTES.
Следующие этапы составляют анализ уязвимости —
Тестирование уязвимостей
Это может быть определено как процесс обнаружения недостатков, таких как неправильная конфигурация и небезопасные разработки приложений в системах и приложениях хоста и служб. Перед проведением анализа уязвимости тестировщик должен правильно определить область тестирования и желаемый результат. Тестирование уязвимостей может быть следующих типов:
- Активное тестирование
- Пассивное тестирование
Мы обсудим эти два типа подробно в наших последующих разделах.
Активное тестирование
Он включает в себя прямое взаимодействие с компонентом, который тестируется на наличие уязвимостей. Компоненты могут быть на низком уровне, например стек TCP на сетевом устройстве, или на высоком уровне, например, веб-интерфейс. Активное тестирование может быть выполнено следующими двумя способами:
Автоматизированное активное тестирование
Он использует программное обеспечение для взаимодействия с целью, изучения ответов и определения на основе этих ответов наличия или отсутствия уязвимости в компоненте. Важность автоматического активного тестирования по сравнению с активным ручным тестированием может быть понята из того факта, что если в системе тысячи портов TCP и нам необходимо подключить все из них вручную для тестирования, это потребует значительного количества времени. Тем не менее, выполнение этого с помощью автоматизированных инструментов может сократить много времени и трудозатрат. Сканирование уязвимостей сети, сканирование портов, захват баннеров, сканирование веб-приложений можно выполнять с помощью автоматизированных инструментов активного тестирования.
Ручное активное тестирование
Эффективное ручное тестирование более эффективно по сравнению с автоматическим активным тестированием. Погрешность всегда существует с автоматизированным процессом или технологией. Вот почему всегда рекомендуется выполнять прямые прямые подключения к каждому протоколу или услуге, доступной в целевой системе, для проверки результатов автоматического тестирования.
Пассивное тестирование
Пассивное тестирование не предполагает непосредственного взаимодействия с компонентом. Это может быть реализовано с помощью следующих двух методов —
Анализ метаданных
Этот метод включает просмотр данных, описывающих файл, а не данных самого файла. Например, файл MS word содержит метаданные в виде имени автора, названия компании, даты и времени последнего изменения и сохранения документа. Если злоумышленник может получить пассивный доступ к метаданным, возникнет проблема безопасности.
Мониторинг трафика
Это может быть определено как метод подключения к внутренней сети и сбора данных для автономного анализа. Он в основном используется для захвата «утечки данных» в коммутируемую сеть.
Проверка
После тестирования на уязвимость проверка результатов очень необходима. Это можно сделать с помощью следующих методов —
Корреляция между инструментами
Если оценщик проводит тестирование уязвимости с помощью нескольких автоматизированных инструментов, то для проверки результатов очень важно иметь корреляцию между этими инструментами. Выводы могут стать сложными, если нет такой корреляции между инструментами. Он может быть разбит на конкретные соотношения предметов и категориальные соотношения предметов.
Проверка протокола
Проверка может быть выполнена с помощью протоколов также. VPN, Citrix, DNS, Web, почтовый сервер могут быть использованы для проверки результатов.
Исследование
После обнаружения и проверки уязвимости в системе важно определить точность определения проблемы и исследовать потенциальную возможность использования уязвимости в рамках теста на проникновение. Исследование может быть сделано публично или в частном порядке. При проведении общедоступных исследований можно использовать базу данных об уязвимостях и рекомендации поставщиков для проверки точности сообщаемой проблемы. С другой стороны, при проведении частных исследований можно установить среду реплики и применить методы, такие как фаззинг или тестирование конфигураций, для проверки точности сообщаемой проблемы.
Фаза эксплуатации
Это пятая фаза PTES. Этот этап направлен на получение доступа к системе или ресурсу путем обхода ограничений безопасности. На этом этапе вся работа, выполненная на предыдущих этапах, приводит к получению доступа к системе. Для получения доступа к системе используются следующие общие термины:
- Выскочил
- Shelled
- треснувший
- эксплуатируемый
Регистрация в системе на этапе эксплуатации может осуществляться с помощью кода, удаленного использования, создания эксплойта, обхода антивируса или может быть такой же простой, как регистрация через слабые учетные данные. После получения доступа, т. Е. После определения основной точки входа, оценщик должен сосредоточиться на выявлении целевых активов высокой стоимости. Если фаза анализа уязвимости была завершена должным образом, должен быть выполнен целевой список высокой ценности. В конечном счете, вектор атаки должен учитывать вероятность успеха и наибольшее влияние на организацию.
Фаза после эксплуатации
Это шестая фаза PTES. На этом этапе оценщик предпринимает следующие действия:
Анализ инфраструктуры
На этом этапе проводится анализ всей инфраструктуры, используемой во время тестирования на проникновение. Например, анализ сети или конфигурации сети может быть выполнен с помощью интерфейсов, маршрутизации, DNS-серверов, кэшированных записей DNS, прокси-серверов и т. Д.
мародерство
Это может быть определено как получение информации от целевых хостов. Эта информация относится к целям, определенным на этапе предварительной оценки. Эта информация может быть получена из установленных программ, определенных серверов, таких как серверы баз данных, принтер и т. Д. В системе.
Эксфильтрация данных
В соответствии с этим действием оценщик должен выполнить картирование и тестирование всех возможных путей эксфильтрации, чтобы можно было осуществлять измерение силы контроля, то есть обнаружение и блокирование конфиденциальной информации от организации.
Создание постоянства
Это действие включает в себя установку бэкдора, который требует аутентификации, перезагрузку бэкдоров при необходимости и создание альтернативных учетных записей со сложными паролями.
уборка
Как следует из названия, этот процесс охватывает требования по очистке системы после завершения теста на проникновение. Это действие включает в себя возврат к исходным значениям системных настроек, параметров конфигурации приложения, а также удаление всех установленных бэкдоров и всех созданных учетных записей пользователей.
Составление отчетов
Это последний и самый важный этап PTES. Здесь клиент платит на основании итогового отчета после завершения теста на проникновение. Отчет в основном является отражением выводов, сделанных оценщиком о системе. Ниже приведены основные части хорошего отчета.
Управляющее резюме
Это отчет, в котором читателю сообщается о конкретных целях теста на проникновение и результатах высокого уровня теста. Предполагаемая аудитория может быть членом консультативного совета Chief Suite.
Сюжетная
Отчет должен содержать основную сюжетную линию, которая объяснит, что было сделано во время сражения, фактические выводы или недостатки безопасности и положительный контроль, который установила организация.
Подтверждение концепции / технический отчет
Подтверждение концепции или технического отчета должно включать технические детали теста и все аспекты / компоненты, согласованные в качестве ключевых показателей успеха в ходе подготовки к участию в проекте. В разделе технического отчета будут подробно описаны объем, информация, путь атаки, рекомендации по устранению воздействия и исправлению.