До сих пор большинство компаний недооценивают риски кражи или компрометации коммерческой информации и считают, что их данные находятся в абсолютной недосягаемости для киберпреступников. Один из способов минимизировать риски – регулярное проведение пентеста для оценки степени уязвимости корпоративной инфраструктуры.
Что такое пентест?
Пентест(penetration testing) - это дословно «тестирование на проникновение». Так называют совокупность приемов, с помощью которых этичные хакеры ищут уязвимости в сетях заказчика. Их действия направлены на выявление брешей в защите компании на уровне программных приложений и сетей.
Пентестеру необходимо поставить себя на место хакера-злоумышленника, то есть искать и находить программные уязвимости, а затем применять украденные данные для новых атак. Практикующий пентестер обладает довольно обширными знаниями::
- Основные способы проникновения хакеров в систему
- Возможные пути и направления атаки;
- Поведение защитных систем при попытках проникновения;
- Вероятный ущерб, который могут причинить злоумышленники.
Этичный хакер сначала моделирует возможные варианты атаки, затем подбирает методы, которыми сможет осуществить ее, реализует, а в финале составляет подробный отчет о результатах и выдает рекомендации по улучшению защиты.
Пентест – часть направления Red Team
Red Team, или наступательная кибербезопасность, — это оценка уровня информационной безопасности систем за счет имитации реальных кибератак, которые выполняются командой специалистов — пентестеров.
То есть специалисты Red Team, по сути, моделирует кражу конфиденциальной информации в составе преступной группы. Исполнители ставят себе целью любыми путями получить доступ к нужным данным и подробно описать заказчику ход успешной атаки.
Подчеркнем, что Red Team в отличие от пентеста — это именно командная оценка безопасности, над которой работает целая группа белых хакеров. И задача у нее масштабнее, нежели просто найти дыры в системе защиты и сообщить о них.
Вместо этого Red Team постарается получить прямой доступ к ценным данным, причем самыми нестандартными и неожиданными способами — в точности как реальные злоумышленники.
Отличает Red Team от стандартного пентеста ещё и то, что это структурированный и комплексный подход к кибербезопасности. Цель в том, чтобы проверить все возможные варианты проникновения, которые могут задействовать компьютерные взломщики. Для этого существует несколько стандартных методологий:
- MITRE ATT&CK — матрица, которая объединяет в себе паттерны и особенности поведения реальных злоумышленников. С её помощью Red Team может имитировать самые разные сценарии атак;
- PTES — организационная методология, помогающая спланировать работу и повысить эффективность атак, а также определиться с инструментами проникновения;
- OWASP — методология взлома веб-ресурсов и веб-приложений, пользуясь которой Red Team может получать доступы к другим системам.
Связь между пентестом и Red Team
Безусловно, пентест — это основополагающее направление в Red Teaming. Однако второй вариант задействуется, когда система прошла более простые проверки на безопасность и теперь пришло время
Поэтому редтиминг — всегда комплексная услуга, в основе которой лежат тесты на проникновение и в инфраструктуру, и в различные средства защиты. Применяются:
- Проверка приложений на возможность подделки межсайтовых запросов, уязвимости при вводе данных;
- Проверка сетей, например, на наличие несанкционированных подключений, взлом точек доступа WiFi, проникновение в мобильные устройства через Bluetooth и другие;
- Получение физического доступа, например, к носителям информации, камерам слежения, веб-камерам;
- Социальный инжиниринг — фишинговые рассылки, звонки, попытки подкупа, подмены ключей доступа и всевозможные манипуляции в расчете на невнимательность или неподготовленность персонала.
Сценариев, как добраться до искомых данных, может быть великое множество, вплоть до взлома замков в серверную или проникновения туда под видом сотрудника технической поддержки. Опытная Red Team продумает не один, не два и даже не три варианта — все зависит от целей заказчика.
Как устроен процесс Red Teaming
Ключевое в редтиминге то, что он проводится в обстановке секретности. Команда защиты, разумеется, ни о чем не подозревает и действует так, будто отражает реальную атаку хакеров. Её задача — обнаружить «налетчиков», пресечь проникновение и расследовать инцидент. Задача нападающих — добраться до ценной информации и не выдать себя в процессе.
Обычно процесс разбивается на несколько этапов:
- Компания организует учения по кибербезопасности и согласует их с командой пентестеров. Это могут быть как внутренние структуры информационной безопасности, так и сторонний подрядчик. Целью учений может быть анализ риска уязвимости информации на конкретном сервере;
- Команда пентестеров проводит разведку и намечает схему проникновения с использованием сетевых служб, внутренних порталов и мессенджеров сотрудников, различных приложений;
- Далее команда начинает искать уязвимости, чаще всего через XSS (межсайтовый скриптинг) и различные варианты фишинга, чтобы получить доступ к подсистемам;
- Как только цель будет достигнута, Red Team начнет искать другие уязвимости, чтобы повысить уровень доступа. Цель киберучений будет считаться достигнутой, как только взломщики доберутся до искомых данных;
- По итогам составляется подробный отчет, где детально расписывается, как пентестерам удалось обойти защиту и добиться цели, а также даются рекомендации, как можно усилить компоненты безопасности.
Даже если финальная цель не была достигнута, Red Team все равно попытаются проникнуть как можно дальше и зафиксировать результаты в отчете.
Где получить образование пентестера?
Итак, Red Team — крайне перспективное направление в кибербезопасности и его однозначно стоит освоить. Наиболее удобный вариант — пройти сертифицированные онлайн-курсы, где будет много практики с разбором множества вариантов уязвимостей и сценариев атак, а также возможность отработать полученные навыки на киберполигоне.
Такие курсы есть у многих онлайн-школ, которые специализируются на подготовке специалистов ИБ, сисадминов и разработчиков, обучая навыкам пентеста. Образование пентестера также даётся в некоторых вузах в рамках общей программы по информационной безопасности.
