Тест на проникновение - актуальные методы аудита информационной безопасности

ТЕСТ НА ПРОНИКНОВЕНИЕ - АКТУАЛЬНЫЕ МЕТОДЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Один из видов аудита защиты информации, являющийся самым известным в сфере услуг по ИБ, - тестирование на проникновение, или по-другому, пентест. Зачастую заказчиками подобного аудита выступают ИТ или ИБ-директора, преследующие разнообразные цели.

Тестирование проводится в несколько этапов:

Изначально собирается информация о сети компании и ее пользователях. Для этого применяются общедоступные источники, такие как, интернет, форумы, новости, социальные сети и конференции. Этот шаг также позволяет составить список адресов предприятия во всемирной паутине, домены принадлежащие ему и ответственных лиц. Достаточно часто устанавливается список – е-мейл адресов и логинов сотрудников предприятия, которые могут в дальнейшем использоваться для взлома.
Второй этап заключается в проведении идентификации обнаруженных узлов. Реакция на подобные действия позволяет составить карту сети и определить типы устройств, программное обеспечение. После определяются потенциальные уязвимые места сетевых приложениях и службах.
Подробный анализ всех использующихся ресурсов и приложений, которые располагаются во внешнем секторе сети. При помощи программ-сканеров, а также некоторыми ручными методами проводится диагностика некоторых уязвимостей: внедрение операторов SQL, подмена содержимого, межсайтовое исполнение сценариев, выполнение команд ОС. Также проверяются уязвимости, связанные с настройкой механизмов авторизации, аутентификации и др.
Далее осуществляется эксплуатация найденных уязвимых мест. Для этого применяются общедоступные утилиты (эксплоиты) и специально разработанные программы. Именно на этом этапе аудитор проявляет свою квалификацию в полной мере.

Во время подготовки составления коммерческого предложения по тесту на проникновение , Исполнитель и Заказчик обсуждают и согласовывают сроки, стоимость проводимых работ, применяемые методы и форму отчета.

При желании Заказчика, аудиторы также могут проанализировать устойчивость ресурсов по отношению к атакам отказ обслуживания (DOS-атаки). Поскольку такие атаки давно стали отдельным хорошо налаженным преступным бизнесом, и любой человек может приобрести за довольно небольшие деньги услуги бот-сетей. Созданием бот-сетей сейчас занимается целая армия вирусописателей. Стоимость таких услуг не высока, а вот мощность атаки может затронуть не только сам ресурс, но и канал связи полностью, а то и провайдера.

Также в ходе аудита информационной безопасности может быть проверена устойчивость сети. Для этого на канальном уровне осуществляются атаки на соответствующие протоколы. Далее, при возможности, делается анализ сетевого трафика, целью которого является перехват важной информации: паролей, их хешей, документации и так далее. Так, атаки ARP-poisoning, например, направлены именно на перехват трафика с хоста атакуемого. Впоследствии полученные хеши «раскручиваются» посредством специального программного обеспечения.

Таким же образом может быть проведен анализ устойчивости маршрутизации посредством фальсификации маршрутов, проведения атак по типу отказа в обслуживании против употребляемых протоколов маршрутизации.