Методология оценки

В последнее время как государственные, так и частные организации рассматривают кибербезопасность как стратегический приоритет. Киберпреступники часто превращают государственные и частные организации в свои слабые цели, используя разные векторы атак. К сожалению, из-за отсутствия эффективных политик, стандартов и сложности информационной системы киберпреступники имеют большое количество целей, и они добиваются успеха в использовании системы и краже информации.

Тестирование на проникновение - это одна из стратегий, которая может использоваться для снижения рисков кибератак. Успех тестирования на проникновение зависит от эффективной и последовательной методологии оценки.

У нас есть множество методологий оценки, связанных с тестированием на проникновение. Преимущество использования методологии состоит в том, что она позволяет оценщикам последовательно оценивать окружающую среду. Ниже приведены несколько важных методологий -

  • Руководство по методологии тестирования безопасности с открытым исходным кодом (OSSTMM)

  • Открытый проект безопасности веб-приложений (OWASP)

  • Национальный институт стандартов и технологий (NIST)

  • Стандарт выполнения тестирования на проникновение (PTES)

Что такое ПТЭС?

PTES, стандарт выполнения тестирования на проникновение, как следует из названия, является методологией оценки для тестирования на проникновение. Он охватывает все, что связано с тестом на проникновение. У нас есть ряд технических рекомендаций в рамках PTES, относящихся к различным средам, с которыми может столкнуться оценщик. Это самое большое преимущество использования PTES новыми оценщиками, потому что в технических руководствах есть предложения по обращению и оценке среды в рамках стандартных отраслевых инструментов.

В следующем разделе мы узнаем о различных этапах PTES.

Семь фаз ПТЭС

Стандарт выполнения тестирования на проникновение (PTES) состоит из семи этапов. Эти этапы охватывают все, что связано с тестом на проникновение - от первоначального общения и обоснования пентеста до этапов сбора разведданных и моделирования угроз, на которых тестеры работают за кулисами. Это приводит к лучшему пониманию тестируемой организации посредством исследования уязвимостей, эксплуатации и последующей эксплуатации. Здесь технический опыт тестировщиков в области безопасности критически сочетается с бизнес-пониманием взаимодействия и, наконец, с отчетностью, которая фиксирует весь процесс таким образом, который имеет смысл для клиента и обеспечивает максимальную ценность для него.

Мы узнаем о семи этапах PTES в наших следующих разделах -

Фаза взаимодействия перед взаимодействием

Это первый и очень важный этап ПТЭУ. Основная цель этого этапа - объяснить доступные инструменты и методы, которые помогают успешно пройти предварительный этап теста на проникновение. Любая ошибка при выполнении этого этапа может существенно повлиять на остальную часть оценки. Этот этап включает следующее:

Запрос на оценку

Самая первая часть, с которой начинается этот этап, - это создание организацией запроса на оценку. АRequest for Proposal (RFP) Документ, содержащий подробную информацию об окружающей среде, типе требуемой оценки и ожиданиях организации, предоставляется оценщикам.

Торги

Теперь, исходя из RFP документ, несколько оценочных фирм или отдельные корпорации с ограниченной ответственностью (LLC) будут участвовать в торгах, и сторона, ставка которой соответствует запрашиваемой работе, цене и некоторым другим конкретным параметрам, выиграет.

Подписание письма-обязательства (EL)

Теперь организация и сторона, выигравшая тендер, подпишут договор о сотрудничестве (EL). Письмо будет иметьstatement of work (SOW) и конечный продукт.

Предварительная встреча

После подписания EL можно начинать точную настройку объема. Такие встречи помогают организации и партии согласовать конкретный объем. Основная цель встречи по определению объема работ - обсудить, что будет проверяться.

Обработка ползучести прицела

Снижение объема работ - это то, что клиент может попытаться добавить или расширить обещанный уровень работы, чтобы получить больше, чем он, возможно, обещал заплатить. Вот почему следует тщательно продумать внесение изменений в исходный объем, учитывая время и ресурсы. Он также должен быть заполнен в некоторой документированной форме, такой как электронное письмо, подписанный документ или официальное письмо и т. Д.

Анкеты

Во время первоначального общения с клиентом возникает несколько вопросов, на которые клиент должен будет ответить для правильной оценки объема задания. Эти вопросы предназначены для лучшего понимания того, что клиент хочет получить от теста на проникновение; почему клиент хочет провести тест на проникновение в своей среде; и хотят ли они проводить определенные типы тестов во время теста на проникновение.

Способ проведения теста

Последняя часть этапа подготовки к взаимодействию - определение процедуры проведения теста. На выбор доступны различные стратегии тестирования, такие как Белый ящик, Черный ящик, Серый ящик, Двойное слепое тестирование.

Ниже приведены несколько примеров оценок, которые могут быть запрошены:

  • Тест на проникновение в сеть
  • Тест на проникновение веб-приложений
  • Тест на проникновение в беспроводную сеть
  • Тест на физическое проникновение
  • Социальная инженерия
  • Phishing
  • Голос по Интернет-протоколу (VOIP)
  • Внутренняя сеть
  • Внешняя сеть

Фаза сбора разведданных

Сбор разведывательных данных, вторая фаза PTES, заключается в том, что мы выполняем предварительное обследование цели, чтобы собрать как можно больше информации, которая будет использоваться при проникновении в цель на этапах оценки уязвимости и эксплуатации. Это помогает организациям определить внешнее воздействие командой оценки. Мы можем разделить сбор информации на следующие три уровня:

Сбор информации уровня 1

Автоматизированные инструменты могут почти полностью получить этот уровень информации. Усилия по сбору информации уровня 1 должны соответствовать требованиям соответствия.

Сбор информации уровня 2

Этот уровень информации может быть получен с помощью автоматизированных инструментов уровня 1 и некоторого ручного анализа. Этот уровень требует хорошего понимания бизнеса, включая такую ​​информацию, как физическое местонахождение, деловые отношения, организационная структура и т. Д. Усилия по сбору информации уровня 2 должны соответствовать требованиям соответствия наряду с другими потребностями, такими как долгосрочная стратегия безопасности, приобретение более мелких производителей и т. д.

Сбор информации уровня 3

Этот уровень сбора информации используется в самом продвинутом тесте на проникновение. Вся информация с уровня 1 и уровня 2 вместе с большим объемом ручного анализа требуется для сбора информации уровня 3.

Этап моделирования угроз

Это третий этап ПТЭС. Для правильного выполнения тестирования на проникновение требуется подход к моделированию угроз. Моделирование угроз может использоваться как часть теста на проникновение или может возникнуть в зависимости от ряда факторов. Если мы используем моделирование угроз как часть теста на проникновение, информация, собранная на втором этапе, будет возвращена на первый этап.

Следующие шаги составляют фазу моделирования угроз:

  • Соберите необходимую и актуальную информацию.

  • Необходимо идентифицировать и классифицировать первичные и вторичные активы.

  • Необходимо идентифицировать и классифицировать угрозы и сообщества угроз.

  • Необходимо сопоставить сообщества угроз с основными и второстепенными активами.

Сообщества угроз и агенты

В следующей таблице перечислены соответствующие сообщества угроз и агентов с указанием их местоположения в организации.

Расположение Внутренний Внешний
Threat agents/communities Сотрудников Партнеры по бизнесу
Руководители Подрядчики
Администраторы (сеть, система) Конкуренты
Инженеры Поставщики
Техников Национальные государства
Общее сообщество пользователей Хакеры

При оценке с помощью моделирования угроз мы должны помнить, что расположение угроз может быть внутренним. Достаточно одного фишингового электронного письма или одного раздраженного сотрудника, который ставит под угрозу безопасность организации, передавая учетные данные.

Этап анализа уязвимости

Это четвертый этап PTES, на котором оценщик определяет возможные цели для дальнейшего тестирования. На первых трех этапах PTES были извлечены только подробности об организации, и оценщик не коснулся каких-либо ресурсов для тестирования. Это наиболее трудоемкий этап ПТЭС.

Следующие этапы составляют анализ уязвимостей -

Тестирование уязвимости

Его можно определить как процесс обнаружения недостатков, таких как неправильная конфигурация и небезопасный дизайн приложений в системах и приложениях хоста и служб. Перед проведением анализа уязвимостей тестировщик должен правильно определить масштаб тестирования и желаемый результат. Тестирование уязвимости может быть следующих типов -

  • Активное тестирование
  • Пассивное тестирование

Мы подробно обсудим эти два типа в наших следующих разделах.

Активное тестирование

Он предполагает прямое взаимодействие с тестируемым компонентом на наличие уязвимостей. Компоненты могут быть на низком уровне, например стек TCP на сетевом устройстве, или на высоком уровне, например, в веб-интерфейсе. Активное тестирование можно провести двумя способами:

Автоматизированное активное тестирование

Он использует программное обеспечение для взаимодействия с целью, изучения ответов и определения на основе этих ответов, присутствует ли уязвимость в компоненте или нет. Важность автоматического активного тестирования по сравнению с ручным активным тестированием можно понять из того факта, что если в системе есть тысячи TCP-портов, и нам нужно подключить их все вручную для тестирования, это займет значительно огромное количество времени. Однако выполнение этого с помощью автоматизированных инструментов может сократить много времени и трудозатрат. Сканирование сетевых уязвимостей, сканирование портов, захват баннеров, сканирование веб-приложений можно выполнить с помощью автоматизированных средств активного тестирования.

Ручное активное тестирование

Ручное эффективное тестирование более эффективно по сравнению с автоматическим активным тестированием. Предел погрешности всегда существует при автоматизированном процессе или технологии. Вот почему всегда рекомендуется выполнять прямые подключения вручную к каждому протоколу или сервису, доступному в целевой системе, чтобы проверить результат автоматического тестирования.

Пассивное тестирование

Пассивное тестирование не предполагает прямого взаимодействия с компонентом. Это может быть реализовано с помощью следующих двух методов:

Анализ метаданных

Этот метод предполагает просмотр данных, описывающих файл, а не данных самого файла. Например, файл MS Word имеет метаданные в виде имени автора, названия компании, даты и времени, когда документ был в последний раз изменен и сохранен. Если злоумышленник сможет получить пассивный доступ к метаданным, возникнет проблема безопасности.

Мониторинг трафика

Его можно определить как метод подключения к внутренней сети и сбора данных для автономного анализа. Он в основном используется для захвата“leaking of data” в коммутируемую сеть.

Проверка

После тестирования уязвимости очень необходима проверка результатов. Это можно сделать с помощью следующих техник -

Корреляция между инструментами

Если оценщик проводит тестирование уязвимостей с помощью нескольких автоматизированных инструментов, то для проверки результатов очень необходимо иметь корреляцию между этими инструментами. Выводы могут усложниться, если между инструментами не будет такой корреляции. Его можно разбить на конкретное соотношение элементов и категориальное соотношение элементов.

Проверка конкретного протокола

Валидация также может производиться с помощью протоколов. VPN, Citrix, DNS, Интернет, почтовый сервер можно использовать для проверки результатов.

Исследование

После обнаружения и подтверждения уязвимости в системе важно определить точность идентификации проблемы и изучить потенциальную возможность использования уязвимости в рамках теста на проникновение. Исследование может проводиться публично или в частном порядке. При проведении общедоступных исследований можно использовать базу данных уязвимостей и рекомендации поставщиков, чтобы проверить точность сообщенной проблемы. С другой стороны, при проведении частного исследования можно настроить среду реплики и применить такие методы, как фаззинг или конфигурации тестирования, для проверки точности сообщенной проблемы.

Фаза эксплуатации

Это пятая фаза ПТЭС. На этом этапе основное внимание уделяется получению доступа к системе или ресурсу путем обхода ограничений безопасности. На этом этапе вся работа, выполненная на предыдущих этапах, приводит к получению доступа к системе. Для получения доступа к системе используются следующие общие термины:

  • Popped
  • Shelled
  • Cracked
  • Exploited

Вход в систему на этапе эксплуатации может выполняться с помощью кода, удаленного эксплойта, создания эксплойта, обхода антивируса или может быть таким же простым, как вход через слабые учетные данные. После получения доступа, т. Е. После определения основной точки входа, оценщик должен сосредоточиться на выявлении ценных целевых активов. Если фаза анализа уязвимостей была завершена должным образом, должен был быть составлен список целей с высоким значением. В конечном счете, вектор атаки должен учитывать вероятность успеха и наибольшее влияние на организацию.

Постэксплуатационная фаза

Это шестой этап ПТЭС. На этом этапе оценщик выполняет следующие действия:

Анализ инфраструктуры

На этом этапе выполняется анализ всей инфраструктуры, используемой во время тестирования на проникновение. Например, анализ сети или сетевой конфигурации может быть выполнен с помощью интерфейсов, маршрутизации, DNS-серверов, кэшированных записей DNS, прокси-серверов и т. Д.

Грабеж

Это можно определить как получение информации от целевых хостов. Эта информация актуальна для целей, определенных на этапе предварительной оценки. Эту информацию можно получить из установленных программ, определенных серверов, таких как серверы баз данных, принтер и т. Д. В системе.

Кража данных

В рамках этой деятельности от оценщика требуется составить карту и испытать все возможные пути утечки, чтобы можно было провести измерение силы контроля, т. Е. Обнаружение и блокирование конфиденциальной информации от организации.

Создание настойчивости

Это действие включает в себя установку бэкдора, который требует аутентификации, перезагрузку бэкдора при необходимости и создание альтернативных учетных записей со сложными паролями.

Очистка

Как следует из названия, этот процесс охватывает требования по очистке системы после завершения теста на проникновение. Это действие включает в себя возврат к исходным значениям системных настроек, параметров конфигурации приложения, а также удаление всех установленных бэкдоров и всех созданных учетных записей пользователей.

Составление отчетов

Это заключительный и самый важный этап PTES. Здесь клиент платит на основании окончательного отчета после завершения теста на проникновение. Отчет по сути является зеркалом выводов, сделанных оценщиком о системе. Ниже приведены основные части хорошего отчета.

Управляющее резюме

Это отчет, в котором читателю сообщается о конкретных целях теста на проникновение и общих результатах тестирования. Целевая аудитория может быть членом экспертного совета главного свита.

Сюжетная линия

Отчет должен содержать сюжетную линию, которая объясняет, что было сделано во время задания, фактические результаты или недостатки безопасности и положительные меры контроля, установленные организацией.

Подтверждение концепции / технический отчет

Подтверждение концепции или технический отчет должны содержать технические детали теста и все аспекты / компоненты, согласованные в качестве ключевых показателей успеха в рамках предварительного задания. В разделе технического отчета будут подробно описаны масштабы, информация, путь атаки, влияние и предложения по исправлению этого теста.