Пентест - или тест на проникновение - показывает, насколько легко злоумышленнику проникнуть в корпоративную информационную систему. В ходе тестирования на проникновение «Перспективный мониторинг» моделирует действия злоумышленника и даёт оценку, сколько ресурсов и времени потребуется для успешной кибератаки на заказчика. Мы выявляем вероятные направления атак и даём рекомендации, как устранить слабые места в защите и повысить уровень ИБ.
Чем полезны пентесты
Тест на проникновение показывает, как будет действовать потенциальный злоумышленник во время кибератаки на организацию. Знание векторов атак даёт возможность подготовиться к ним и снизить негативные последствия.
Пентестер находит и эксплуатирует уязвимости в сетевом оборудовании, средствах защиты информации, серверном, системном, прикладном ПО, узнаёт, насколько актуальны знания сотрудников атакуемой организации в области ИБ. «Перспективный мониторинг» даёт заказчикам подробные рекомендации, как можно устранить обнаруженные уязвимости или принять компенсационные меры, и, если необходимо, помогает это сделать.
Регулярные периодические пентесты помогают оценить уровень защищённости информационной системы в динамике (меняются настройки средств защиты, приходят и уходят люди, появляются новые атаки) и ответить на вопрос - «Наша защита стала лучше после того, как мы поставили эту „железку“ за кучу денег?!». Пентестеры «Перспективного мониторинга» выясняют, насколько группа реагирования на инциденты готова противостоять действиям злоумышленника.
Также регулярное тестирование на проникновение - требование PCI DSS и ISO 27001. Согласно этим стандартам пентесты проводятся ежегодно или после существенных изменений в информационной инфраструктуре.
Приказы ФСТЭК России № 17, № 21 и № 31 требуют анализировать защищённость информационных систем. Приказ № 21 содержит требование к периодичности - не реже одного раза в 3 года.
Виды тестов на проникновение
Наша компания проводит три вида пентестов:
- Тест на проникновение, основанный на технических методах. В рамках него мы находим и эксплуатируем уязвимости оборудования и ПО. Мы используем инструменты автоматического и ручного тестирования, которые детектирует IPS/IDS заказчика. Поэтому этот вид пентеста проводится на заранее определённые системы в согласованное со службой ИБ время.
- Тест на проникновение, основанный на методах социальной инженерии. Мы проверяем уровень осведомлённости сотрудников заказчика в вопросах информационной безопасности. Любопытство, жадность и желание развлечься - лучшие инструменты злоумышленников, которыми они успешно пользуются. Для планирования атак мы пользуемся инструментами The Social Engineering Framework и Social Engineer Toolkit (SET).
- Социотехнический пентест. Он совмещает преимущества первых двух и помогает выявить наибольшее число вероятных направлений атак и уязвимостей.
Тесты отличаются по степени информированности пентестера о средствах защиты, сетевой инфраструктуре, аппаратном и программном обеспечении заказчика:
- внешний без учётных данных,
- внешний с учётными данными клиента,
- внутренний без учётных данных,
- внутренний с учётными данными клиента,
- внутренний с учётными данными администратора.
Мы разработали собственную методику тестирования, которая базируется на Draft Guideline on Network Security Testing (от NIST), Open-Source Security Testing Methodology (OSSTM) и The OWASP Testing Framework.
Объекты исследований
- СУБД.
- Сетевые службы и сервисы (электронная почта, прокси, VoIP, FTP и пр.).
- Протоколы различных уровней сетевой модели OSI.
- Сетевое оборудование.
- Беспроводные технологии.
- Средства защиты информации.
- Серверные и пользовательские операционные системы.
Сроки
Сбор информации - от 1 до 5 дней.
Подготовка к пентесту - до 5 дней.
Атака - 1–2 дня.
Подготовка отчёта - до 5 дней.
«Разбор полётов» с заказчиком - до 10 дней.
Обучение сотрудников заказчика - от 1 до 10 дней.
Результат
Отчёт о тестировании на проникновение содержит:
- перечень проведённых тестов;
- перечень выявленных уязвимостей с оценкой по методике Common Vulnerability Scoring System (CVSS);
- описание способов эксплуатации уязвимостей для проведения атак;
- описание применённых техник социнженерии с результатами проверки;
- протокол действий службы реагирования;
- рекомендации по устранению уязвимостей.
При необходимости мы разработаем программу повышения осведомлённости сотрудников в вопросах ИБ.
06.12.2012
При проведении есть несколько видов сбора и оценки информации. Наиболее популярным во всём мире является тестирование на проникновение (пентест) . Он может проводиться в составе аудита информационной безопасности ресурса или же, как самостоятельная работа.
Тестирование на проникновение (он же пентест , penetration testing , pentest , или тест на преодоление защиты) – метод определения защищённости ресурса путём санкционированного моделирования хакерской атаки.
Тестирование на проникновение состоит из следующих этапов:
- 1) Планирование теста
- 2) Идентификация уязвимостей
- 3) Попытка эксплуатации уязвимостей
- 4)Создание и предоставление отчёта
- 5) Устранение уязвимостей
Иногда, после устранения уязвимостей, появляется необходимость в повторном проведении пентеста . В этом случае всё опять начинается с пункта 1 и заканчивается пунктом 5.
Теперь поподробнее о каждом этапе проведения тестирования.
Планирование пентеста
На данном этапе в ходе ряда встреч с заказчиком улаживаются как юридические моменты, так и согласовываются цели и содержание теста на проникновение .
К юридическим моментам относятся подписание официального договора, в котором определяется область деятельности и ответственности исполнителя и заказчика и оформление исполнителем подписки о неразглашении данных полученных в ходе выполнения работ.
При согласовании целей и содержания задаётся регламент, устанавливающий порядок и рамки проведения работ; выбираются объекты исследования; задаётся модель поведения нарушителя и оговариваются режимы работы на основе первоначальных знаний исполнителя о ресурсе («Белый ящик», «Чёрный ящик») и информированности персонала заказчика о проводимых испытаниях («Белая шляпа», «Чёрная шляпа»).
Тестирование Белого ящика
В этом режиме работ исполнителю предоставляется полная информация о структуре ресурса и применяемых средствах защиты.
Тестирование Чёрного ящика
В данном режиме работы исполнителю предоставляется минимум информации. Иногда информация не предоставляется вовсе. Однако, учитывая то, что большинство злоумышленников длительно готовятся к проведению атаки на ресурс, предполагать у них полное отсутствие информации нецелесообразно.
Тестирование Белой шляпы
В этом режиме работ какие-либо действия по сокрытию работы исполнителя не проводятся. Он работает в тесном контакте со службой информационной безопасности , а основной задачей является обнаружение возможных уязвимостей ресурса и оценка возможности проникновения в систему .
Тестирование Чёрной шляпы
В этом режиме работ о проведении penetration testing проинформировано только руководство заказчика и руководители службы информационной безопасности. Задача исполнителя в этом режиме наиболее приближённое к реальности моделирование хакерской атаки. При этом оценивается не только уровень защищённости системы, но и уровень готовности сотрудников службы информационной безопасности.
Идентификация уязвимостей
Этот этап разделяется на:
Сбор информации о ресурсе и пользователях (сотрудниках). При этом используются общедоступные информационные ресурсы (социальные сети, электронная почта, новости);
Первичное тестирование найденных узлов («пробинг»). Изучается реакция ресурса на внешнее воздействие, составляется карта ресурса;
Детальный анализ. При помощи специально разработанных программ и ручным способом идентифицируются следующие уязвимости ресурса: внедрение оператора SQL, межсайтовое исполнение сценариев, подмена содержимого, выполнение команд ОС, уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации.
Попытка эксплуатации уязвимостей
Данный этап функционально может делиться на технический тест на проникновение и социотехнический тест на проникновение. В первом случае это комплекс мер по имитации действий внешних нарушителей. Во втором случае – это атака на сотрудников при помощи методов «социальной инженерии» через социальные сети, электронную почту и проч. с целью получения контроля над их рабочими станциями. Однако как показывает практика, чаще всего используется комплексный pentest с элементами как технического, так и социотехнического теста.
Многие пользователи оценили предыдущие акции компании, и в связи с этим оператор предлагает своим абонентам и тем, кто еще не пользовался услугами подключить пакеты сервисов по льготной цене. Таким образом, у многих людей есть возможность испытать предлагаемые оператором услуги по низкой цене. В этот раз все клиенты могут воспользоваться высокоскоростным доступом к сети интернет, онлайн ТВ и WI-FI роутером в аренду. Все это в полцены от стандартной стоимости подключения интернета
Что же в этот раз предлагает оператор услуг связи Ростелеком для своих клиентов? Низкие цены на временное пользование стационарным доступом к сети интернет, при этом пользователь получает ряд бесплатных сервисов.
Что касается сроков проведения акции «Выгодное лето» . То они описаны ниже, как и условия предоставления. Единственное, что следует помнить, так это то, что любая акция направлена на привлечение новых клиентов, но никак не на их выгоду. Поэтому не стоит обольщаться столь низкими тарифами, это дело временное.
Как стать участником акции Ростелеком «Выгодное лето»
Принять участие в этой акции может любой пользователь, который желает принять в ней участие. Для этого необходимо перейти по адресу http://perm.rt.ru/action/homeinternet/favourable_summer_int и выбрать подходящий тарифный план, в котором вы бы хотели в дальнейшем продолжить обслуживание у оператора.
Чтобы произвести подключение одного из доступных пакетов, следует посетить офис компании или оформить онлайн-заявку пользователя, которая доступна также по этому адресу. Для оформления заявки достаточно выбрать тариф:
- 120 Мб/Сек
- 60 Мб/Сек
- 30 Мб/Сек
Стоит отметить, что во время подключения, стоимость такого пакета будет равна 199 рублям. При этом вне зависимости от того, какой тарифный план будет выбран. Но самое интересное наступает после, когда будет происходить расчет за эти услуги после акционного периода, который равен двум месяцам.
Стоимость интернета Ростелеком 120 Мб/Сек составит 600 рублей в месяц. Поэтому следует внимательно отнестись к условиям предоставления услуг компанией.
Как подключиться к акции
Для подключения используют два способа, один из которых это посещение центра по работе с абонентами, а второй оформление онлайн заявки на сайте компании. Адрес был указан выше. Перейдя по нему, абонент выбирает один из представленных тарифных планов, после чего ему необходимо заполнить электронную форму.
В ней следует указать свою фамилию имя и отчество, адрес подключения услуги, контактный номер телефона и электронную почту.
Также можно указать время, в которое будет удобно связаться с вами. После этого следует отправить заявку. Ответ обычно приходит на электронную почту или же сотрудники компании звонят на ваш телефонный номер.
Варианты подключаемых пакетов услуг
Что касается каждого пакета интернета, которые доступны в акции, то о них стоит поговорить более подробно. Дело в том, что далеко не каждый пользователь знает об условиях обслуживания на данных тарифных планах после акционного периода пользования.
Стоит повториться, что период акции всего 2 месяца. Именно в эти 2 месяца пользователь платит абонентскую плату в размере 199 рублей. После этого с него высчитывается полная стоимость абонентской платы.
Например, по условиям тарифа Ростелеком «Интернет 60 Мб/С» с пользователя, после окончания периода акции, будет сниматься абонентская плата в размере 500 рублей. Потому следует сразу учесть все эти моменты, чтобы не попасть в неприятную ситуацию в дальнейшем.
Сроки проведения акции
Что касается сроков проведения акции, то все клиенты, которые еще не используют скоростной стационарный интернет от компании, могут стать ее участниками в период до 31.12.16.
При этом абонентская плата в размере 199 рублей снимается первые два месяца пользования услугами с момента их подключения.
После чего с пользователя будет сниматься стандартная плата за эти же услуги. Информацию о стоимости авансового платежа за каждый пакет можно получить на официальном сайте компании.
