Сигурност

Какво е тест за проникване? Основи и изисквания

CIO Media

Тестовете за проникване, известни още като етично хакерство, са може би най-интересната част от работата на специалистите по кибер сигурност. По същество те получават заплащане за съвсем законно навлизане в чужди компютри или устройства - ако успеят да проникнат през антивирусната защита, те дават шанс на клиента си да затвори пробойните преди да бъде реализирана истинска атака, ако симулираното нападение не успее, това дава възможност на поръчителя да обяви продукта си за толкова сигурен, че дори платените хакери не могат да го разбията. Това обаче не означава, че етичното хакерство винаги е лесно. Въпреки че не е нужно да сте гений, то определено има своите сериозни предизвикателства в различните сценарии.



Как се става етичен хакер

Всеки компютърен специалист трябва да предприеме няколко стъпки, за да се превърне в етичен хакер, като на първо място е наличието на документирано разрешение от точните хора, преди да се опитате да проникнете в някаква система. Спазването на закона е от първостепенно значение за това да бъдеш професионалист в сферата на тестовете на сигурността. Всички етични хакери трябва да следват кодекс, който регламентира действията им. Международният съвет на консултантите в електронната търговия (EC-Council), който провежда изпити за сертифицикация на етични хакери (CEH), има един от най-добрите публични етични кодекси в сферата.

Стъпки в етичното хакерство

1. Обхват и задаване на цели

От съществено значение за всеки професионален изпитател на сигурността е да документира договорените с поръчителя обхват и цели на симулацията. Основните въпроси, свързани с обхвата на поръчката, са:

- Какви компютърни активи са в обхвата на теста?

 - Какво включва той - всички компютри, само определено приложение или услуга, определени операционни системи, мобилни устройства или облачна инфраструктура?

- Само определен вид компютърни активи ли включва задачата, като уеб сървъри и SQL сървъри, или всички компютри трябва да бъдат тествани на ниво операционна система? Включени ли са в теста мрежовите устройства?

- Могат ли тестовете за проникване да включват автоматизирано сканиране за уязвимости?

- Разрешено ли е социалното инженерство и ако да, с кои точно методи?

- На кои дати ще бъде разрешено провеждането на тестовете за проникване?

- Има ли дни или часове, в които не е желателно да се правят изпитания на кибер сигурността заради опасност от прекъсвания на работата на системите?

- Нужно ли е да се избягва "прекъсване на услугата" или трябва да се причинят всички възможни проблеми, които истински нападател може да направи?

- Какъв тип ще бъдат тестовете за проникване - “черна кутия” (етичният хакер има малко или никаква вътрешна информация за участващите системи и приложения) или “бяла кутия” (тестващият има информация за атакуваните системи)?

- Ще знаят ли отделите за сигурност за предстоящия тест или ще бъдат част от него, като се следят техните реакции при атаката?

- Трябва ли да се правят опити за “промъкване” покрай защитните системи или задачата е насочена към нормални методи, които истинските нарушители биха могли да използват, за да разберат нивото на защита?

 Основните въпроси относно целите на теста за проникване са:

- Само демонстрация на възможностите за пробив в системата ли е целта?

- Влиза ли “отказът на услуга” сред целите на теста?

- Част от целта ли е достъпът до конкретен компютър или изначално е наличен достатъчно привилегирован достъп?

- Какво трябва да се представи като част от документацията след приключване на теста? Трябва ли да включва всички неуспешни и успешни подходи или само най-важните пробиви? Колко подробности са необходими - всяко натискане на клавиш и щракване с мишката или просто описание на целия процес? Трябва ли пробивите да бъдат заснети на видео или снимани?

Важно е обхватът и целите да бъдат описани подробно и съгласувани преди да започнете опитите за пробив в дадена система.

2. Изберете подходящите инструменти

Тестът за проникване обикновено изисква стандартен набор от хакерски инструменти, но, в зависимост от поръчката, е възможно да се наложи да използвате и различни решения. Ако тестовете за проникване са насочени към SQL сървъри например и нямате подходящ опит, бихте могли да започнете проучване и тестване на различни инструменти за SQL атаки.

Повечето етични хакери започват с Linux дистрибуция, която е специализирана за подобни тестове. В момента най-актуалната и предпочитана хакерска дистрибуция е Kali Linux, но има и хиляди други инструменти, които могат да бъдат използвани.



Какво е тест за проникване? Основи и изисквания

© CIO Media, Cio.bg


Най-важната точка при избора на подходящ инструмент, извън пригодността му за параметрите на поръчката, е да се уверите, че той не съдържа злонамерен софтуер или друг код, предназначен да пробие хакера, който го използва. По-голямата част от хакерските инструменти, които можете да намерите в интернет, особено безплатно, съдържат злонамерен софтуер и недокументирани “задни вратички”, които могат да бъдат използвани срещу вас. Обикновено можете да се доверите на най-често срещаните и популярни хакерски инструменти като Nmap, но най-добрите в сферата използват единствено свои собствени инструменти, защото не вярват на нищо, написано от някой друг.

3. Проучете целта, която ще тествате

Етичните хакери започват работата си с търсене на възможно най-много информация за системата, която предстои да атакуват. Те искат да знаят IP адреси, операционни системи, приложения, номера на версиите, мрежови портове, потребителски акаунти и въобще всичко, което може да доведе до пробив. Възможността професионален хакер да не забележи очевидна потенциална уязвимост, след като прекара известно време в разглеждане на целта си, е минимална. Най-малкото, дори и да не види нещо очевидно, той може да използва събраната информация, за да продължи своите анализи и да базира атаките си на тях.

4. Проникване в целевия актив

Тук идва фактическата част в работата на етичния хакер – разбиването на защитата. Използвайки информацията, научена във фазата на проучване, той трябва да използва всяка уязвимост, за да получи неоторизиран достъп (или отказ от услуга, ако това е целта). Ако хакерът не може да се вмъкне в даден актив, то той трябва да опита други възможности, които влизат в обхвата на заданието. Но това става сравнително рядко. Не са много случаите, в които професионален хакер не е пробил актив, за който е бил нает - най-малкото първоначално, преди предоставеният от него доклад да позволи на “защитниците” да затворят всички пробойни. Сигурно има и хакери, които не успяват да постигнат целите си, но ако се отнесете отговорно и задълбочено към процеса на проучване, същинската част не е толкова трудна, колкото смятат много хора. Да бъдеш добър етичен хакер не ти трябва толкова гениалност, колкто търпение и задълбоченост.

В зависимост от уязвимостта, придобитият достъп може да изисква повишаване на привилегиите, за да модифицирате достъпа на обикновения потребител до по-висок - административен достъп. В зависимост от обхвата, откриването на уязвимости може да бъде автоматизирано с помощта на подходящ софтуер, който обикновено намира пробойни, но не ги използва, за да получи неоторизиран достъп.

След това тестът за проникване или изпълнява договореното целево действие, ако хакерът е достигнал крайната си цел, или се старае да получи достъп колкото се може по-близо до нея. Професионалистите наричат този подход "хоризонтално" или "вертикално" движение, в зависимост от това дали нападателят се движи в рамките на една и съща система или атакува несвързани системи. Понякога успехът на атаката трябва да бъде доказан чрез разкриване на системни тайни или поверителни данни, а друг път е достатъчно да се представи само документация за това как атаката би могла да бъде успешно проведена.

5. Документация

Последното, което трябва да направи професионалният етичен хакер, е да напише и представи обстоен доклад, който трябва да съдържа констатации и заключения за нивото на сигурност на системата.

Тестовете за проникване – сложни и развиващи се

Подобно на всяка друга дисциплина, свързана с ИТ сигурността, професионалното тестване се развива. Самостоятелните хакери, които просто показват техническа мощ без нужната доза професионализъм, се търсят все по-рядко. Компаниите вече търсят абсолютни професионалисти, които имат както практически умения, така и професионални инструментите.



Какво е тест за проникване? Основи и изисквания

© CIO Media, Cio.bg


По-добри инструменти: Софтуерът за проникване и тестването на уязвимости винаги е бил част от инструментариума на етичния хакер. Едно от най-вълнуващите развития в сферата е появата на инструменти, които по същество вършат цялата тежка работа от откриването до експлоатацията на пробойните в защитата, подобно на истински нападател. Пример за подобен инструмент е Bloodhound. Той позволява на атакуващите да виждат графично връзките между различни компютри в мрежата. Ако въведете желана цел, Bloodhound може да ви помогне бързо да видите множество пътища, по които да стигнете там, където искате. Често софтуерът идентифицира дори пътища, за които професионалният хакер не знае, че съществуват.

Управление на риска: Също така не е достатъчно да предадете списък с открити уязвимости и с това да сметнете, че сте свършили работата си. Не, днешните професионалисти в тестовете за проникване трябва да работят с ИТ мениджмънта, за да идентифицират най-големите и най-вероятните заплахи. Професионалните хакери са част от екипа за управление на риска. По този начин те придобиват още по-голяма стойност, като показват на ръководството и секюрити отделите какво и как е най-вероятно да се случи, а не просто еднократно да поставят под напрежение системите за сигурност.

Обучение и сертифициране: Днес съществуват различни начини човек с интереси в ИТ сферата да стане професионален изпитател на сигурността, включително широка гама от курсове и сертификати. Тези курсове често включват работа с различни хакерски инструменти в сложни лаборатории за симулация, в които преподават експерти-инструктори. Курсистите, които получават сертификат, често стават част от по-голяма общност от професионалисти и продължават образованието си. Разбира се, професионалните тестове за проникване не са за всеки, защото изискват почти експертни познания в няколко различни технологии и платформи. Ако имате тези умения или желанието да ги придобиете и можете да следвате правни и етични норми, то първата ви крачка вече е направена. 


X