Тест на проникнення: значення, приклади, види та етапи

Зміст приховувати

Що таке тест на проникнення?
Які переваги дає тестування на проникнення?
Які етапи тестування пера?
Типи тестів на проникнення
Методи тестування на проникнення
Яка роль тестера проникнення?
Скільки може заробити тестер пера?
Скільки доступу мають тестери ручок?
Що таке інструменти тестування на проникнення?
1. Які є типи інструментів для перевірки пера?
Що відрізняє тестування пером від автоматизованого тестування?
1. Ручне тестування пера
2. Автоматизоване тестування
Які переваги та недоліки Pen Test?
1. Переваги Pen Test
2. Недоліки Pen Test
Які два найпоширеніші тести на проникнення?
Чому ми використовуємо тестування на проникнення?
Узагальнити,
1. Статті по темі
2. посилання

Тестування на проникнення широко використовується як доповнення до брандмауера веб-додатків (WAF) у контексті безпеки веб-додатків. Тест на проникнення, також відомий як тест пера, імітує кібератаку на вашу комп’ютерну систему з метою виявлення недоліків, які можна використовувати. Потім результати тесту на проникнення можна використовувати для точного налаштування політики безпеки WAF і усунення знайдених уразливостей. Ось усе, що вам потрібно знати про тест на проникнення, включаючи різні типи та методи.

Що таке тест на проникнення?

Тест на проникнення (перевірка) — це законодавчо дозволена імітована атака на комп’ютерну систему для оцінки її безпеки. Тестери проникнення використовують ті самі інструменти, стратегії та процеси, що й зловмисники, щоб виявити та показати комерційні наслідки недоліків системи. Тести на проникнення зазвичай повторюють ряд нападів, які можуть поставити під загрозу компанію. Вони можуть визначити, чи достатньо сильна система, щоб протистояти атакам як з автентифікованих, так і з неавтентифікованих позицій, а також з різних системних ролей. Перевірка може здійснюватися в будь-якому аспекті системи з правильним обсягом.

Які переваги дає тестування на проникнення?

В ідеалі програмне забезпечення та системи розробляються з самого початку з метою усунення потенційно небезпечних проблем безпеки. Перевірка надає інформацію про те, наскільки добре була досягнута ціль. Ось як тестування пера може бути корисним для корпорації.

Визначте недоліки системи
Визначте надійність керування.
Допомога з дотриманням правил конфіденційності та безпеки даних (наприклад, PCI DSS, HIPAA та GDPR).
Надайте керівництву якісні та кількісні докази існуючого стану безпеки та бюджетних пріоритетів.

Які етапи тестування пера?

Тестери ручок діють як мотивовані супротивники, щоб імітувати напади. Зазвичай вони дотримуються плану, який включає такі кроки:

#1. Розвідка.

Щоб керувати підходом до атаки, зберіть якомога більше інформації про ціль із публічних і приватних джерел. Пошук в Інтернеті, пошук інформації про реєстрацію домену, соціальна інженерія, ненав’язливе сканування мережі, а іноді й занурення у сміттєві контейнери – все це джерела. Ці дані допомагають тестувальникам пера визначити поверхню атаки цілі та потенційні вразливості. Розвідка змінюється залежно від обсягу та цілей тесту пера; це може бути таким же елементарним, як телефонний дзвінок, щоб ознайомитися з можливостями системи.

No2. Сканування

Тестери пера використовують інструменти для пошуку недоліків цільового веб-сайту чи системи, наприклад відкритих служб, проблем із безпекою додатків і вразливостей із відкритим кодом. Тестери ручок використовують ряд інструментів на основі того, що вони виявляють під час розвідки та тестування.

#3. Отримання вступу.

Мотивація зловмисників може варіюватися від викрадення, зміни або знищення даних до переміщення коштів або просто шкоди репутації компанії. Тестери пера вирішують, які інструменти та тактику використовувати, щоб отримати доступ до системи, чи то через недолік, як впровадження SQL, чи через зловмисне програмне забезпечення, соціальну інженерію чи щось інше.

#4. Тримайте доступ відкритим

Після того, як тестувальники пера отримали доступ до цілі, їх імітована атака повинна залишатися підключеною достатньо довго, щоб досягти своїх цілей щодо викрадання даних, модифікації або зловживання функціональністю. Необхідно продемонструвати можливий вплив.

Типи тестів на проникнення

Перш ніж вибрати постачальника, дуже важливо зрозуміти, які доступні типи перо-тестів, оскільки взаємодії відрізняються за фокусом, глибиною та тривалістю. Нижче наведено приклади поширених етичних хакерських операцій:

#1. Тестування на проникнення внутрішньої та зовнішньої інфраструктури

Оцінка локальної та хмарної мережевої інфраструктури, включаючи брандмауери, системні хости та пристрої, як-от маршрутизатори та комутатори. Можна використовувати внутрішнє тестування на проникнення, зосереджене на активах у бізнес-мережі, або зовнішнє тестування на проникнення, зосереджене на інфраструктурі, що виходить в Інтернет. Щоб охопити тест, ви повинні знати кількість внутрішніх і зовнішніх IP-адрес, які потрібно перевірити, розмір підмережі та кількість сайтів.

#2. Перевірка проникнення бездротового зв'язку

Тест WLAN (бездротова локальна мережа), який явно націлений на WLAN організації, а також на такі бездротові протоколи, як Bluetooth, ZigBee та Z-Wave. Допомагає виявляти шахрайські точки доступу, недоліки шифрування та вразливості WPA. Тестувальникам потрібно буде знати кількість бездротових і гостьових мереж, розташування та унікальні SSID, які потрібно оцінити, щоб визначити обсяг залучення.

#3. Тестування веб-додатків

Перевірка веб-сайтів і спеціальних програм, що розповсюджуються через Інтернет, для виявлення дефектів кодування, дизайну та розробки, які можуть бути використані зловмисно. Перш ніж звернутися до постачальника тестування, визначте кількість програм, які потребують тестування, а також кількість статичних сторінок, динамічних сайтів і полів введення, які потрібно оцінити.

#4. Тестування мобільних додатків

Тестування мобільних додатків на таких платформах, як Android та iOS, щоб виявити вразливості автентифікації, авторизації, витоку даних і обробки сеансів. Щоб охопити тест, постачальники повинні знати операційні системи та версії, на яких вони хочуть оцінювати програму, кількість викликів API та передумови для джейлбрейка та виявлення кореневого доступу.

#5. Огляд складання та конфігурації

Перевірте мережеві збірки та конфігурації на наявність помилок на веб-серверах і серверах програм, маршрутизаторах і брандмауерах. Кількість збірок, операційних систем і серверів додатків, які потрібно перевірити, є важливою інформацією для визначення обсягу такого типу взаємодії.

Оцінка здатності ваших систем і персоналу розпізнавати спроби фішингу електронної пошти та реагувати на них. Налаштований фішинг, фішинг і компрометація бізнес-електронної пошти (BEC) забезпечують детальне уявлення про потенційні небезпеки.

#7. Тестування проникнення в хмару

Спеціальні оцінки безпеки хмари можуть допомогти вашій організації подолати труднощі спільної відповідальності шляхом виявлення та усунення вразливостей у хмарі та гібридних налаштуваннях, які можуть відкрити важливі активи.

#8. Тестування на проникнення в гнучкому середовищі

Постійні оцінки безпеки, орієнтовані на розробника, спрямовані на виявлення та виправлення недоліків безпеки протягом циклу розробки. Ця гнучка методологія допомагає гарантувати, що кожен випуск продукту, чи то просте виправлення помилок, чи велика функція, був ретельно перевірений на безпеку.

Методи тестування на проникнення

#1. ЗНО

Зовнішні тести на проникнення націлені на видимі в Інтернеті активи фірми, такі як сама веб-програма, веб-сайт компанії, електронна пошта та сервери доменних імен (DNS). Мета - отримати доступ і отримати корисну інформацію.

#2. Внутрішня оцінка

Під час внутрішнього тестування тестувальник, який має доступ до програми за брандмауером компанії, імітує зловмисну внутрішню атаку. Це не завжди наслідування працівника-відступника. Зазвичай відправною точкою є співробітник, чиї облікові дані були отримані в результаті спроби фішингу.

Під час сліпого тестування тестувальнику просто надається назва цільової організації. Це надає працівникам служби безпеки бачення в реальному часі того, як може статися фактичний напад на програму.

Працівники служби безпеки в подвійному сліпому тесті не мають попередньої інформації про імітовану атаку. Вони не встигнуть зміцнити свої укріплення перед спробою прориву, як у реальному світі.

#5. Цільове тестування

У цьому сценарії тестувальник і співробітники служби безпеки співпрацюють і інформують один одного про свої переміщення. Це чудова навчальна вправа, яка пропонує групі безпеки зворотний зв’язок у реальному часі з точки зору хакера.

Яка роль тестера проникнення?

Тестер на проникнення, на відміну від інших експертів з інформатики, зосереджується на певному аспекті кібербезпеки. Вони допомагають захистити цифрову інформацію свого бізнесу, виявляючи недоліки системи до того, як відбудеться атака, процес, відомий як тестування вразливостей.

Тестувальники проникнення можуть уберегти свої організації від фінансової та суспільної шкоди довірі, яка виникає через значні витоки даних. Щоб виявити потенційні недоліки та уникнути майбутніх нападів, ці професіонали думають як небезпечні хакери.

Тестерів на проникнення часто використовують команди з кібербезпеки або інформаційних технологій (ІТ). Досвід роботи з хакерськими інструментами, програмуванням і сценаріями, а також повне розуміння вразливостей і операційних систем — все це важливі можливості тестування на проникнення.

Тестери проникнення отримують переваги від сильних комунікаційних, міжособистісних навичок і навичок написання звітів.

Скільки може заробити тестер пера?

Тестувальники ручок можуть заробити багато грошей. За даними Payscale, середня оплата тестувальника проникнення у вересні 2021 року становила 87,440 2020 доларів США. Ця сума значно вища, ніж середня національна заробітна плата BLS за травень 41,950 року для всіх робочих місць у XNUMX XNUMX доларів США.

Тестери на проникнення початкового рівня заробляють менше, ніж досвідчені професіонали. Оплата залежить від освіти, причому тестувальники вищого рівня часто заробляють більше. Фактори, які можуть вплинути на компенсацію, – це місцезнаходження, галузь та спеціальність.

Зарплата пенеттестера на основі досвіду

Діапазон зарплат для тестувальників проникнення залежить від рівня досвіду. Тестери проникнення з 20-річним досвідом заробляють у середньому 124,610 57,000 доларів на рік, що приблизно на XNUMX XNUMX доларів більше, ніж середня винагорода для працівників початкового рівня.

Лише 1-4 роки досвіду можуть значно підвищити дохід тестера на проникнення: від $67,950 81,230 для тестера початкового рівня до $XNUMX XNUMX для експерта на початку кар’єри.

Зарплата пенеттестера за освітою

Заробітна плата для тестувальників на проникнення часто зростає разом із рівнем ступеня. Перехід від ступеня бакалавра з інформаційної безпеки до ступеня магістра, наприклад, може збільшити середню зарплату на 19,000 XNUMX доларів на рік.

Розгляньте переваги та недоліки додаткової освіти, оцінивши потенційно кращу заробітну плату порівняно з часом і грошима, необхідними для отримання іншого ступеня. Сертифікації та навчальні табори є менш дорогими можливостями.

Навчальні програми тестування на проникнення часто надають дипломи з інформатики, кібербезпеки чи інформаційної безпеки.

Зарплата пенеттестера за місцезнаходженням

Крім освіти та досвіду, місце вашого проживання може вплинути на вашу компенсацію. На дохід тестера на проникнення можуть впливати такі фактори, як попит на роботу, вартість життя та щільність населення. Розгляньте професії у високооплачуваних сферах зі статистичними даними нижчої за середню вартість життя, щоб оптимізувати потенціал заробітку.

Скільки доступу мають тестери ручок?

Тестерам надається різний рівень інформації про цільову систему або доступ до неї, залежно від цілей тесту пера. За певних обставин команда тестування пера починає з однієї стратегії та залишається при ній. Часом стратегія команди тестування розвивається в міру того, як її розуміння системи зростає під час перо-тесту. Доступ до Pen Test розділений на три рівні.

Непрозора коробка. Команда не знає внутрішньої структури цільової системи. Він поводиться подібно до хакера, досліджуючи будь-які зовнішні недоліки.
Напівпрозора коробка. Персонал знайомий з одним або кількома наборами облікових даних. Він також розуміє основні структури даних, код і алгоритми цілі. Тестувальники ручок можуть створювати тестові випадки з великої проектної документації, наприклад архітектурних схем цільової системи.
Прозора коробка. Тестери пера мають доступ до систем і системних артефактів, таких як вихідний код, двійкові файли, контейнери та, у деяких випадках, сервери, на яких працює система. Цей метод забезпечує найвищий рівень гарантії за найкоротший проміжок часу.

Що таке інструменти тестування на проникнення?

Інструменти тестування на проникнення використовуються як частина тесту на проникнення (Pen Test) для автоматизації певних процесів, підвищення швидкості тестування та виявлення недоліків, які було б важко помітити за допомогою лише ручних аналітичних методів. Інструменти статичного аналізу та інструменти динамічного аналізу є двома типами інструментів тестування на проникнення.

Які є типи інструментів для перевірки пера?

Універсального інструменту для перевірки пера не існує. Натомість різні цілі вимагають різних наборів інструментів для сканування портів, сканування програм, зламів Wi-Fi і прямого проникнення в мережу. Інструменти для тестування пера класифікуються на п’ять груп.

Програмне забезпечення для розвідки для визначення місцезнаходження мережевих хостів і відкритих портів
Сканери вразливостей у мережевих службах, веб-додатках та API
Доступні такі інструменти проксі, як спеціалізовані веб-проксі або загальні проксі-сервери типу "людина посередині".
Інструменти експлуатації використовуються для закріплення системи або доступу до активів.
Інструменти після експлуатації для взаємодії з системами, збереження та розширення доступу та досягнення цілей нападу

Що відрізняє тестування пером від автоматизованого тестування?

Тестери ручок використовують автоматизовані інструменти сканування та тестування, незважаючи на те, що перевірка ручок — це здебільшого ручна робота. Вони також виходять за рамки інструментів, щоб забезпечити більш поглиблене тестування, ніж оцінка вразливості (тобто автоматизоване тестування), використовуючи своє розуміння поточних стратегій атак.

Ручне тестування пера

Перевірка вручну визначає вразливі та слабкі місця, які не входять до популярних списків (наприклад, Топ-10 OWASP), і оцінює бізнес-логіку, яку автоматичне тестування може ігнорувати (наприклад, перевірка даних, перевірка цілісності). Ручний тест також може допомогти в ідентифікації хибних спрацьовувань, наданих автоматизованим тестуванням. Тестувальники ручок можуть перевіряти дані, щоб націлити свої атаки та тестувати системи та веб-сайти так, як автоматизовані рішення для тестування за попередньо визначеною процедурою не можуть, оскільки вони є професіоналами, які мислять як противники.

Автоматизоване тестування

Порівняно з підходом до повністю ручного тестування, автоматичне тестування дає результати швидше та потребує менше кваліфікованих спеціалістів. Програми автоматизованого тестування автоматично відстежують результати та іноді можуть експортувати їх на централізовану платформу звітності. Крім того, результати ручних тестів можуть відрізнятися від тесту до тесту, але повторне автоматизоване тестування на тій самій системі дає однакові результати.

Які переваги та недоліки Pen Test?

З кожним роком кількість і серйозність порушень безпеки зростає, тому підприємствам ніколи не було такої потреби в тому, щоб знати, як вони можуть протистояти атакам. Такі нормативні акти, як PCI DSS і HIPAA, вимагають періодичного тестування пера, щоб забезпечити відповідність. З огляду на ці обмеження, нижче наведено деякі переваги та недоліки цього типу техніки виявлення дефектів.

Переваги Pen Test

Виявлено, що підходи до забезпечення безпеки, такі як автоматизовані інструменти, стандарти конфігурації та кодування, аналіз архітектури та інші легкі завдання оцінки вразливості, мають недоліки.
Знаходить як відомі, так і невідомі помилки програмного забезпечення та вразливі місця в безпеці, включаючи незначні проблеми, які самі по собі можуть не викликати особливого занепокоєння, але можуть завдати серйозної шкоди в рамках більшої схеми атак.
Може атакувати будь-яку систему, імітуючи поведінку більшості ворожих хакерів, імітуючи реального ворога якомога ближче.

Недоліки Pen Test

Є трудомістким і дорогим
Не повністю запобігає потраплянню помилок і дефектів у виробниче середовище.

Які два найпоширеніші тести на проникнення?

Два найпоширеніші типи тестів на проникнення – автоматизовані та ручні.

Чому ми використовуємо тестування на проникнення?

Мета тестування на проникнення полягає в тому, щоб допомогти компаніям визначити, де вони найбільш вразливі до атак, і завчасно усунути ці вразливості до того, як ними скористаються хакери.

Узагальнити,

Тест на проникнення (перевірка) — це законодавчо дозволена імітована атака на комп’ютерну систему для оцінки її безпеки. Перо-тести дають розширену інформацію про реальні загрози безпеці, якими можна скористатися. Провівши тест на проникнення, ви можете визначити, які вразливості є критичними, які незначними, а які – помилковими.