Методологии и стандарты тестирования на проникновение – Блог IBM

Интернет-пространство продолжает быстро расти, открывая все больше возможностей для кибератак внутри компьютерной системы, сети или веб-приложения. Чтобы смягчить такие риски и подготовиться к ним, тестирование на проникновение является необходимым шагом в поиске уязвимостей безопасности, которые может использовать злоумышленник.

Что такое тестирование на проникновение?

A тест на проникновениеили «тест на проникновение» — это тест безопасности, который проводится для имитации кибератаки в действии. А кибератаки может включать попытку фишинга или нарушение системы сетевой безопасности. Организации доступны различные типы тестирования на проникновение в зависимости от необходимых мер безопасности. Тест может проводиться вручную или с помощью автоматизированных инструментов с учетом определенного курса действий или методологии пен-тестирования.

Зачем нужно тестирование на проникновение и кто в нем участвует?

Термины «этический хакер» и «тестирование на проникновение» иногда используются как синонимы, но разница есть. Этический хакерство – это более широкое понятие. информационной безопасности поле, которое включает в себя любое использование хакерских навыков для повышения безопасности сети. Тесты на проникновение — лишь один из методов, которые используют этические хакеры. Этические хакеры также могут предоставлять анализ вредоносного ПО, оценку рисков и другие хакерские инструменты и методы для выявления и устранения недостатков безопасности, а не для причинения вреда.

IBM, Стоимость отчета о утечке данных В 2023 году было обнаружено, что средняя глобальная стоимость утечки данных в 2023 году составит 4.45 миллиона долларов США, что на 15% больше, чем за 3 года. Одним из способов смягчения этих нарушений является проведение точного и целенаправленного тестирования на проникновение.

Компании нанимают пен-тестеров для имитации атак на их приложения, сети и другие активы. Проводя ложные атаки, тестеры на проникновение помогают службы безопасности выявлять критические уязвимости безопасности и улучшать общее состояние безопасности. Эти атаки часто осуществляются красными командами или наступательными группами безопасности. красная команда имитирует тактику, методы и процедуры реальных злоумышленников (TTP) против собственной системы организации как способ оценки риска безопасности.

Приступая к процессу тестирования на проникновение, следует учитывать несколько методологий тестирования на проникновение. Выбор организации будет зависеть от категории целевой организации, цели проверки на проникновение и объема проверки безопасности. Не существует универсального подхода. Чтобы провести справедливый анализ уязвимостей перед процессом пен-тестирования, организация должна понимать свои проблемы безопасности и политику безопасности.

Посмотрите демонстрации тестирования пера от X-Force

5 лучших методологий тестирования на проникновение

Одним из первых шагов в процессе пен-тестирования является принятие решения о том, какой методологии следовать.

Ниже мы рассмотрим пять наиболее популярных сред тестирования на проникновение и методологий тестирования на проникновение, чтобы помочь заинтересованным сторонам и организациям выбрать лучший метод для их конкретных потребностей и гарантировать, что он охватывает все необходимые области.

1. Руководство по методологии тестирования безопасности с открытым исходным кодом

Руководство по методологии тестирования безопасности с открытым исходным кодом (OSSTMM) — один из самых популярных стандартов тестирования на проникновение. Эта методология прошла рецензирование для тестирования безопасности и была создана Институтом безопасности и открытых методологий (ISECOM).

Метод основан на научном подходе к пен-тестированию с доступными и адаптируемыми руководствами для тестировщиков. OSSTMM включает в свою методологию ключевые функции, такие как операционная направленность, тестирование каналов, метрики и анализ доверия.

OSSTMM предоставляет основу для тестирования на проникновение в сеть и оценки уязвимостей для специалистов по пен-тестированию. Он предназначен для того, чтобы поставщики могли найти и устранить уязвимости, такие как конфиденциальные данные и проблемы, связанные с аутентификацией.

2. Откройте проект безопасности веб-приложений.

OWASP, сокращение от Open Web Application Security Project, — это организация с открытым исходным кодом, занимающаяся безопасностью веб-приложений.

Цель некоммерческой организации — сделать все свои материалы бесплатными и легко доступными для всех, кто хочет улучшить безопасность своих веб-приложений. OWASP имеет свой собственный Топ-10 (ссылка находится за пределами IBM.com), который представляет собой хорошо поддерживаемый отчет, в котором описываются самые большие проблемы безопасности и риски для веб-приложений, такие как межсайтовый скриптинг, нарушение аутентификации и проникновение за брандмауэр. OWASP использует список 10 лучших приложений в качестве основы для своего руководства по тестированию OWASP. 

Руководство разделено на три части: среда тестирования OWASP для разработки веб-приложений, методология тестирования веб-приложений и отчеты. Методологию веб-приложений можно использовать отдельно или как часть среды веб-тестирования для тестирования на проникновение веб-приложений, тестирования на проникновение мобильных приложений, тестирования на проникновение API и тестирования на проникновение в Интернет вещей.

3. Стандарт проведения тестирования на проникновение

PTES, или Стандарт выполнения тестирования на проникновение, представляет собой комплексный метод тестирования на проникновение.

PTES был разработан командой профессионалов в области информационной безопасности и состоит из семи основных разделов, охватывающих все аспекты пен-тестирования. Цель PTES — разработать технические рекомендации, описывающие, чего организациям следует ожидать от теста на проникновение, и направлять их на протяжении всего процесса, начиная с предварительного этапа.

PTES призван стать основой для тестов на проникновение и предоставить стандартизированную методологию для специалистов и организаций по безопасности. В руководстве представлен ряд ресурсов, в том числе лучшие практики на каждом этапе процесса тестирования на проникновение, от начала до конца. Некоторыми ключевыми особенностями PTES являются эксплуатация и последующая эксплуатация. Эксплуатация относится к процессу получения доступа к системе с помощью таких методов проникновения, как социальная инженерия и взлом пароля. Пост-эксплуатация — это когда данные извлекаются из скомпрометированной системы и доступ сохраняется.

4. Структура оценки безопасности информационных систем

Структура оценки безопасности информационных систем (ISSAF) — это система тестирования на проникновение, поддерживаемая Группой безопасности информационных систем (OISSG).

Эта методология больше не поддерживается и, вероятно, не является лучшим источником самой актуальной информации. Однако одной из его основных сильных сторон является то, что он связывает отдельные этапы пен-тестирования с конкретными инструментами пен-теста. Этот тип формата может стать хорошей основой для создания индивидуальной методологии.

5. Национальный институт стандартов и технологий  

NIST, сокращение от Национального института стандартов и технологий, представляет собой структуру кибербезопасности, которая предоставляет набор стандартов проверки на проникновение, которым должны следовать федеральное правительство и сторонние организации. NIST является агентством Министерства торговли США и его следует рассматривать как минимальный стандарт, которому необходимо следовать.

Тестирование на проникновение NIST соответствует рекомендациям NIST. Чтобы соответствовать таким рекомендациям, организации должны проводить тесты на проникновение, следуя заранее определенному набору правил.

Этапы тестирования пера

Установить область действия

Прежде чем начать пен-тест, группа тестирования и компания определяют объем теста. В объеме указывается, какие системы будут тестироваться, когда будет проводиться тестирование, а также методы, которые могут использовать пен-тестеры. Объем также определяет, какой объем информации будет у пен-тестеров заранее.

Запуск теста

Следующим шагом будет проверка плана масштабирования и оценка уязвимостей и функциональности. На этом этапе можно выполнить сканирование сети и уязвимостей, чтобы лучше понять инфраструктуру организации. Внутреннее тестирование и внешнее тестирование могут проводиться в зависимости от потребностей организации. Пен-тестеры могут проводить различные тесты, включая тест «черного ящика», тест «белого ящика» и тест «серого ящика». Каждый из них предоставляет разную степень информации о целевой системе.

Как только будет создан обзор сети, тестировщики могут приступить к анализу системы и приложений в рамках заданного объема. На этом этапе пентестеры собирают как можно больше информации, чтобы понять любые неправильные настройки.

Отчет о результатах

Последним шагом является составление отчета и подведение итогов. На этом этапе важно подготовить отчет о тестировании на проникновение, в котором будут указаны все результаты пен-теста с указанием выявленных уязвимостей. Отчет должен включать план смягчения последствий и потенциальные риски, если исправление не произойдет.

Пен-тестирование и IBM

Если вы попытаетесь протестировать все, вы потратите впустую свое время, бюджет и ресурсы. Используя платформу для общения и совместной работы с историческими данными, вы можете централизовать, управлять и определять приоритетность сетей, приложений, устройств и других активов высокого риска для оптимизации вашей программы тестирования безопасности. Портал X-Force® Red Portal позволяет всем, кто участвует в исправлении, просматривать результаты тестирования сразу после обнаружения уязвимостей и планировать тесты безопасности в удобное для них время.

Ознакомьтесь с услугами тестирования на проникновение в сеть от X-Force