Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
04.04.2022

Отчет о цифровых ресурсах - первый шаг при планировании пентеста

Сложности, связанные с пентестами

Поскольку компании непрерывно меняются, и сейчас особенно сложно, чем когда-либо, определить текущее положение вещей, многие рассматривают тесты на проникновение как решение проблемы неопределенности, когда сторонняя команда оценивает ситуацию и указывает, на что следует обратить внимание в первую очередь для усиления безопасности (например, установку патчей, сегментацию или уязвимости в целом).

Высокоуровневая методология планирования пентестов включает в себя разведку, выявление, сканирование и эксплуатацию.


К сожалению, выполнение пентеста «из коробки» связано со множеством трудностей. На основе опыта как при организации пентестов, так и выполнении пентестов у множества клиентов эти сложности стали очевидными. Например, с точки зрения заказчика выполнение пентестов может быть связано со следующими проблемами:

  • Далеко не всегда известно, какие цели у мотивированного злоумышленника. У вас могут быть предположения о векторах предполагаемых угроз, но как насчет информационных систем, используемых непосредственно на местах и не имеющих отношения к центральному офису , и других ресурсов и сервисов, о которых вы даже не подозреваете, несущих в себе риски и являющихся потенциальным источником угроз из внешнего мира.

  • Далеко не всегда известна схема атаки, и, соответственно, сложно подобрать оптимальный сценарий пентеста.

Как насчет трудностей, с которыми сталкивается команда пентестеров во время реализации намеченного плана? В этом случае также есть несколько серьезных проблем:

  • Задача ставится либо клиентом, либо во время встречи заказчика и исполнителя. Однако злоумышленники действуют совершенно по другой схеме. Обычно пентестеры находят ресурсы для тестирования после начала мероприятия, что приводит к разрастанию проекта и может не очень понравиться как заказчику, так и исполнителю. Встречи, посвященные обсуждению целей, также становятся причиной затягивания сроков.

  • Цель часто зависит от того объема вложений, которые есть у клиента, и большинство компаний не могут принять всё, как часть общей цели. Весь вопрос в том, как вы будете выстраивать приоритеты. Какие ресурсы будут являться частью цели, а какие нет? И какова будет итоговая стоимость работ?

  • Часто заказчики хотят сфокусировать только на нескольких приложениях, вместо реальных сценариев.

Как вы уже могли догадаться, в этой статье предлагается простое и в то же время элегантное решение вышеуказанных проблем и изменение старой методологии, практикуемой сотнями компаний.

Более эффективный способ выполнения пентестов

Для мотивированного злоумышленника наиболее важные при реализации атаки – разведка, обнаружение и сканирование. Эти стадии являются не только важными, но и наиболее недооцениваемые, в связи с проблемами целеполагания, упомянутыми выше. Поскольку злоумышленники часто проникают наиболее простым путем и через ресурсы, которым клиенты либо недостаточно уделяют внимания, либо не догадываются вовсе. Для исполнителя всё сводится к всеобъемлющему описанию компании заказчика перед началом тестов на проникновение.

Пентесты разделяются на две большие фазы. В первой фазе демонстрируется отчет о цифровых ресурсах. Во второй - выполняется традиционный пентест. В этом случае выигрывают обе стороны. Отчет (или цифровой отпечаток), содержащий результаты разведки, обнаружения и сканирования перед началом пентестов, представляет собой огромную ценность во многих отношениях.


Рассмотрим преимущества от выполнения пентеста, состоящего из нескольких подходов, когда результаты разведки, обнаружения и сканирования содержатся в отдельном отчете.

В этом случае заказчик сможет выбрать, какие ресурсы будут частью общей задачи. И, что наиболее важно, клиент сможет принять осознанное решение, тестирование каких ресурсов не должны быть включено в общую цель. Изначально у заказчика могут быть мысли касаемо того, что включить в общую задачу, но после ознакомление с предварительным отчетом, мнение может измениться.

Часто уязвимости находятся даже во время поиска по открытым источникам, когда после исследования ресурсов целевой организации, находятся результаты утечек в виде учетных записей, конфиденциальной информации, проиндексированной поисковиками и системы, которым не уделяется должного внимания и которые имеют очевидные бреши. При создании цифрового отпечатка клиента, практически каждый раз, заказчик может решить явные проблемы перед началом пентеста.

В этом случае клиент видит пользу от инвестиций на очень ранних стадиях и может исправить явные бреши, а команда пентестеров сфокусировать внимание на более продвинутых сценариях.

При распределении обязанности задача клиента по выполнению своей части обязательств значительно облегчается. Разведка, обнаружение и сканирование не требует серьезных телодвижений. Соответственно, общий объем работ и итоговый ценник становится более доступен, когда заказчик сразу же начинает работать рука об руку вместе со сторонней командой и быстрее получает ощутимые результаты.

Для организаций, желающих реализовать цель полностью, проще гарантировать, что произошло полноценное тестирование, поскольку цифровой отпечаток определяется заранее. Кроме того, в этом случае легче согласовать объем и стоимость работ.

Наконец, очень важно, чтобы сторонняя организация предложила свое понимание потенциальных векторов атаки. В этом случае для пентестеров намного удобнее выполнять свою работу. Проект будет меньше разрастаться, а общая задача будет более понятна, и даже появится возможность работы по фиксированным ценам. Короче говоря, выигрывают и заказчик, и исполнитель.

Что должен содержать отчет о цифровом отпечатке?

В отчете может быть все, начиная от серверов, служб и технологий и заканчивая учетными записями, найденными вследствие утечек. Далее я покажу различные разделы, которые может содержать подобный отчет.

Техническое описание

Начните с раздела, где будут наиболее важные факты и находки, который может оказаться небольшим и обычно содержит следующие сведения:

  • Вредоносные домены, как, например, фишинговые домены, похожие домены и тому подобное.
  • Уязвимости, обнаруженные в тот момент, когда пентесты еще не начались.
  • Учетные записи, найденные вследствие утечек.
  • Любая другая информация, которую можно использовать против компании во время атаки.

В этом разделе можно указать и другую информация по вашему желанию. Например, что компания может сделать, чтобы лучше подготовиться к предстоящему пентесту. Кроме того, хорошей идеей будет включить какую-либо статистику, где суммируется вся обнаруженная информация, касающаяся потенциальных векторов атаки.

Перечень серверов

Здесь предоставляется детальное описание всех найденных доменов и IP-адресов, связанных с хостингом сервисов целевой компании. Отчет может содержать следующую информацию:

  • Провайдер (Amazon, Telenor, Rackspace)
    • IP-адрес
  • Домен
  • Комментарий тестера
  • Приблизительные размер

Для каждого провайдера я бы перечислил все уникальные IP-адреса и домены, если возможно. Комментарии помогают пентестеру наметить вектора атак на системы. Что касается предполагаемого размера, рекомендую разработать методику определения размера ресурса (микро, небольшой, средний, большой или сверх большой). Затем этот параметр можно использовать для предоставления схем сотрудничества с фиксированной стоимостью работы, если вы и ваши клиенты предпочитают работать по таким схемам.

Цветовое кодирование также может оказаться очень кстати. Например, маркировка ресурсов красным, желтым, зеленым или белым, когда мы отмечаем насколько критичным или высокоприоритетным является соответствующий ресурс в рамках общей задачи. Полученный документ может использоваться в качестве рабочего для вас и вашего заказчика с целью прояснения предстоящей задачи.

Электронная почта и персональные данные

В этом разделе я бы отметил несколько моментов. Во-первых, список сотрудников компании, электронные адреса и роли. Я подразделяю роли на 3 вида, для каждого из которых есть свои вектора атак:

  • Менеджмент и другие схожие должности (например, помощник руководителя)
  • ИТ, разработчики, специалисты по безопасности и другие схожие специальности.
  • Секретари, клиентская поддержка и другие должности, связанные с поддержкой.
  • Другие роли, не включенные в предыдущие три раздела.

Особый интерес для злоумышленника представляют должности, связанные с информационными технологиями. Можно реализовать более индивидуальные сценарии атак после изучения статей в блогах, аккаунтов в сервисах навроде stack overflow, репозиториев кодов и так далее. Я выделяю различные роли при помощи цветовых кодов с целью более понятной визуализации исполняемых обязанностей.

Вы также можете обнаружить совместно используемые аккаунты электронной почты, которые могут нести риски, связанные с ненадежными паролями и другими угрозами. Обычно подобные аккаунты называются так:

  • incoming@
  • sales@
  • post@
  • security@

Вы также должны приложить усилия, чтобы продемонстрировать учетные записи, обнаруженные вследствие утечек. В зависимости от общей задачи, можно расширить эту практику для обнаружения личных аккаунтов у сотрудников в случае обнаружения личных электронных адресов.

Мобильные приложения

Приложения, разработанные и используемые компанией, также должны приводиться как часть потенциальных векторов атак. У многих приложений есть возможность напрямую через API (прикладной программный интерфейс) подключиться к внутренней инфраструктуре организации. Или есть риски в случае утечки учетных записей. Например, управление мобильными устройствами без авторизации.

Аккаунты в социальных сетях

Учетные записи в социальных сетях также могут рассматриваться злоумышленниками как один из основных векторов атаки. Можете представить ситуацию, когда злоумышленник залогинился при помощи пароля «CompanyName123!» и теперь может общаться напрямую одновременно с 20 тысячами подписчиков? Защищать аккаунты в социальных сетях не менее важно, особенно те, которые связаны с самой компанией и не связаны с другими индивидуальными учетными записями пользователей.

Другая информация

В отчете о цифровых ресурсах могут быть и другие сведения. Но здесь нужно быть уверенным, что эти данные представляют высокую ценность для целевой организации, как, например, бюджетные планы, чертежи или различные конфигурации. Конечно же, подобные сведения тоже следует продемонстрировать заказчику.

Заключение

На основе взаимовыгодных отношений между заказчиками и исполнителями ваши пентесты будут более результативными. Если исполнитель может взять на себя риски и потратить время на создание отчета о цифровых ресурсах перед тем, как начнется пентест, последующие мероприятия, скорее всего, тоже будут взаимовыгодными. Предоставление цифрового отпечатка – очень удобно, поскольку вы сможете прояснить многие вопросы перед тем, как начнутся пентесты с использованием более сложных сценариев.