19-Amaliy mashg’ulot Mavzu: PENETRATION TESTING (HUJUM IMKONIYATLARI) Ishning maqsadi: Xavfsizlik standartlarini tuzishning asosiy maqsadi tarmoq va axborot tizimlarining kiberatakalar va xakerlar qaramay himoya qilish, foydalanuvchilarning ma'lumotlari va xavfsizligini saqlash va tizimlarni o'zlashtirishdir. Penetratsiyani tekshirish bosqichlari
Qalamni sinovdan o'tkazish jarayonini besh bosqichga bo'lish mumkin.
Penetratsion testning besh bosqichi
1. Rejalashtirish va razvedka
Birinchi bosqich quyidagilarni o'z ichiga oladi:
Sinovning ko'lami va maqsadlarini, shu jumladan ko'rib chiqilishi kerak bo'lgan tizimlar va qo'llaniladigan test usullarini aniqlash.
Maqsad qanday ishlashini va uning potentsial zaifliklarini yaxshiroq tushunish uchun razvedka ma'lumotlarini yig'ish (masalan, tarmoq va domen nomlari, pochta serveri).
2. Skanerlash
Keyingi qadam, maqsadli dastur turli xil bosqinchilik urinishlariga qanday javob berishini tushunishdir. Bu odatda quyidagilar yordamida amalga oshiriladi:
Statik tahlil - dasturning ishlayotganda qanday harakat qilishini baholash uchun uning kodini tekshirish. Ushbu vositalar bir martalik kodni to'liq skanerlashi mumkin.
Dinamik tahlil - ishlayotgan holatda dastur kodini tekshirish. Bu skanerlashning yanada amaliy usulidir, chunki u real vaqt rejimida dastur ishlashini ko'rish imkonini beradi.
3. Kirish huquqiga ega bo'lish
Ushbu bosqich maqsadning zaif tomonlarini ochish uchun saytlararo skript, SQL in'ektsiyasi va orqa eshiklar kabi veb-ilova hujumlaridan foydalanadi. Keyin sinovchilar ushbu zaifliklardan foydalanishga harakat qiladilar, odatda imtiyozlarni oshirish, ma'lumotlarni o'g'irlash, trafikni ushlab turish va hokazolar, ular olib kelishi mumkin bo'lgan zararni tushunish uchun.
4. Kirish imkoniyatini saqlash
Ushbu bosqichning maqsadi zaiflikdan ekspluatatsiya qilinayotgan tizimda doimiy mavjudligiga erishish uchun foydalanish mumkinligini ko'rishdir - yomon aktyor chuqur kirish huquqiga ega bo'lishi uchun etarli. G'oya tashkilotning eng nozik ma'lumotlarini o'g'irlash uchun ko'pincha oylar davomida tizimda qoladigan ilg'or doimiy tahdidlarga taqlid qilishdir.
5. Tahlil
Keyin kirish testi natijalari batafsil bayon qilingan hisobotga tuziladi:
Foydalanilgan maxsus zaifliklar
Kiritilgan maxfiy maʼlumotlar
Qalam testerining tizimda aniqlanmay qolishi mumkin bo'lgan vaqt miqdori
Ushbu ma'lumotlar zaifliklarni tuzatish va kelajakdagi hujumlardan himoya qilish uchun korporativ WAF sozlamalarini va boshqa ilovalar xavfsizligi echimlarini sozlashda yordam berish uchun xavfsizlik xodimlari tomonidan tahlil qilinadi.
Penetratsiyani tekshirish usullari
Tashqi sinov
Tashqi kirish testlari kompaniyaning internetda ko'rinadigan aktivlariga, masalan, veb-ilovaning o'zi, kompaniya veb-sayti, elektron pochta va domen nomlari serverlariga (DNS) qaratilgan. Maqsad qimmatli ma'lumotlarga kirish va olishdir.
Ichki test
Ichki testda xavfsizlik devori orqasidagi ilovaga kirish huquqiga ega bo'lgan tester zararli insayder hujumini simulyatsiya qiladi. Bu yolg'on xodimni taqlid qilish shart emas. Umumiy boshlang'ich stsenariy hisob ma'lumotlari fishing hujumi tufayli o'g'irlangan xodim bo'lishi mumkin.
Ko'r-ko'rona sinov
Ko'r-ko'rona testda testerga faqat maqsadli korxona nomi beriladi. Bu xavfsizlik xodimlariga haqiqiy dastur hujumi qanday sodir bo'lishini real vaqt rejimida ko'rish imkonini beradi.
Ikki marta ko'r-ko'rona sinov
Ikki marta ko'r-ko'rona sinovda xavfsizlik xodimlari simulyatsiya qilingan hujum haqida oldindan ma'lumotga ega emaslar. Haqiqiy dunyoda bo'lgani kabi, buzg'unchilikka urinish oldidan ularning himoyasini mustahkamlash uchun vaqtlari bo'lmaydi.
Maqsadli test
Ushbu stsenariyda sinovchi va xavfsizlik xodimlari birgalikda ishlaydi va bir-birlarini harakatlarini baholaydilar. Bu xavfsizlik guruhiga xakerlar nuqtai nazaridan real vaqt rejimida fikr-mulohazalarni taqdim etadigan qimmatli o'quv mashqidir.
Imperva Web Application Firewall veb-sayt xavfsizligini ta'minlashda sizga qanday yordam berishi mumkinligini ko'ring.
Penetratsiya testi va veb-ilovalar xavfsizlik devorlari
Penetratsion testlar va WAFlar eksklyuziv, ammo o'zaro manfaatli xavfsizlik choralari hisoblanadi.
Ko'p turdagi qalam sinovlari uchun (ko'r va ikki marta ko'r testlar bundan mustasno) sinovchi ilovaning zaif joylarini aniqlash va ulardan foydalanish uchun jurnallar kabi WAF ma'lumotlaridan foydalanishi mumkin.
O'z navbatida, WAF ma'murlari qalam sinovlari ma'lumotlaridan foydalanishlari mumkin. Sinov tugagandan so'ng, WAF konfiguratsiyasi sinovda aniqlangan zaif nuqtalardan himoyalanish uchun yangilanishi mumkin.
Nihoyat, qalam testi xavfsizlik auditi tartib-qoidalari, jumladan PCI DSS va SOC 2 uchun muvofiqlik talablariga javob beradi. PCI-DSS 6.6 kabi ayrim standartlar faqat sertifikatlangan WAF dan foydalanish orqali qondirilishi mumkin. Shunday qilish, yuqorida aytib o'tilgan afzalliklari va WAF konfiguratsiyasini yaxshilash qobiliyati tufayli qalam testini unchalik foydali qilmaydi.
Pentesting misollari (kirish testi)
Mutaxassislarga qanday savollar qo'yiladi, penetratsion test metodologiyasi , test jarayoni qanday ko'rinadi? Keling, bu haqda mutaxassislarimiz tomonidan o'tkazilgan test misolidan foydalanib gapiraylik:
Xususiy tashkilotning talabiga binoan yuqorida qayd etilgan tashkilot infratuzilmasi bo‘yicha pentest o‘tkazish bo‘yicha shartnoma tuzildi. Tadqiqot tashqi IP-manzildan foydalangan holda ekspert muassasasining ofisidan o'tkazildi. Sinovning birinchi bosqichida Router Scan va NMap dasturlari yordamida foydalanilgan uskunalar turlari aniqlandi. Kompaniya perimetrini sinovdan o'tkazish jarayonida tajovuzkorga bank serverlariga, mijozlar ma'lumotlariga ruxsatsiz kirish va bankning ichki tarmog'iga ruxsatsiz kirishni amalga oshirish uchun hujumlar uyushtirish imkonini beruvchi zaif komponentlarga ega serverlar va dasturiy ta'minotlar aniqlandi. Windowsning zaif versiyasida veb-server tomonidan ishlatiladigan ma'lum bir zaif komponent mavjudligi aniqlandi, buning natijasida masofaviy tajovuzkor serverda masofaviy kodni amalga oshirishi yoki yuqorida ko'rsatilgan serverga xizmat ko'rsatishni rad etishga olib kelishi mumkin. Windows xavfsizlik yangilanishlarini o'rnatish tavsiya etiladi.
Xususiy tashkilotning talabiga binoan yuqorida qayd etilgan tashkilot infratuzilmasi bo‘yicha pentest o‘tkazish bo‘yicha shartnoma tuzildi. Tadqiqot tashqi IP-manzildan foydalangan holda ekspert muassasasining ofisidan o'tkazildi. Sinovning birinchi bosqichida Router Scan va NMap dasturlari yordamida foydalanilgan uskunalar turlari aniqlandi. WhoIs xizmati orqali olingan ma'lumotlarga asoslanib, zaxira IP-manzil mijoz-tashkilotga xizmat ko'rsatuvchi provayderning manzillar puliga tegishli. Ushbu hovuz uchun xizmat ADSL standarti yordamida taqdim etiladi. Ushbu aloqa standarti eskirgan va xizmat ko'rsatishni rad etish xavfini tug'diradi. Biroq, zaxira kanali uchun ushbu aloqa standartidan foydalanish maqbuldir. Keyingi bosqichda ZMap zaifliklarni keyingi izlash uchun ochiq portlar mavjudligi uchun barcha taqdim etilgan manzillarni birma-bir skanerladi. Tahlil natijasida TCP protokoli orqali ochilgan 9091 porti aniqlandi. Boshqa ochiq manbalar aniqlanmagan. Boshqa portlar yopiq, filtrlangan yoki ochiq|filtrlangan holatga ega, bu esa ulardan penetratsion testda foydalanishni nomaqbul qiladi. Mijoz tomonidan taqdim etilgan IP-manzillar bo'yicha foydalaniladigan xizmatlarni aniqlash amalga oshirilmadi, chunki sinovdan o'tayotgan infratuzilma yopiq. To'liq kirish testi va zaiflik tahlilini ta'minlash uchun Armitage va Metasploit zaiflik ma'lumotlar bazasidan foydalanilgan. Audit davomida Buyurtmachi resurslarida zaifliklar aniqlanmadi.
Pentest natijasida hisobot berish
Penetratsion testning natijasi mutaxassis hisobotidir. Hisobotning shakli va mazmuni qonunchilik darajasida tartibga solinmagan, bu hisobotning shakli uni tuzuvchi ekspert tomonidan belgilanishini ko'rsatadi. Odatda hisobot quyidagi ma'lumotlarni o'z ichiga oladi:
Hisobotni tuzgan ekspert(lar) to'g'risidagi ma'lumotlar;
Ishni boshlash va tugatish sanasi;
Tadqiqotni o'tkazish uchun asos;
Xaridor tomonidan taqdim etilgan resurslar;
Foydalanilgan materiallar va ma'lumotnomalar;
Amaldagi dasturiy va apparat vositalari;
Ish sharoitlari;
Ishning borishi (pentesting jarayoni);
Aniqlangan tanqidiy zaifliklar;
Muhim zaifliklarni bartaraf etish bo'yicha tavsiyalar;
Hisobotga qo'shimcha ma'lumotlar va ilovalar (havolalar, transkriptlar)
Agar saytning kirish testi o'tkazilsa va u asosiy himoyalangan aktiv bo'lsa, natija sayt pentest xizmatiga muvofiq chiqariladi .
Shunday qilib, penetratsion test natijalariga ko'ra, mijoz o'z axborot tizimining zaif tomonlari haqida to'liq ma'lumot oladi, shuningdek, ushbu zaifliklarni bartaraf etish bo'yicha aniq ko'rsatmalar va tavsiyalarni oladi.