Захожий А.Г.                                       

                                  Національний Гірничий Університет, Україна

                                                 Тест на проникнення

Тестування на проникнення (penetration testing, pentest - тести на подолання захисту) - це  детальний аналіз мережі і систем з точки зору потенційного зловмисника. Суть тесту полягає в санкціонованій спробі обійти існуючий комплекс засобів захисту інформаційної системи. В ході тестування роль зловмисника відіграє спеціаліст, який повинен визначити рівень захищеності, виявити вразливості, ідентифікувати найбільш вірогідні дороги злому і визначити наскільки добре працюють засоби виявлення і захисту інформаційної системи від атак на підприємстві.

Тест на проникнення дозволяє отримати об'єктивну оцінку того, наскільки легко отримати  доступ до ресурсів корпоративної мережі і сайту компанії, яким способом і через які вразливості. Тест на проникнення є моделюванням дій зловмисника по проникненню в  інформаційну систему і дозволяє виявити найбільше вразливостей в захисті мережі. Тест на проникнення проводять для здобуття незалежної оцінки захищеності своєї корпоративної мережі [1].

          Метою тесту на проникнення є виявлення слабких місць в захисті ІС і, якщо це можливо, і відповідає бажанню замовника, здійснити показовий злом.

     Основна задача тесту на проникнення:  повністю імітуючи дії зломщика, здійснити атаку на веб-сервер, сервер застосувань або баз даних, персонал, корпоративну мережу .

Тестування на проникнення може проводитися як у складі аудиту на відповідність стандартам, так і у вигляді самостійної роботи.

     На відповідність стандартам тест на проникнення проводиться перед початком діяльності підприємства або після впровадження комплексу засобів захисту [2].

     У вигляді самостійної роботи тести можуть проводитися з двома основними цілями: необхідності проведення робіт по підвищенню захищеності або здобуття незалежної оцінки рівня безпеки інформаційної системи.

     У першому випадку замовниками часто виступають  керівники підрозділів  ІБ, яким необхідно продемонструвати вищому керівництву недоліки існуючої системи управління інформаційної безпеки.

     У другому випадку роботи проводяться перед перекладом системи в промислову експлуатацію. В цьому випадку результати тестування дозволяють реально оцінити залишкові ризики, а можливо і виявити приховані недоліки в системі. Типовими прикладами подібних робіт є тест з використанням методів соціальної інженерії, після проведення циклу робіт по підвищенню обізнаності користувачів або злом нового WEB-інтерфейсу системи клієнт-банк перед введенням її в промислову експлуатацію [3].

Перед початком проведення тесту на проникнення між сторонами  підписується угода про нерозголошення , в рамках якої гарантується збереження в таємниці всієї конфіденційної інформації, яка буде отримана в

процесі виконання робіт. В рамках договору на виконання робіт також може окремо визначатися мета тесту на проникнення. Метою, наприклад, може виступати доступ до певного файлу або спотворення запису у вказаній таблиці бази даних.

     При плануванні тестування на проникнення необхідно визначити кордони і режим проведення тесту. Роботи можуть проводитися з повідомленням  персоналу (системних і мережевих адміністраторів) або без повідомлення.

     Якщо користувачі і адміністратори не знають про підготовлюваний злом, замовник  отримає можливість оцінити ефективність використаних механізмів виявлення і розслідування комп'ютерних інцидентів, і підвищення обізнаності в області ІБ. З іншого боку прихований тест підвищує вірогідність виникнення відмови в результаті помилки експерта або зовсім некоректного налаштування серверів і мережевого устаткування. Тому досить часто тести на подолання периметра мережевої безпеки розбиваються на дві фази: зовнішню і внутрішню. На першому етапі аудитори працюють з мінімальними знаннями про систему, і їх метою є "пробити" периметр, наприклад, встановивши шкідливе програмне забезпечення на робочу станцію внутрішнього користувача. Після успішного виконання цього завдання вони переходять до оцінки захищеності мережі з боку внутрішнього зловмисника, вже координуючи свої дії з адміністраторами системи [4].

     Типовий сценарій проникнення виглядає таким чином: досліджується можливість проникнення в систему за допомогою інформаційної атаки на одну або декілька робочих станцій, а також серверів. В разі успішного проведення атаки, за допомогою захоплених робочих станцій або серверів, встановлюється прихований канал зв'язку, що дозволяє контролювати захоплені комп'ютери ззовні, і ці майданчики використовуються для подальшого проникнення по заздалегідь позначеним цілям вже усередині периметра інформаційної системи, що атакується [5].

В результаті успішного і якісного проведеного тестування на проникнення, замовник отримує підсумковий звіт, що відображає об'єктивний і реальний погляд на рівень інформаційної безпеки компанії. Звіт також міститиме детальний технічний опис всіх зроблених і вдало реалізованих сценаріїв проникнення, аналіз всього можливого спектру дій на інформаційну інфраструктуру замовника, а також рекомендації по підвищенню рівня захищеності підприємства. Рекомендації містять покроковий опис тих дій, які необхідно зробити для підвищення рівня захищеності компанії від погроз інформаційної безпеки.

 

 

 

 

 

 

 

 

 

 

Перелік посилань

1 Вовченко В. В., Степанов И. О. Організаційні проблеми захисту інформації. - К.: Академія, 2003 .- 48-65с.

2 Куранов А. И. Основи інформаційної безпеки. – К.: Ріпол -  2005. -38-41с.

3 Журнал "Information Security/ Інформаційна безпека". -2007 -№2.

4 Тест на проникнення (Електрон. ресурс) /Спосіб доступу: URL:  http://www.dsec.ru/about/articles/st/ - Загол. з екрану.

5 Практичні аспекти проведення тесту на проникнення (Електрон. ресурс) /Спосіб доступу: URL:  http://www.osp.ru/text/233652/5908864/ - Загол. з екрану.