Системы управления, связи и безопасности 4. 2020 Systems of Control, Communication and Security

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
51
Методика OSSTMM определяет, так называемую «карту безопасности» – визуальное отображение основных категорий ИБ, которые оцениваются в про- цессе тестирования:

информационная безопасность;

безопасность социальных процессов;

безопасность информационных процессов;

безопасность Интернет-технологий;

безопасность каналов связи;

безопасность беспроводных технологий;

безопасность физической инфраструктуры.
Как таковой, классификации уязвимостей в этой методике нет. Понятие
«уязвимость» в методике вводится как ограничение безопасности – это дефект или ошибка, которая запрещает доступ авторизованным пользователям или процессам к информационным ресурсам или позволяет несанкционированный доступ (НСД) неавторизованных пользователей или процессов к ресурсам.
Эту методику можно использовать как на этапе предварительной оценки защищенности объектов в интересах проверки возможности их использования в составе какой-либо информационной системы, так и на этапе разработки объек- тов для проверки отдельных возможностей и функций ИБ.
3.2. Методика ISSAF
Методика ISSAF – Information System Security Assessment Framework [33] разработана консорциумом OISSG (Open Information Systems Security Group) в качестве стандарта внутреннего аудита организаций этого консорциума. При данном аудите выполняется оценка следующих аспектов ИБ:

оценка политик и процедур ИБ организации, а также степень их соот- ветствия ИТ-стандартам и требованиям нормативных документов в области ИБ;

выявление и оценка «зависимости» бизнес-процессов организаций от
ИТ-инфраструктуры;

проведение оценки уязвимостей и тестов на проникновение для выде- ления уязвимостей в системе, которые могут привести к потенциаль- ным рискам информационных ресурсов;

указание моделей оценки по доменам безопасности;

нахождение и устранение неправильных конфигураций аппаратно- программных средств;

идентификация и снижение рисков, связанных с ИТ;

идентификация и снижение рисков, связанных с персоналом или биз- нес-процессами;

усиление безопасности существующих процессов и технологий;

внедрение лучшего опыта обеспечения ИБ в практику и процедуры бизнес-процессов.
Методика ISSAF включает в себя большое количество вопросов, связан- ных с тестированием ИБ, а материал методики организован в виде двух частей:

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
52

рекомендации для менеджмента;

рекомендации по тестированию.
Материал методики ISSAF декомпозирован на 14 подразделов.
1. Управление проектом по тестированию.
2. Основные принципы и лучшие практики в проведении тестирования.
3. Схема процесса тестирования.
4. Обзор политики безопасности и способов повышения ИБ.
5. Методология оценки рисков.
6. Тестирование технических аспектов ИБ: а) тестирование криптоустойчивости паролей; б) тестирование безопасности операционной системы (ОС) Unix/
Linux; в) тестирование безопасности ОС Windows; г) тестирование безопасности ОС Novell Netware; д) тестирование безопасности баз данных (БД); е) тестирование безопасности беспроводных сетей и коммуникаций; ж) тестирование безопасности коммутаторов; з) тестирование безопасности маршрутизаторов; и) тестирование безопасности брандмауэров; к) тестирование безопасности систем обнаружения вторжений; л) тестирование безопасности частных виртуальных сетей VPN; м) тестирование безопасности антивирусных систем; н) тестирование безопасности распределенных систем хранения данных; о) тестирование безопасности Интернет-коммуникаций; п) тестирование безопасности пользователей; р) тестирование безопасности исходного кода; с) тестирование безопасности бинарного кода.
7. Тестирование социально-психологических аспектов ИБ.
8. Тестирование физической инфраструктуры.
9. Анализ инцидентов.
10. Отчетность по результатам аудита и тестирования.
11. Обеспечение непрерывности бизнес-процессов и восстановление по- сле инцидентов.
12. Повышение полноты мониторинга и обучение в области ИБ.
13. Аутсорсинг проведения тестирования и обеспечения ИБ.
14. База знаний: а) правовые аспекты тестирования и аудита ИБ; б) рекомендации по составлению договора о неразглашении информации; в) рекомендации по составлению договора на тестирование и аудит; г) шаблоны типовых документов; д) контрольный список проверки ОС Windows; е) контрольный список проверки ОС Linux; ж) контрольный список проверки ОС Solaris; з) порты по умолчанию у брандмауэров; и) порты по умолчанию у систем обнаружения вторжений;

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
53 к) ссылки на другие документы и ресурсы; л) рекомендации по программному обеспечению (ПО), которое можно использовать для проведения тестирования.
В методике ISSAF представлены 3 этапа, которые необходимо реализо- вать для корректного проведения тестов на проникновение.
1. Планирование и подготовка. Получение начальной исходной инфор- мации об объекте тестирования, планирование и подготовка к тестам.
Перед тестированием сторонам необходимо будет подписать фор- мальное соглашение, которое обеспечит основу для проведения тести- рования и взаимную правовую защиту. В нем также будет указан по- рядок взаимодействия, точные даты, длительность тестирования, спо- собы проведения тестирования и т.д.
2. Оценка. На этом этапе производится выполнение тестирования.
Предусмотрены следующие подэтапы проведения тестирования: а) сбор информации. Для сбора информации в методике ISSAF реко- мендуется использовать Интернет. При этом получаемая информа- ция делится на две группы: техническая (DNS/WHOIS) и нетехни- ческая (поисковые системы, группы новостей и т.д.). Данный этап позволяет выделить «точки уязвимости», которые будут использо- ваться в дальнейшем; б) сетевое картографирование. Применение специальных технических средств для определения структуры сети и ее ресурсов; в) идентификация уязвимостей. Перед этой стадией, аудитор опреде- ляет уязвимые объекты и способы их тестирования. В процессе те- стирования методикой ISSAF предполагается выполнение следую- щих мероприятий:

идентификация уязвимостей почтовых сервисов;

выполнение углубленного сканирования сетевых информацион- ных ресурсов и сетевых сервисов на предмет поиска известных уязвимостей. Информация об известных уязвимостях берется из открытых баз данных уязвимостей;

верификация полученной информации об уязвимостях путем сравнения и проверки информации об уязвимостях, полученных из различных источников или различными способами;

документирование обнаруженных уязвимостей;

классификация найденных уязвимостей;

определение сценариев ИТВ и сценариев использования экс- плойтов.
Отметим, что в методике ISSAF для уязвимостей определяется два типа рисков: технический риск и бизнес-риск. В свою очередь каждый из них делит- ся на 3 уровня: низкий, средний, высокий.
3. Непосредственно тестирование на проникновение.

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
54 4. Получение доступа или расширение привилегий. Получение мини- мальных привилегий доступа возможно через доступ к непривилеги- рованным аккаунтам с помощью следующих способов: а) подбор комбинаций логин/пароль путем атаки со словарем; б) поиск пустых или стандартных паролей в системных аккаунтах; в) выявление эксплойтов в стандартных настройках сетевого обору- дования; г) поиск публичных сервисов, допускающих определенные операции в системе (запись/создание/чтение файлов).
Конечной целью аудитора на данном этапе является получение доступа к аккаунту администратора сети. Часто в сети разрешены только аккаунты с ми- нимальным количеством привилегий. В этом случае выполняется составление карты локальных уязвимостей, производится разработка или получение кор- ректного эксплойта, затем он тестируется в изолированной среде и применяется к компрометированной системе.
5. Дополнительные тесты, например, получение зашифрованных паролей для их последующего взлома в режиме off-line, перехват трафика и его анализ и т.д.
6. Компрометация удаленных пользователей, информационных ресурсов, объектов сети.
7. Поддержка несанкционированного доступа к сети.
8. Сокрытие следов работы.
Методика ISSAF является наиболее подробной, из рассматриваемых в данной статье, методикой тестирования на проникновение как в теоретическом, так и в практическом плане. Эту методику можно использовать как на этапе предварительной оценки защищенности объектов сети в интересах проверки возможности их использования в составе какой-либо информационной систе- мы, так и на этапе разработки объектов для проверки отдельных возможностей и функций ИБ.
3.3. Методика OWASP
Методика OWASP – Open Web Application Security Project [34] создана сообществом OWASP в 2004 г. и развивается по настоящее время международ- ной группой независимых экспертов-энтузиастов. Методика ориентирована на тестирование веб-приложений. Организация OWASP зарегистрирована в США и Бельгии (OWASP Europe VZW). Методика подробно описывает тестирование веб-приложений и фактически является единственной подобной методикой, уз- ко ориентированной именно на веб-приложения.
В 2020 г. вышла промежуточная версия руководства OWASP Web
Security Testing Guide v. 4.1. В руководстве по тестированию имеется ссылка на перечень мероприятий по тестированию на проникновение (checklist), а также раскрывается содержимое этих мероприятий.
Методика OWASP содержит следующие разделы:
1) введение;
2) руководство по тестированию OWASP;

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
55 3) тестирование на проникновение веб-приложений;
4) руководство по составлению отчётов.
В разделе 4 «тестирование на проникновение веб-приложений» описан набор тестов, ориентированным на проверку следующих аспектов ИБ:

сбор информации;

тестирование управления конфигурацией и развертыванием;

тестирование управления идентификацией;

тестирование аутентификации;

тестирование авторизации;

тестирование управления сессиями;

тестирование проверки ввода;

тестирование обработки ошибок;

тестирование на криптографическую устойчивость;

тестирование бизнес-процессов;

тестирование клиентской стороны.
Методику OWASP можно использовать как на этапе предварительной оценки защищенности веб-приложений в интересах проверки возможности их ис- пользования в составе какой-либо информационной системы, так и на этапе раз- работки веб-приложений для проверки отдельных возможностей и функций ИБ.
3.4. Стандарт PTES
Стандарт проведения тестирования на проникновение PTES – Penetration
Testing Execution Standard [35] разработана в 2009 г. международной группой независимых экспертов-энтузиастов в области ИБ. PTES качестве стандарта официально зарегистрирована только в США. С момента появления стандарт получил развитие в виде версии 1.1 в 2017 г.
Стандарт PTES предусматривает 7 основных этапов проведения тестиро- вания на проникновение, описанных в соответствующих разделах:
1) этап первоначального общения;
2) сбор информации;
3) моделирование угроз;
4) анализ уязвимостей;
5) эксплуатация;
6) постэксплуатация;
7) отчетность.
К данному стандарту прилагается техническое руководство (PTES
Technical Guidelines) подробно излагающее основные технические аспекты те- стирования:
1) инструментарий тестирования: а) ОС и ПО; б) аппаратные средства; в) радиотехнические средства;
2) сбор информации об объекте тестирования: а) разведка по открытым источникам (OSINT);

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
56 б) использование ИПВ и социальной инженерии; в) анализ социальных сетей и контактов; г) анализ email и телефонных контактов; д) сканирование сети; е) анализ используемого ПО и ОС; ж) анализ периметра безопасности; з) анализ физической инфраструктуры;
3) анализ уязвимостей: а) анализ уязвимостей ОС и ПО; б) анализ уязвимостей БД; в) анализ уязвимостей VPN; г) анализ уязвимостей транспортной сети и сетевых протоколов; д) анализ уязвимостей беспроводной сети; е) анализ уязвимостей Интернет-подключений; ж) анализ уязвимостей аутентификации и криптоустойчивости па- ролей; з) формирование целевых ИТВ компьютерной разведки;
4) эксплуатация уязвимостей (формирование обеспечивающих и атаку- ющих ИТВ, ориентированных на проникновеннее за защищаемый пе- риметр организации за счет эксплуатации выявленных уязвимостей): а) атаки на ОС и ПО; б) атаки на аутентификацию по стандартным паролям; в) атаки на сетевые протоколы; г) атаки на VPN; д) DOS-атаки; е) атаки на протоколы семейства WEP и WPA беспроводных сетей; ж) атаки на шлюзы с сетью Интернет; з) ИПВ и социальная инженерия; и) атаки на инфраструктуру контроля периметра (видеонаблюде- ние, пропускная система, учет передвижений персонала и т.д.);
5) постэксплуатация (формирование атакующих ИТВ, ориентированных на расширение привилегий и несанкционированные действия после проникновения за защищаемый периметр организации): а) эксплуатация уязвимостей ОС, ПО и БД; б) формирование закладок и уязвимостей для последующей экс- плуатации; в) получение доступа и работа с системными файлами; г) получение доступа к важным файлам; д) получение доступа к информации авторизации пользователей; е) обход внутренних средств защиты;
6) отчетность.
Данные этапы охватывают практически все действия, связанные с тестом на проникновение – от первоначального общения и обоснования задания на те- стирование до этапа формирования отчёта, в котором весь процесс фиксируется

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
57 наиболее эргономичным для заказчика образом, а также формируются реко- мендации по повышению защищённости тестируемой системы.
Этот стандарт можно использовать как на этапе предварительной оценки защищенности объектов в интересах проверки возможности их использования в составе какой-либо информационной системы, так и на этапе разработки объек- тов для проверки отдельных их возможностей и функций ИБ.
3.5. Стандарт NIST SP 800-115
Стандарт NIST SP 800-115 – Technical Guide to Information Security
Testing and Assessment [36] разработан и поддерживается в актуальном состоя- нии одним из подразделений национального института стандартизации США
NIST (National Institute of Standards and Technology), а именно – центром по компьютерной безопасности CSRC (Computer Security Resource Center), объ- единяющим специалистов федеральных служб, университетов и крупнейших
ИТ-компаний США.
Материал данного стандарта организован в виде последовательности сле- дующих разделов:
1) обзор тестирования и экспертизы безопасности;
2) обзор методов;
3) определение цели и техники анализа;
4) техники оценки уязвимостей объектов;
5) планирование оценки безопасности;
6) выполнение оценки безопасности;
7) пост-тестовые мероприятия.
В разделе «техники оценки уязвимостей объектов», в качестве одной из техник описываются типовые тесты на проникновение, а именно их этапы и ло- гика проведения. В соответствии с этим стандартом, тесты на проникновение рекомендуется проводить в следующих случаях:

для определения устойчивости и защищенности объекта к реально су- ществующим ИТВ;

для определения трудоемкости преодоления периметра защиты объекта;

для выяснения уязвимостей существующих мер и средств защиты;

для определения способности системы защиты объекта, своевременно обнаруживать реальные ИТВ и адекватно реагировать на них.
В соответствии со стандартом NIST SP 800-115, в тестировании на про- никновение выделяют следующие этапы.
1. Планирование. На данном этапе определяются правила тестирования, утверждаются и документируется управление тестированием, опреде- ляются цель и частные задачи тестирования.
2. Исследование. Данный этап включает в себя два подэтапа:

компьютерная разведка объекта тестирования в интересах сбора доступной информации об объекте тестирования, защищаемом периметре и т.д.;