Системы управления, связи и безопасности 4. 2020 Systems of Control, Communication and Security

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
59
При этом в методике BSI определены следующие основные этапы тести- рования объекта.
1. Подготовка к тестированию. Заказчик определяет объекты тестирова- ния. Определяются ресурсы, риски, проверяемые требования по ИБ.
Обсуждаются правовые аспект. Составляется договор о проведении тестирования.
2. Разведка. Это этап пассивного тестирования, цель которого получить как можно более полную информацию об объекте, установленных операционных системах (ОС) и программном обеспечении (ПО), дан- ные о потенциальных целях атакующих ИТВ, а также об известных недостатках ИБ. Данный этап включает в себя ряд подэтапов:

поиск информации об объекте тестирования;

использование обеспечивающих ИТВ для проведения компьютер- ной разведки объекта;

определение операционной системы и приложений;

выявление уязвимостей объекта.
3. Анализ информации и рисков. Для успешной, прозрачной и эффектив- ной процедуры тестирования, собранная информация должна быть проанализирована перед началом этапа тестирования атакующими
ИТВ. Анализ должен включать в себя определение целей ИТВ, потен- циальные риски для объекта, вероятность причинения ущерба объекту, время, необходимое для проведения тестирования атакующими ИТВ, их ориентированность на выявленные на предыдущем этапе уязвимо- сти объекта.
4. Попытки активного вторжения. Тестирование и анализ возможностей эксплуатации уязвимостей объекта, выявленных на этапе разведки, пу- тем реализации атакующих ИТВ.
5. Анализ результатов. Конечный отчет должен содержать оценку уязви- мостей объекта в виде формуляров потенциальных рисков, а также ре- коммендации по устранению уязвимостей и рисков. Отчет также дол- жен гарантировать прозрачность тестов и раскрытие уязвимостей.
6. Документирование. Это не отдельный этап, а постоянная процедура, предполагающая журналирование, запись, обработка и выработка ре- комендаций во время всех вышеописанных этапов.
В приложениях методики BSI содержатся описание ПО, которое можно использовать для тестирования объектов, описанных в методике.
Данную методику рекомендуется использовать для тестирования конеч- ного продукта. Методика BSI является достаточно подробной, а ее разработчи- ки старались предусмотреть все аспекты тестирования на проникновение: тех- нические, организационные, правовые.
3.7. Методика PETA
Методика PETA – Methodology of Information Systems Security Penetration
Testing [38] является примером проектного подхода к организации тестирова-

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
60 ния информационных систем. Данная методика предлагает следующую после- довательность этапов тестирования на проникновение.
1. Планирование:

формирование заказчиком требований к результатам тестирования;

формирование договоренностей о проведении тестирования между заказчиком и аудитором;

формирование команды менеджеров проекта;

определение области тестирования;

определение правил тестирования;

формирование группы тестирования;

описание ролей;

проведение брифингов и обсуждений стратегии тестирования.
2. Тестирование:

сбор информации об тестируемом объекте;

анализ периметра защиты тестируемого объекта;

проникновение за периметр;

анализ сети (использование обеспечивающих ИТВ);

анализ уязвимостей (использование обеспечивающих ИТВ);

закрепление за периметром, расширение полномочий (использова- ние атакующих ИТВ);

получение доступа к целевым информационным ресурсам, прове- дение несанкционированных действий в системе (использование атакующих ИТВ);

использование ИПВ и методов социальной инженерии;

поддержание несанкционированного доступа в актуальном состоянии;

сокрытие следов.
3. Формирование отчета:

возвращение тестируемой системы в исходное состояние, удаление последствий ИТВ;

анализ полученной в ходе тестирования информации;

формирование итогового отчета заказчику;

представление результатов тестирования заказчику, итоговая при- емка им результатов.
Вышеуказанные этапы в данной методике формализованы в виде про- цессной модели, которая, однако расписаны не очень подробно. Методика яв- ляется достаточно обзорной и определяет только самые общее подходы к про- ведению тестирования на проникновение, оставляя выбор конкретных целей тестирования, используемых тестовых ИТВ, и прочие параметры тестирования на усмотрение заказчика и аудитора.
3.8. Методика PTF
Методика PTF – Penetration Testing Framework, судя по материалам сай- та [39] является детальным техническим руководством по проведению тестиро- вания на проникновение в технической части. Данное руководство не содержит

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
61 общетеоретической информации, подобно методикам OSSTMM или ISSAF, од- нако предоставляет практически исчерпывающий перечень уязвимостей объек- та подлежащих проверке, в некоторых случаях, с указанием рекомендуемой по- рядка проведения тестирования и инструментария для него.
Материал методики PTF организован в виде следующих разделов:
1) разведка (рекогносцировка) – сбор информации об объекте за счет проведения активного и пассивного мониторинга, поиска информация в сети Интернет, с использованием ИПВ и способов социальной инже- нерии;
2) анализ ОС и ПО объекта;
3) анализ портов сети;
4) проверка паролей;
5) проверка уязвимостей:

уязвимости удаленного доступа;

уязвимости внутреннего доступа;

уязвимости bluetooth;

уязвимости телекоммуникационного оборудования Cisco;

уязвимости системы Citrix;

уязвимости транспортных сетей;
6) Непосредственно тестирование на проникновение – использование выявленных уязвимостей для реализации таргетированных ИТВ в от- ношении объекта тестирования. При этом отдельно рассмотрены:

проникновение на сервера;

оценка устойчивости VoIP-инфраструктуры;

проникновение через беспроводные сети;

безопасность физической инфраструктуры.
7) Формирование итогового отчета.
Необходимо отметить, что методика PTF, фактически является частным проектом специалиста по ИБ K. Orrey. Вместе с тем, данная методика получила большое число положительных отзывов специалистов по тестированию на про- никновение, которые использовали данную методику как первооснову для раз- работки своего варианта тестирования. В связи с этим данная методика была включена в настоящий обзор.
3.9. Методика Positive Technologies
Методика Positive Technologies [40] разработана одной из ведущих рос- сийских компаний в области ИБ. Компания специализируется на комплексном аудите ИБ, оценке защищенности прикладных систем и веб-приложений, те- стировании на проникновение и внедрении процессов мониторинга ИБ.
В качестве целей проведения тестов на проникновение в данной методике указываются:

обоснование необходимости проведения работ по повышению уровня защищенности информационной системы;

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
62

получение независимой оценки уровня безопасности информационной системы.
При планировании определяются области тестирования и режимы прове- дения тестов. Проведение тестов может проводиться как с уведомлением пер- сонала объекта, так и без него.
Методика предусматривает три варианта тестов на проникновение, раз- личающихся между собой акцентом на различных типах уязвимостях.
1. Технический тест:

получение предварительной информации о сети заказчика. Использу- ются те же источники информации, которые доступны злоумышлен- никам (Интернет, новости, конференции);

анализ сети, определение типов устройств, ОС, ПО по реакции на внешние ИТВ;

выявление уязвимостей сетевых служб и ПО;

анализ веб-приложений заказчика, проверка следующих уязвимостей: внедрение операторов SQL (SQL Injection); межсайтовое исполнение сценариев (Cross-Site Scripting); подмена содержимого (Content
Spoofing); выполнением команд ОС (OS Commanding); уязвимостей, связанных с некорректной настройкой механизмов аутентификации и авторизации и пр.;

эксплуатации выявленных уязвимостей;

анализ защищенности беспроводных сетей;

анализ устойчивости внешнего периметра объекта и открытых ресур- сов к ИТВ на сетевом уровне типа (DDOS-атаки);

анализ устойчивости сети к ИТВ на канальном уровне (ИТВ, ориенти- рованные на нарушение функционирования протоколов канального уровня: STP, VTP, CDP, ARP);

анализ сетевого трафика на предмет выявления утечек и фактов хране- ния и передачи важной информации (пароли пользователей, конфи- денциальные документы и пр.);

анализ устойчивости сетевой маршрутизации путем реализации ИТВ направленных на фальсификацию маршрутов и проведения DDOS- атак против используемых протоколов маршрутизации;

анализ возможности получения НСД к конфиденциальной информа- ции или информации ограниченного доступа, путем проверки прав до- ступа к различным информационным ресурсам с привилегиями, полу- ченными на различных этапах тестирования;

документирование полученной в ходе тестирования информации, ее анализ с целью выработки рекомендаций по улучшению защищенно- сти сети.

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
63 2. Социотехнический тест:

рассылка сообщений от имени анонимных пользователей и сотрудни- ков организации, содержащих ссылки на веб-ресурсы с исполняемым кодом, содержащие исполняемый код в теле письма, содержащие просьбу сменить пароли, переслать пароли или свою персональную информацию и пр.;

выборочная проверка исполнения политики «чистого стола» (стикеры с паролями, незаблокированные в отсутствие пользователя консоли, наличие конфиденциальных документов в офисе, доступных посетите- лям, оставленные без присмотра сотовые телефоны и пр.);

звонки пользователям от имени персонала ИТ и ИБ отделов с прось- бами получения/смены пароля, пересылки конфиденциальных доку- ментов и пр.;

выбор целевых групп пользователей и определение ИПВ для тестиро- вания каждой из групп;

использование полученных в результате предыдущих этапов привиле- гий для получения НСД к ресурсам тестируемого объекта;

документирование полученной в ходе тестирования информации, ее анализ с целью выработки рекомендаций по улучшению защищенно- сти сети.
3. Комплексный тест. Комплексный тест на проникновение, в соответ- ствии с методикой Positive Technology, наиболее близок к реальным действиям злоумышленников. Используя различные вышеуказанные мероприятия техни- ческого и социоинженерного тестов, аудиторы пытаются обойти существующие защитные механизмы с целью выполнения поставленных заказчиком задач.
Данную методику рекомендуется использовать для тестирования конеч- ного продукта, уже введенного в эксплуатацию.
4. Результаты сравнительного анализа стандартов и методик
Обобщенные результаты анализ вышеуказанных методик тестирования на проникновение по различным частным критериям представлены в таблице 1.
Отметим, что наиболее проработанной методикой тестирования на про- никновение как в теоретическом, так и в практическом плане является методика
ISSAF. Методики OSSTMM, PETA и стандарты NIST SP 800-115, BSI носят в большей степени теоретический характер, при этом NIST SP 800-115 и BSI фактически являются стандартами стран-разработчиков, которых необходимо придерживаться, проводя тестирование на проникновение в этих странах.
Стандарт PTES и методика PTF являются практико-ориентированными и со- держат широкий набор технических рекомендаций и конкретных уязвимостей, которые необходимо проверять в ходе тестирования на проникновение.

Системы управления, связи и безопасности
№4. 2020
Systems of Control, Communication and Security
ISSN 2410-9916
DOI: 10.24411/2410-9916-2020-10402
URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf
64
Таблица 1 – Результаты сравнительного анализа стандартов и методик тестирования на проникновение
Характеристика
OSSTMM
ISSAF
OWAS
P
PTES
NIST SP
800
-115
BSI
PETA
PTF
P
o si ti v
e
T
ec h
n o
lo g
ie s
Рекомендации по обсуждению с заказ- чиком целей и задач тестирования
+
+
+
+
±
+
–
–
–
Рекомендации по подготовке договора на тестирование
+
+
–
±
±
±
–
–
–
Законодательные аспекты тестирования
±
+
–
–
+
+
–
–
–
Рекомендации по сборе информации об объекте тестирования
+
+
+
+
+
+
±
+
+
Подробные рекомендации по анализу и оценке уязвимостей
±
+
+
+
±
+
–
+
±
Рекомендации по этапам тестирования и их содержанию
+
+
+
+
+
+
+
+
+
Отдельные рекомендации по тестирова- нию телекоммуникационных сетей
+
+
±
+
+
–
–
+
+
Отдельные рекомендации по тестирова- нию беспроводных сетей
+
+
–
+
+
–
–
+
+
Отдельные рекомендации по тестирова- нию веб-приложений
±
±
+
+
–
–
–
±
±
Отдельные рекомендации по проверке безопасности физической инфраструктуры
+
+
–
+
–
–
–
+
–
Отдельные рекомендации по проверке безопасности паролей
–
+
±
+
+
–
–
+
±
Отдельные рекомендации по проверке безопасности баз данных
–
+
±
–
–
–
–
–
–
Отдельные рекомендации по проверке безопасности исходного кода программ
–
+
±
–
–
–
–
–
–
Подробные рекомендации по использова- нию конкретных ИТВ для тестирования
–
+
+
+
±
±
–
+
±
Подробные рекомендации по использо- ванию конкретных ИПВ и социальной инженерии для тестирования
±
+
–
+
±
–
–
–
±
Рекомендации по конкретному ПО, ис- пользуемому для тестирования
–
+
±
+
–
±
–
±
–
Рекомендации по формированию отчета о тестировании
+
+
+
+
–
+
–
+
–
Анализ и рекомендации по устранению найденных уязвимостей
–
+
–
–
+
+
–
–
–
Примечание: «+» – имеется в полном объеме; «±» – имеется в кратком изложении или упоминается; «–» – данный материал отсутствует, либо изложен таким образом, что не пред- ставляет ценности для аудитора.