Тестирование на проникновение, также известное как пентест, представляет собой имитацию кибератаки на компьютерную систему для проверки на наличие уязвимостей. В контексте безопасности веб-приложений тестирование на проникновение обычно используется для усиления фаервола веб-приложений (англ. WAF).
Pentest обычно подразумевает попытку взлома некоторых прикладных систем (например, программных интерфейсов (API), серверов) с целью выявления уязвимостей, таких как (авто)сохраненные входные данные, которые могут помочь во внедрении вредоносного кода.
Аналитические данные, полученные с помощью теста на проникновение, можно использовать для тонкой настройки политик безопасности WAF и исправления обнаруженных уязвимостей.
Этапы испытания на проникновение
Процесс тестирования можно разбить на пять этапов:
- Планирование и разведка
- Сканирование
2.1. Статический анализ
2.2. Динамический анализ
- Получение доступа
- Поддержание доступа
Анализ
Результаты теста на проникновение затем формируют подробный отчет, включающий:
● конкретные использованные уязвимости;
● конфиденциальные данные, к которым был получен доступ;
● количество времени, в течение которого пентестер мог оставаться в системе незамеченным.
Эту информацию могут проанализировать сотрудники службы безопасности, чтобы помочь настроить параметры WAF предприятия и другие решения безопасности приложений для исправления уязвимостей и защиты от будущих атак.
Методы испытания на проникновение
Внешнее тестирование
Внешние тесты на проникновение нацелены на ресурсы компании, к которым можно получить доступ в интернете, например, само веб-приложение, веб-сайт компании, а также серверы электронной почты и DNS. Цель состоит в том, чтобы получить доступ и извлечь ценные данные.
Внутреннее тестирование
Во внутреннем тестировании тестировщик, имеющий доступ к приложению за брандмауэром, имитирует атаку злоумышленника. Это не обязательно имитация взломщика. Часто злоумышленник может использовать сотрудника, чьи учетные данные были украдены вследствие фишинг-атаки.
Слепое тестирование
В слепом тестировании испытателю дается только название предприятия, на которое он нацелен. Это дает сотрудникам службы безопасности возможность в режиме реального времени наблюдать, как будет происходить фактический взлом.
Двойное слепое тестирование
В двойном слепом тестировании сотрудникам службы безопасности не сообщают о планируемой атаке. Как и в реальной ситуации, у них не будет времени усилить свою защиту перед попыткой проникновения.
Целевое тестирование
В этом случае и тестировщик, и сотрудники службы безопасности работают вместе и сообщают друг другу о своих действиях. Это ценное учебное упражнение, которое предоставляет команде безопасности возможность увидеть действия глазами злоумышленника.
Тестирование на проникновение и брандмауэры веб-приложений
Тестирование на проникновение и WAF являются исключительными, но взаимовыгодными мерами безопасности.
Для многих видов тестирования (за исключением слепого и двойного слепого тестирования) тестировщик, скорее всего, использует данные WAF, такие как журналы, чтобы находить и использовать слабые места приложения.
В свою очередь, администраторы WAF в результате могут получить ценную информацию. После завершения тестирования конфигурации WAF могут быть обновлены для защиты слабых мест, обнаруженных во время теста.
Наконец, тестирование позволяет обеспечить часть требований соответствий, таких как сертификация PCI DSS и SOC 2. Некоторые стандарты, такие как PCI-DSS 6.6, могут быть выполнены только при использовании сертифицированного WAF. Однако это не делает тестирование на проникновение менее полезным из-за его вышеупомянутых преимуществ и возможности улучшить конфигурации WAF.