Тестування на проникнення

Скільки зазвичай триває тестування на проникнення?

Це може зайняти від одного до п'яти тижнів, але в середньому вона становить приблизно 2-3 тижні. Точний час залежить від обсягу та складності робіт зі сканування вразливостей чи тестування на проникнення. Не бійтеся написати нам, і ми надамо більш точну оцінку на основі ваших конкретних вимог до тестування на проникнення найвищої якості.

Які фактори найбільше впливають на ціну тестування на проникнення?

Основні фактори - це обсяг робіт та їх складність. Для нас дуже важливо точно оцінити, скільки необхідно зусиль - саме це призведе до зниження ціни:

• Надайте точну інформацію про "живі" системи (IP адреси з відкритими TCP/UDP портами та URL). Якщо ви надаєте діапазон адрес, серед яких деякі не використовуються, ви будете платити за "мертві" IP-адреси, де немає чого тестувати, але договір вже підписаний.
• Тип обраного тестування проникнення також впливає на ціну. Найдешевший та швидкий варіант - це “Сірий ящик”, оскільки він не вимагає додаткової зовнішньої фази розвідки (як у варіанті Чорний ящик). З Сірим ящиком ви просто надаєте нам список систем та доступ, і ми їх тестуємо. Тестування під назвою “Білий ящик” обійдеться вам дорожче і займе більше часу, оскільки воно охоплює більший перелік перевірок, включаючи інтерв'ю з адміністраторами та аналіз конфігурацій систем.
• Складність робіт також впливає на вартість. Наприклад, оцінити кібербезпеку банківської системи онлайн-банкінгу набагато складніше, ніж протестувати базовий інформаційний WEB сайт на WordPress розміщений на хостингу.
• Тестування систем з автентифікацією та доступом потребує більше ресурсів від тестувальників, оскільки воно включає додаткові перевірки. Наприклад, тестування продукту без автентифікації вимагає мінімальних перевірок порівняно з тестуванням продукту з автентифікацією та декількома ролями, що розширює обсяг робіт на весь той додатковий фукнціонал що ховається за автентифікацією. Ми ретельно перевіряємо вразливості авторизації, управління сесіями, обробки помилок, перевірки даних, бізнес-логіки та проводимо інші перевірки, які неможливо виконати без повноцінної автентифікації. Чітко вказуйте системи, які мають бути ретельно протестовані від імені автентифікуваного користувача або деяких користувачів з різними ролями доступу.

Розглядаючи ці фактори й надаючи вичерпну інформацію про системи, які мають бути протестовані, ви можете допомогти нам точно оцінити витрати та знизити ціну.

Яку методологію ми використовуємо?

Протягом років ми досліджували різні визнані методології та виокремили те, що найкраще працює для нас. Наш процес включає елементи з наступних визнаних найкращих практик:

• Декілька практичних керівництв з тестування на проникнення:
  • NIST 800-115
  • Penetration Testing Framework
  • The Penetration Testing Execution Standard
• OWASP Web Security Testing Guide: Використовується для всебічної перевірки вебдодатків.
• OWASP Mobile Application Security Testing Guide: Employed for meticulous auditing of mobile applications.
• PCI Penetration Testing Guide: Обов'язкова інструкція для тестування середовищ з даними власників карток.
• Open Source Security Testing Methodology Manual (OSSTMM): Попри те, що вона є доволі старою практикою, вона надає цінні уявлення про організацію та управління процесом тестування на проникнення, співпрацю команди та інше.
• Інші методології специфічні для тестування конкретних систем і фреймворків.

Всі ці методології дотримуються спільних принципів і слідкують структурованим підходом. Проте залежно від конкретного тесту на проникнення, ми застосовуємо відповідні елементи.

Які етапи проєкту?

• Підписання договору та NDA.
• Затвердження плану-графіку тестування та методології.
• Початок - пасивний збір інформації та вивчення документації.
• Активна розвідка.
• Визначення вразливостей (автоматизоване сканування та ручна оцінка).
• Ручна перевірка кожної вразливості.
• Оцінка ризиків, профілювання загроз і написання звіту.
• Презентація звіту.
• Перевірка усунення вразливостей (за вашим бажанням).

Наскільки безпечний тест на проникнення?

Ми не ставимо за мету “покласти на лопатки” ваші системи, але треба розуміти, що ми активно намагаємося вивести системи за межі їх звичайного функціонування.

Якщо ми тестуємо продуктивне середовище та маємо справу з критичними системами, не переживайте! У нас є кілька прийомів, щоб все було під контролем:

• Ризикові дії, такі як сканування вразливостей та експлуатація, відбуватимуться лише після взаємної згоди щодо найкращого часу. Ви можете обрати вікно технічного обслуговування, наприклад, під час вихідних або в нічний час, щоб мінімізувати ризик для клієнтів.
• Ручні перевірки будуть виконані з великою обережністю, і наші сканери будуть налаштовані тільки на “безпечні” перевірки.
• Ми розробимо процедуру ескалації подій у співпраці з вами, щоб ви були готові оперативно реагувати в разі її виникнення. Це буває рідко, але, визнаймо: життя повне сюрпризів.
• І не забувайте про резервне копіювання систем, завжди краще мати його в готовності.

Ще однією опцією є тестування в середовищі, ідентичному продуктивному середовищу.

Які інструменти ми використовуємо?

Ми використовуємо як платні, так і безплатні інструменти для сканування вразливостей, дослідження та аналізу. Крім того, ми застосовуємо ручне тестування та пошук у відкритих базах даних експлойтів та вразливостей.

• Сканери WEB додатків: BurpSuite & Acunetix.
• Сканери мережі: Nexpose & Nessus.
• Усі інструменти, включені в дистрибутив Kali Linux, включаючи Nmap та Metasploit.
• Експлойти, знайдені в інтернет-базах даних, таких як ExploitDatabase, CVE Details, 0day.today, а також на GitHub.
• Створені вручну інструменти та експлойти.

Яку модель обрати: “Чорний ящик”, “Сірий ящик” або “Білий ящик”?

Ось декілька порад, які допоможуть вам визначити найкращу опцію для вас:

Вартість і тривалість: Найбільш оптимальний та швидкий варіант - це “Сірий ящик”. У тестуванні “Сірого ящика” команда не повинна виконувати додаткову фазу зовнішньої розвідки (як у варіанті “Чорний ящик”). Ви просто надаєте список систем та доступ, і ми їх тестуємо. Тестування “Білий ящик” обійдеться вам дорожче і займатиме більше часу, оскільки воно має в собі більший перелік оцінок, включаючи інтерв'ю та дослідження конфігурації систем.

Розуміння безпеки додатка чи системи: Якщо ви хочете зрозуміти які вразливості розробники могли внести у ваш продукт або оцінити власне безпеку самої системи, то тестування в варіанті “Сірий ящик” є кращим варіантом. Надайте доступ до систем, що тестуються, та додайте етичних хакерів до білого списку систем безпеки (таких як IPS, WAF). Таким чином, вони будуть тестувати кінцеву систему, а не боротися із системами захисту та безпеки.

Оцінка загроз зламу з мережі Інтернет: Якщо ви хочете зрозуміти, що може зробити справжній зловмисник - Хакер з Інтернету, то варто вибрати тестування в режимі “Чорний ящик”. Ми проведемо незалежну розвідку та погодимо з вами список систем. Пам'ятайте, що в цьому випадку ми частково тестуємо системи безпеки, такі як WAF\IPS, тоді як сама система все ще може мати власні вразливості, що ховаються за системами захисту.
Хочете бути абсолютно впевненими? Щоб ми заглянули в кожен закуток та перевернули кожен камінь, оберіть підхід “Білий ящик”.

Є варіанти поза “Чорним ящиком”, “Сірим ящиком” та “Білим ящиком”: Ви не обмежені цими термінами. Ми можемо змоделювати будь-які конкретні загрози, такі як:

• Нападник Хакер з Інтернету з обмеженими знаннями.
• Звичайний співробітник з доступом до систем або мережі.
• Гість, який приєднався до мережі.
• Партнер, який отримав доступ через VPN.
• Скомпрометований ноутбук розробника.
• Будь-який інший сценарій, який ви можете придумати.

Ми можемо моделювати ці конкретні загрози в будь-якій комбінації.

Чи проводимо ми автоматизоване тестування, чи ручне тестування?

Тестування на проникнення - це не лише сканування вразливостей; значна частина роботи виконується вручну. Сканування вразливостей надає дані для ручних перевірок, і сканер - це лише один з інструментів, які ми використовуємо.

Ми також пропонуємо окрему послугу зі сканування вразливостей, яка є набагато простішою за тест на проникнення.
Для зменшення помилкових спрацювань під час сканування вразливостей ми перевіряємо результати другим сканером.