fbpx

Секрети кібербезпеки: Що таке пентест і навіщо він потрібен компаніям?

02/ 03/ 2021
  Ви зауважили, наскільки швидко світ віртуалізувався: перейшов з реального у кіберпростір? Ажіотаж довкола нещодавнього росту курсу біткоїна призвів до зростання популярності криптовалют. Такі сфери як Fintech, Payments та Banking часто опиняються під загрозою хакерських атак з метою отримання персональних даних, таких як електронні пошти, номери кредитних карток, тощо для викрадення коштів. Для уникнення таких ситуацій, ми пропонуємо розглянути такий різновид захисту комп’ютерних систем як пентест. Penetration test (pentest) - симуляція кібератаки на компютерні системи, мобільні застосунки та веб-додатки з метою перевірки захищеності системи. Тест на проникнення допомагає виявити, наскільки та чи інша система є вразливою до хакерських атак. Пентести допомагають оцінити, наскільки легко хакерам отримати доступ до характеристик та даних системи, визначають можливу кількість загроз, а також аналізують негативні наслідки для компанії від реалізованих атак. До того ж, тести на проникнення дозволяють вжити попереджувальних заходів для мінімізації ризиків. Багато компаній використовують пентест як інструмент навчання для своїх спеціалістів з інформаційної безпеки. Навіщо бізнесу потрібні пентести?. Досить часто відомі компанії вважають, що їх внутрішня команда з інформаційної безпеки є достатньо кваліфікованою, щоб впоратись з будь-якою хакерською атакою. Але, на практиці, ніхто не застрахований від хакерських атак. Як приклад, розглянемо дві криптовалютні біржі, одна з яких провела пентест, а друга - відмовилась від нього. У вересні минулого року світ сколихнула новина про хакерську атаку на одну з найбільших криптовалютних бірж KuCoin. Як пояснювала команда KuCoin, атака відбулась через злив приватних ключів гаманців KuCoin. Понад 275 млн дол США в еквіваленті було викрадено у різних криптовалютах. На противагу KuCoin, яка не проводила тестування, представники біржі kuna провели пентест для перевірки продукту на вразливість, замовивши дану послугу у компанії Hacken. В результаті, було виявлено вразливі елементи в системі на ранніх етапах, завдяки чому вдалось уникнути матеріальних втрат та викрадення персональних даних.  Компанія також взяла участь у bug bounty  (програмі  винагород для хакерів за виявлені вразливості у системі або у веб-додатку)  від HackenProof, що дозволило залучити більше 5000 хакерів з усього світу, які допомогли платформі виявити вразливості, які не були виявлені на попередньому етапі. Протягом двох тижнів Hacken проводив оцінку вразливості системи за допомогою методів OWASP (Open Web Application Security Project) та PTES (Penetration Testing Execution Standard). Для тестування вразливостей системи було обрано підхід „Black Box” (детальніше про Black Box ми розповімо далі), що застосовується для імітації потенційних дій кіберзлочинців. Було проведено автоматичне та ручне тестування всієї системи, облікових записів та API. Спеціалісти Hacken перевірили можливість викрадення конфіденційних даних користувачів без автентифікації. Kuna вимагає від клієнтів мінімальної кількості конфіденційних даних, і найважливіші з них наразі надійно захищені. Зрештою, пентест, проведений компанією Hacken довів, що біржа Kuna достатньо захищена для проведення біржових операцій, і, відповідно, кошти клієнтів перебувають у повній безпеці. Згідно з даними cer.live, на момент написання статті сума становила 7 млн дол США в еквіваленті у криптовалюті, які перебувають на холодних та гарячих гаманцях. Таким чином, проведення пентесту допомогло уникнути втрат криптоактивів та розповсюдження персональних даних клієнтів. Хакери можуть отримати доступ до бази даних клієнтів компанії при наявності в її системі 2 видів вразливостей: SQL ін’єкцій та RCE (віддалене виконання команди). При наявності 1 типу вразливості хакери можуть отримати доступ до бази даних клієнтів для вигрузки усієї наявної інформації, зокрема даних банківських карт, адрес, персональних даних і навіть вартості операцій, здійснених клієнтом на конкретному ресурсі. Наявність вразливості 2 типу дозволяє хакерам отримати доступ до серверів конкретного ресурсу. Як наслідок, існує загроза не лише витоку даних, але й рансомвар атаки. В обидвох випадках, вкрадені бази даних опиняються на чорному ринку для подальшого продажу. Подібні ситуації набувають публічного розголосу та потрапляють у поле зору регулюючих органів, які здатні накласти санкції на компанії-власники ресурсів, з яких відбувся витік даних,  за будь-які порушення безпеки та конфіденційності, спричинені їх бездіяльністю. У більшості випадків, на такі компанії накладається штраф. Навіть всесвітньо відомі компанії-гіганти є вразливими.  Для прикладу, розглянемо порушення General Data Protection Regulation (GDPR) компанією Google, яка вводила в оману користувачів некоректною подачею інформації про персональні дані. Google був змушений заплатити штраф у розмірі 50 млн дол США, що становило 4% річного прибутку компанії. Компанії часто нехтують зауваженнями про помилки в системі, отриманими від користувачів, внаслідок чого хакери отримують доступ до персональних даних користувачів. Відповідно, краще діяти на випередження, ніж долати наслідки. Які існують різновиди пентестів?. З першого погляду може здатись, що тестування на проникнення завжди виконується за єдиним алгоритмом. Насправді, залежно від цілей, існує декілька різновидів пентестів: Соціальна інженерія — один з методів отримання персональних даних людини за допомогою телефонної розмови або соцмереж. 80% атак з метою викрадення персональних даних відбуваються саме таким чином; Веб-додаток (Web Pentesting) — виявлення вразливості у безпеці веб-додатків та сервісів, встановлених на пристроях клієнта чи серверах; Мережева служба (Network Pentesting) — тестування зламу системи, щоб виявити елементи, вразливі до атаки хакерів; Клієнтська частина — тестування додатків, встановлених на клієнтському сайті / додатку; Віддалене підключення — перевірка vpn чи схожого обєкта, який може отримати доступ до підключеної системи; Бездротові мережі — тест, призначений для бездротових додатків і сервісів, зокрема їх різних компонентів та функцій (маршрутизатори, фільтраційні пакети, шифрування, дешифрування і т. д.); SCADA Pentesting - перевірка системи автоматичного збору інформації. Фази пентесту. 1) Збір інформації про ціль Охоплює дані, які хакер може знайти у відкритому доступі. Наприклад, імена користувачів, носії, якими вони користуються, відкриті порти, а також відомості про працівників конкретної компанії. 2) Сканування за допомогою програм Даний етап необхідний для визначення носіїв, які мають відкриті порти, та сервісів, які використовують їх. Також, хакер завжди перевірить імена користувачів за замовчуванням та паролі знайдених пристроїв. 3) Оцінка виявлених вразливостей Наступним етапом після збору даних є їх аналіз, який необхідний для розробки подальшого плану атаки. 4) Отримання доступу Після проведення аналізу, починається найцікавіше: отримання доступу до системи за допомогою виявленої вразливості у сервісах, що знаходяться у мережі жертви. Якщо жодна спроба не завершилась успіхом, тоді хакер береться за співробітників компанії. 5) Звіт Останнім етапом є створення звіту про всі вразливості, виявлені у системі клієнта. Разом зі звітом надаються дані щодо усунення виявлених вразливостей. Які існують режими тестування?. Виходячи з того, який об’єм інформації надається виконавцю про системи (Black Box або White Box), обирається один з наступних режимів тестування: White box - виконавець має доступ до більшої кількості інформації, зокрема про структуру мережі, та отримує повний доступ до об’єкта тестування. Grey box - комбінація White Box і Black Box підходів. Тобто, налаштування програми нам відомо лише частково. Black box - виконавець знає про діапазон зовнішніх IP-адрес, дані збираються з відкритих джерел (найбільш наближений до дій хакера). Скільки ж коштує пентест у порівнянні з Ransomware attack?. Компанії, які проводять тестування на проникнення, є не лише за кордоном, але i в Україні. Наприклад, минулого року компанія Hacken провела тестування платформ для обміну криптовалют Gate.io та kuna. Ціна тестування на проникнення коливається від 10 до 20 тис дол США, в залежності від рівня складності, і тому вартість таких послуг не є непомірною для компаній, у порівнянні з ransomware attack (шифрування даних на комп’ютері жертви за допомогою вірусних програм), де вартість може сягати 50 тис дол США (500 дол США за один пристрій). Таким чином, пентест допомагає виявити всі вразливості системи. Враховуючи наведені в статті приклади, симуляція атаки є запорукою безпеки компанії. Отже, компанії самі вирішують, чи запобігти проблемі, або ж розбиратися з її наслідками.

Ви зауважили, наскільки швидко світ віртуалізувався: перейшов з реального у кіберпростір? Ажіотаж довкола нещодавнього росту курсу біткоїна призвів до зростання популярності криптовалют. Такі сфери як Fintech, Payments та Banking часто опиняються під загрозою хакерських атак з метою отримання персональних даних, таких як електронні пошти, номери кредитних карток, тощо для викрадення коштів. Для уникнення таких ситуацій, ми пропонуємо розглянути такий різновид захисту комп’ютерних систем як пентест.

Penetration test (pentest) – симуляція кібератаки на комп’ютерні системи, мобільні застосунки та веб-додатки з метою перевірки захищеності системи. Тест на проникнення допомагає виявити, наскільки та чи інша система є вразливою до хакерських атак.

Пентести допомагають оцінити, наскільки легко хакерам отримати доступ до характеристик та даних системи, визначають можливу кількість загроз, а також аналізують негативні наслідки для компанії від реалізованих атак. До того ж, тести на проникнення дозволяють вжити попереджувальних заходів для мінімізації ризиків. Багато компаній використовують пентест як інструмент навчання для своїх спеціалістів з інформаційної безпеки.

Навіщо бізнесу потрібні пентести?

Досить часто відомі компанії вважають, що їх внутрішня команда з інформаційної безпеки є достатньо кваліфікованою, щоб впоратись з будь-якою хакерською атакою. Але, на практиці, ніхто не застрахований від хакерських атак. Як приклад, розглянемо дві криптовалютні біржі, одна з яких провела пентест, а друга – відмовилась від нього.

У вересні минулого року світ сколихнула новина про хакерську атаку на одну з найбільших криптовалютних бірж KuCoin. Як пояснювала команда KuCoin, атака відбулась через злив приватних ключів гаманців KuCoin. Понад 275 млн дол США в еквіваленті було викрадено у різних криптовалютах.

На противагу KuCoin, яка не проводила тестування, представники біржі kuna провели пентест для перевірки продукту на вразливість, замовивши дану послугу у компанії Hacken. В результаті, було виявлено вразливі елементи в системі на ранніх етапах, завдяки чому вдалось уникнути матеріальних втрат та викрадення персональних даних.  Компанія також взяла участь у bug bounty  (програмі  винагород для хакерів за виявлені вразливості у системі або у веб-додатку)  від HackenProof, що дозволило залучити більше 5000 хакерів з усього світу, які допомогли платформі виявити вразливості, які не були виявлені на попередньому етапі.

Протягом двох тижнів Hacken проводив оцінку вразливості системи за допомогою методів OWASP (Open Web Application Security Project) та PTES (Penetration Testing Execution Standard). Для тестування вразливостей системи було обрано підхід „Black Box” (детальніше про Black Box ми розповімо далі), що застосовується для імітації потенційних дій кіберзлочинців. Було проведено автоматичне та ручне тестування всієї системи, облікових записів та API. Спеціалісти Hacken перевірили можливість викрадення конфіденційних даних користувачів без автентифікації. Kuna вимагає від клієнтів мінімальної кількості конфіденційних даних, і найважливіші з них наразі надійно захищені. Зрештою, пентест, проведений компанією Hacken довів, що біржа Kuna достатньо захищена для проведення біржових операцій, і, відповідно, кошти клієнтів перебувають у повній безпеці. Згідно з даними cer.live, на момент написання статті сума становила 7 млн дол США в еквіваленті у криптовалюті, які перебувають на холодних та гарячих гаманцях.

Таким чином, проведення пентесту допомогло уникнути втрат криптоактивів та розповсюдження персональних даних клієнтів.

Хакери можуть отримати доступ до бази даних клієнтів компанії при наявності в її системі 2 видів вразливостей: SQL ін’єкцій та RCE (віддалене виконання команди). При наявності 1 типу вразливості хакери можуть отримати доступ до бази даних клієнтів для вигрузки усієї наявної інформації, зокрема даних банківських карт, адрес, персональних даних і навіть вартості операцій, здійснених клієнтом на конкретному ресурсі. Наявність вразливості 2 типу дозволяє хакерам отримати доступ до серверів конкретного ресурсу. Як наслідок, існує загроза не лише витоку даних, але й рансомвар атаки. В обидвох випадках, вкрадені бази даних опиняються на чорному ринку для подальшого продажу. Подібні ситуації набувають публічного розголосу та потрапляють у поле зору регулюючих органів, які здатні накласти санкції на компанії-власники ресурсів, з яких відбувся витік даних,  за будь-які порушення безпеки та конфіденційності, спричинені їх бездіяльністю. У більшості випадків, на такі компанії накладається штраф. Навіть всесвітньо відомі компанії-гіганти є вразливими.  Для прикладу, розглянемо порушення General Data Protection Regulation (GDPR) компанією Google, яка вводила в оману користувачів некоректною подачею інформації про персональні дані. Google був змушений заплатити штраф у розмірі 50 млн дол США, що становило 4% річного прибутку компанії. Компанії часто нехтують зауваженнями про помилки в системі, отриманими від користувачів, внаслідок чого хакери отримують доступ до персональних даних користувачів.

Відповідно, краще діяти на випередження, ніж долати наслідки.

Які існують різновиди пентестів?

З першого погляду може здатись, що тестування на проникнення завжди виконується за єдиним алгоритмом. Насправді, залежно від цілей, існує декілька різновидів пентестів:

  • Соціальна інженерія — один з методів отримання персональних даних людини за допомогою телефонної розмови або соцмереж. 80% атак з метою викрадення персональних даних відбуваються саме таким чином;
  • Веб-додаток (Web Pentesting) — виявлення вразливості у безпеці веб-додатків та сервісів, встановлених на пристроях клієнта чи серверах;
  • Мережева служба (Network Pentesting) — тестування зламу системи, щоб виявити елементи, вразливі до атаки хакерів;
  • Клієнтська частина — тестування додатків, встановлених на клієнтському сайті / додатку;
  • Віддалене підключення — перевірка vpn чи схожого об’єкта, який може отримати доступ до підключеної системи;
  • Бездротові мережі — тест, призначений для бездротових додатків і сервісів, зокрема їх різних компонентів та функцій (маршрутизатори, фільтраційні пакети, шифрування, дешифрування і т. д.);
  • SCADA Pentesting – перевірка системи автоматичного збору інформації.

Фази пентесту

1) Збір інформації про ціль

Охоплює дані, які хакер може знайти у відкритому доступі. Наприклад, імена користувачів, носії, якими вони користуються, відкриті порти, а також відомості про працівників конкретної компанії.

2) Сканування за допомогою програм

Даний етап необхідний для визначення носіїв, які мають відкриті порти, та сервісів, які використовують їх. Також, хакер завжди перевірить імена користувачів за замовчуванням та паролі знайдених пристроїв.

3) Оцінка виявлених вразливостей

Наступним етапом після збору даних є їх аналіз, який необхідний для розробки подальшого плану атаки.

4) Отримання доступу

Після проведення аналізу, починається найцікавіше: отримання доступу до системи за допомогою виявленої вразливості у сервісах, що знаходяться у мережі жертви. Якщо жодна спроба не завершилась успіхом, тоді хакер береться за співробітників компанії.

5) Звіт

Останнім етапом є створення звіту про всі вразливості, виявлені у системі клієнта. Разом зі звітом надаються дані щодо усунення виявлених вразливостей.

Які існують режими тестування?

Виходячи з того, який об’єм інформації надається виконавцю про системи (Black Box або White Box), обирається один з наступних режимів тестування:

  • White box – виконавець має доступ до більшої кількості інформації, зокрема про структуру мережі, та отримує повний доступ до об’єкта тестування.
  • Grey box – комбінація White Box і Black Box підходів. Тобто, налаштування програми нам відомо лише частково.
  • Black box – виконавець знає про діапазон зовнішніх IP-адрес, дані збираються з відкритих джерел (найбільш наближений до дій хакера).

Скільки ж коштує пентест у порівнянні з Ransomware attack?

Компанії, які проводять тестування на проникнення, є не лише за кордоном, але i в Україні. Наприклад, минулого року компанія Hacken провела тестування платформ для обміну криптовалют Gate.io та kuna.

Ціна тестування на проникнення коливається від 10 до 20 тис дол США, в залежності від рівня складності, і тому вартість таких послуг не є непомірною для компаній, у порівнянні з ransomware attack (шифрування даних на комп’ютері жертви за допомогою вірусних програм), де вартість може сягати 50 тис дол США (500 дол США за один пристрій).

Таким чином, пентест допомагає виявити всі вразливості системи. Враховуючи наведені в статті приклади, симуляція атаки є запорукою безпеки компанії.

Отже, компанії самі вирішують, чи запобігти проблемі, або ж розбиратися з її наслідками.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

Стартуй в Telegram боті
Читайте корисні статті та новини. Поширюйте їх соціальни мережами.
0 Шейрів

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: