Інформаційна безпека

Pentest або Red Team? Пірати проти ніндзя


  • Хто переможе в битві піратів і ніндзя? Я знаю, ви думаєте: «Яке, до біса, це має відношення до безпеки?» Читайте далі, щоб дізнатися, але спочатку виберіть: Пірати або Ніндзя?

    Перед тим, як зробити такий вибір, потрібно дізнатися їх сильні і слабкі сторони:

1Пірати 2 ніндзя

Сильні сторони Слабкі сторони
Потужні Голосні
Гарні в атаках з застосуванням грубої сили П’яні (деякі вважають, що це може бути перевагою)
Гарні в пограбуванні Можуть бути необережні
Далекобійні
Сильні сторони Слабкі сторони
Швидкі Немає обладунків
Потайні Маленькі
Покликані навчати
Майстри ближнього бою

Все зводиться до того, що корисніше в тій чи іншій ситуації. Якщо ви шукаєте скарб на загубленому острові і ризикуєте нарватися на Флот Її Величності, ніндзя вам певно не знадобляться. Якщо ж ви готуєте замах, то пірати — не ті, на кого можна покластися.

Та ж історія з пентестом і редтимингом. Обидва підходи мають як сильні, так і слабкі сторони, що робить один з них більш потрібний в залежності від умов. Для отримання максимальної віддачі потрібно визначити цілі, а потім вирішити, що краще їм відповідає.

Penetration Testing


Пентест зазвичай плутають з іншими методами оцінки безпеки: пошук вразливостей і редтімінг. Але хоча у цих підходів є загальні компоненти, вони все ж відрізняються і повинні використовуватися в різних контекстах.

По суті, справжній пентест полягає у виявленні максимального числа вразливостей і помилок конфігурації за відведений час, а також в їх експлуатації для визначення рівня ризику. Це не обов’язково має включати пошук зеродеів, найчастіше — це пошук відомих незакритих уразливостей. Як і у випадку з пошуком вразливостей пентест призначений для виявлення вразливостей і перевірки на помилки першого роду (хибнопозитивні спрацьовування).

Однак при проведенні пентеста перевіряючий йде далі, намагаючись здійснити експлуатацію уразливості. Це може бути зроблено безліччю способів, і коли уразливість проексплуатовано, хороший пентестер не зупиняється. Він продовжує шукати і експлуатувати інші вразливості, об’єднуючи атаки, щоб досягти мети. Всі організації ставлять ці цілі по-різному, але зазвичай вони включають доступ до персональних даних, медичної інформації та комерційної таємниці. Іноді це вимагає доступу на рівні адміністратора домену, але часто можна обійтися і без цього, або навіть доступу такого рівня буває недостатньо.

Кому потрібен пентест? Деякі держоргани вимагають його, але організації, які вже проводять регулярні внутрішні перевірки, тренінги та моніторинг безпеки, зазвичай готові до такого випробування.

Red Team Assessment


Редтиминг багато в чому схожий на пентест, але більш спрямований. Мета червоної команди не в пошуку максимального числа вразливостей. Мета — перевірити можливості організації щодо виявлення та запобігання вторгнення. Нападники отримують доступ до чутливої інформації будь-яким доступним способом, намагаючись залишитися непоміченими. Вони емулюють спрямовані атаки зловмисника, схожі на APT. Крім того, редтімінг, як правило, більш тривалий, ніж пентест. Пентест зазвичай займає 1-2 тижні, в той час як редтімінг може тривати 3-4 тижні та довше, задіюючи кілька людей.

В ході редтімінгу не проводиться пошук купи вразливостей, а лише тих, що потрібні для досягнення мети. Цілі звичайно ті ж, що і при пентесті. В ході редтімінгу використовуються такі методи, як соціальна інженерія (фізична та електронна), атаки на бездротові мережі, зовнішні активи і т. д. Таке тестування — не для всіх, а лише для організацій зі зрілим рівнем інформаційної безпеки. Такі організації зазвичай вже пройшли пентести, запатчили більшість вразливостей і вже мають досвід успішної протидії тестів на проникнення.

Редтімінг може проходити наступним чином:

Член червоної команди під виглядом поштаря проникає в будинок. Потрапивши всередину, він підключає пристрій до внутрішньої мережі організації для віддаленого доступу. Пристрій встановлює мережевий тунель, використовуючи один із дозволених портів: 80, 443 або 53 (HTTP, HTTPS чи DNS), забезпечуючи C2-канал для червоної команди. Інший учасник команди, використовуючи цей канал, починає просування по мережевій інфраструктурі, використовуючи, наприклад, незахищені принтери та інші пристрої, які допоможуть приховати точку проникнення в мережу. Таким чином червона команда досліджує внутрішню мережу, поки не досягне поставленої мети, прагнучи залишитися нижче радарів.

Це лише один із безлічі методів, якими може скористатися червона команда, але він є непоганим прикладом деяких тестів, які ми проводили.

Так… Пірати або Ніндзя?


Повернемося до піратів проти ніндзя. Якщо ви припустили, що пентестери — пірати, а редтімери — ніндзя, ви вгадали. Хто з них краще? Часто це одні і ті ж люди, що використовують різні методи і техніки для різних обстежень. Справжня відповідь в пошуку кращих така ж, як і у випадку з піратами і ніндзя: не обов’язково хто-то краще. Кожен більш корисний у певних ситуаціях. Вам не потрібні пірати для таємних операцій, як і ніндзя для того, щоб борознити моря в пошуках скарбів. Так само не варто використовувати пентест для оцінки реагування на інциденти та редтімінг для того, щоб знайти уразливості.

Related Articles

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Close