Тестване за проникване в облак

Какво представлява теста за проникване в облак?

Теста за проникване (от английски пенетрейшън тест или пен тест), известен също като етично хакерство, е симулирана кибер атака срещу система, която ползва облачни услуги като Amazon AWS, Google Cloud, Microsoft Azure, IBM Cloud и др. за проверка за експлоатируеми уязвимости. С други думи, тестът за проникване е процес, при който се използват методологии и техники за да се идентифицират слабостите и пропуските в сигурността, които биха могли да позволят на злонамерен нападател да причини вреда или да получи неоторизиран достъп до ресурсите, намиращи се в целевата система (бази данни, информация за кредитни карти, чувствителни лични данни и др.). След като се идентифицират пропуските в сигурността, се предоставя анализ на потенциалните рискове и въздействието на уязвимостите, заедно с мерки за отстраняването им.

Тестването на сигурността никога няма да бъде точна наука, където може да се дефинира пълен списък на всички възможни проблеми, които трябва да бъдат тествани. Всъщност тестването на сигурността е подходяща техника за тестване на сигурността при определени обстоятелства. Нашият екип за тестване на проникване ще изтласка вашата система до нейните предели в поредица от симулирани кибератаки, откривайки всяка възможна уязвимост, така че Вие да получите пълна картина на състоянието на киберсигурността си и 100% от вашите данни да са в безопасност.

Защо тестването за проникване в облак е важно?

Необходимостта от тестване за проникване в облак се дължи най-вече на ситуацията в областта на киберсигурността. Тестовете за проникване в облак представляват повишена техническа сигурност и по-добро разбиране на възможните вектори на атака, на които са изложени вашите системи. Облачните системи, независимо дали са инфраструктура като услуга (IaaS), платформа като услуга (PaaS) или софтуер като услуга (SaaS), са склонни към неправилни конфигурации, слабости и заплахи за сигурността, точно както са традиционните ИТ системи.

Тестването за сигурност в облака ви предоставя:

  • По-добро разбиране на киберсигурността на облачните Ви услуги. Какви услуги имате в облака. Какви системи са достъпни публично.
  • Подробен отчет за всички неправилни конфигурации на сигурността, уязвимостите, заедно с препоръки как да конфигурирате по-добре защитата си в облака.

Повишената сигурност ще дойде от факта, че ще получите доклад за слабостите в сигурността на вашете облачни услуги. Ще можете да проверите кои услуги и данни са публично достъпни, какви облачни контроли за сигурност са в сила и колко ефективно те намаляват риска за киберигурността Ви.

30000 +
Часа опит в областта на сигурността

Необходими са 10 000 часа, за да станете експерт от световна класа. При нас стана възможно, защото обожаваме работата си.

120 +
Доволни клиенти

Ние сме предпочитан доставчик на услуги и продукти в областта на киберсигурността. Повишената киберсигурност е източник на по-високи приходи в бъдеще.

300 +
Тестове за проникване

Открили сме повече от хиляда уязвими уеб сайта, приложения и устройства.

1000 +
Защитени

Повече от хиляда уебсайта, приложения и устройства сме защитили от престъпници и атаки на зловреден софтуер.

Вземете безплатна оферта

Какви са проблемите със сигурността в облака?

Въпреки че облачните доставчици предлагат все по-стабилни контроли за сигурност, Вие в крайна сметка носите отговорност за осигуряването на киберсигурност на вашата компания в облака. Според доклад за сигурността в облака за 2019 г., най-големите предизвикателства за сигурността в облака са свързани със загубата на данни и поверителността на данните. Последвани от опасения за съответствие и за случайно разкриване на идентификационни данни.

Разпределение на основните проблеми в оперативната сигурност:

  • 34% съответствие с нормативните актове.
  • 33% липса на разбиране за нивото на сигурността на инфраструктурата.
  • 31% липса на квалифициран персонал.

Най-големите заплахи за сигурността в облака:

  • Неоторизиран достъп.
  • Несигурни интерфейси/API.
  • Некоректна конфигурация на облачната платформа.
  • Отвличане на акаунти или трафик.
  • Грешно споделяне на информация.
  • Наличие на злонамерени вътрешни хора.
  • Зловреден софтуер / рансъмуер.

Каква е нашата метология на тестване?

Пасивно тестване

Това е техника на тестване за проникване, при която етичните хакери извличат информация, свързана с целта, без да взаимодействат с нея. Това означава, че не се изпраща заявка директно до целта. По принцип се използват публични ресурси за събиране на информация.Също така, тази информация може да бъде полезна при активното тестване.

Активно тестване

По време на активното тестване, специалистите по проникване започват да използват методологиите, описани в следващите раздели:

  1. Тестване за управление на настройки и внедряване
    • Тест на конфигурацията на мрежовата инфраструктура
    • Тестване на настройките на приложенията
    • Проверка за файлови разширения, потенциално съдържащи поверителна информация
    • Преглед за стари резервни копия на файлове, без връзки, потенциално съдържащи поверителна информация
    • Изброяване (енумериране) на инфраструктурни и административни интерфейси на приложенията
    • Методи на HTTP
    • Строга транспортна безопасност на HTTP
    • Политики за кръстосани домейни на RIA
    • Права на файлове
    • Кражба на поддомейн
    • Тестване на облачно съхранение на файлове
    • Проверка на политиките за сигурност на съдържание
  2. Тестване за управление на идентичност
    • Определяне на роли
    • Процесът на регистрация на потребители
    • Процесът на предоставяне на акаунт
    • Тестване за изброяване (енумерация) и отгатване на потребителски акаунти
    • Тестване за слаба или неналожени правила за потребителски имена
  3. Тестване на удостоверяване (автентификация)
    • Тестване за идентификационни данни, транспортирани през криптиран канал
    • Идентификационни данни по подразбиране
    • Слаби механизми за излизане от уеб системата.
    • Заобикаляне на схемите за автентикация
    • Уязвими пароли за запомняне
    • Слабости в кеширането на браузъра
    • Слаби политики за пароли
    • Слаб отговор на таен въпрос
    • Слабости във функционалност за промяна или нулиране на пароли
    • По-слабо удостоверяване в алтернативен канал
  4. Тестване на оторизация
    • Обхождане на директории и файлове
    • Заобикаляне на правила (схема) за оторизация
    • Повишаване на привилегиите
    • Опасни преки връзки
  5. Тестване на управление на сесиите
    • Тестване на схеми (правила) за управление на сесиите
    • Атрибути на бисквитки
    • Фиксиране на сесия
    • Незащитени променливи на сесиите
    • Фалшифициране на заявка между сайтове (CSRF)
    • Функционалността на излизане от системата
    • Времето за изтичане на сесията
    • Разкриване на сесии
    • Крадене на сесия
    • JSON уеб токени
  6. Тестване за валидиране на входящи данни
    • Тестване за отразени скриптове между сайтове (reflected XSS)
    • Тест за съхраняване на скриптове между сайтове (stored XSS)
    • Подправяне на HTTP методи
    • Замърсяването на параметрите на HTTP
    • SQL инжекции (Oracle, MySQL, SQL Server, PostgreSQL, MS Access, NoSQL)
    • ORM инжектиране
    • От страна на клиента
    • LDAP инжектиране
    • Инжектиране на XML
    • Инжектиране от страна на сървъра (SSI)
    • XPath инжектиране
    • Инжектиране на IMAP и SMTP
    • Инжектиране на код
    • Инжектиране на файл
    • Инжектиране на команди
    • Инжектиране на форматирани низове
    • Инкубирене на уязвимости
    • Атакуване на HTTP хедъри чрез резделяне или контрабанда (HTTP response splitting/smuggling)
    • HTTP входящи заявки
    • Инжектиране на хост заглавки (хедъри)
    • Инжектиране на шаблони от страна на сървъра
    • Фалшифициране на заявки от страна на сървъра (SSRF)
    • Масово присвояване на данни
  7. Тестване на обработката за грешки
    • Неправилна обработка на грешки
    • Проследяване на стека
  8. Тестване на слаба криптография
    • Слаба сигурност на транспортния слой
    • Предсказване (Padding Oracle)
    • Чувствителна информация, изпратена чрез некриптирани канали
    • Слабо криптиране
  9. Тестване на бизнес логика
    • Въвеждане в бизнес логика
    • Проверка (валедиране) на данни от бизнес логиката
    • Възможност за фалшифициране на заявки
    • Проверка на интегритет
    • Времетраене на процеса
    • Тестване за ограничения на брой пъти, когато една функция може да бъде използвана
    • Заобикаляне на работни потоци
    • Тестване за защита от злоупотреба с приложението
    • Качване на неочаквани типове файлове
    • Качване на зловредни файлове
  10. Тестване от страна на клиента
    • Тестване за DOM-базирани скриптове между сайтове
    • Тестване за собсвени DOM-базирани скриптове между сайтове
    • Изпълняване на JavaScript
    • Инжектиране на HTML
    • Пренасочване на URL адрес от страна на клиента
    • Инжектиране на CSS
    • Манипулация на ресурсите от страна на клиента
    • Съвместно използване на ресурси от различни източници
    • Скриптове между сайтове от Flash (XSF)
    • Заразяване на кликове (Clickjacking)
    • Тестване на уеб сокети
    • Уеб обмен на съобщения
    • Тестване на съхраняването на данни от браузъра
    • Вмъкване на междусайтови скриптове
  11. Тестване на API
    • Тестване GraphQL
  12. Специфични мрежови тестове
    • VLAN Hopping
    • Подслушване на комуникация (sniffing)
    • IP пренасочвания
    • Крадене на сесия
    • Session Replay
    • Специфични мрежови атаки за операционните системи
    • Network Hash Passing
    • Слабости в DNS
    • Различни мрежови слабости в операционните системи
    • Специализирани атаки на мрежови слоеве от 2-ри до 7-ми
    • Protocol Fuzzing
    • Размиване на протоколи (Protocol Fuzzing)
  13. Други вектори на атаки
    • Неоторизиран достъп.
    • Несигурни интерфейси/API.
    • Некоректна конфигурация на облачната платформа.
    • Отвличане на акаунти или трафик.
    • Грешно споделяне на информация.
    • Наличие на злонамерени вътрешни хора.
    • Зловреден софтуер / рансъмуер.
    • Препълване на буфер
    • Неизвестни в публичното пространство атаки (0-day)
    • Фишинг
    • Руткит атаки

Тестването за проникване в облак включва външно и вътрешно тестване на проникване, за да се изследва пълноценно. Примерите за уязвимости, определени от този тип активно тестване, могат да включват незащитени блобове за съхранение и S3 букети, сървъри с портове за управление, отворени към Интернет, и лош контрол на изхода.

Тестването за проникване в облак се фокусира основно върху изследването на защитата в тези ключови области:

  • Изброяване на външните услуги за атака – идентифицира всички възможни входни точки в средата – O365, уеб приложения, блобове за съхранение на информация, S3 букети, SQL/RDS бази данни, Azure Automation API, AWS API, VPN и др.
  • Тестване на удостоверяване и упълномощаване – проверява дали потребителите в средата работят на принципа на най-малко привилегии, защитени са от сигурни многофакторни политики за удостоверяване, както и гарантиране, че слаби пароли са забранени за използване.
  • Виртуални машини / EC2 – Azure поддържа два типа виртуални машини – класически и v2. Тестването ще гарантира, че тези виртуални машини са защитени чрез групи за мрежова сигурност (NSG – аналогични на защитните стени) и техните данни са криптирани. Където е възможно, се включват одити на липсващи кръпки и техните ефекти. Когато виртуалните машини са публично достъпни, това ще доведе до проверка на външните им интерфейси.
  • Сториджи и бази данни – тази област на тестване ще изследва разрешенията на сторидж блобовете и тези на подпапките, като гарантира, че само удостоверени и оторизирани потребители могат да имат достъп до данните в тях. Тестването на бази данни (или на виртуални машини, работещи с SQL Server, или работещи чрез Azure SQL) за най-добри практики за сигурност също е обхванато.

Какви са етапите при пенетрейшън тест?

Чрез тест за проникване може проактивно да се идентифицират най-опасните слабости в сигурността, преди някой друг да го направи. Тестването за проникване е задълбочен, добре обмислен проект, който се състои от няколко фази:

1

Планиране и подготовка

Преди да започне пен тест, етичните хакери и техните клиенти трябва да съгласуват целите на теста, така че той да бъде с подходящ обхват и завършен правилно. Специалистите по проникване трябва да знаят какви видове тестове е нужно да изпълнят, кой ще наясно, че тестът се изпълнява, с колко информация и достъп ще трябва да се започне, и други важни подробности, които ще гарантират качеството на теста.

2

Откриване

На този етап екипа изпълнява различни видове разузнаване на системата. От техническа страна, информация като IP адрес, може да помогне за идентифициране на информация за защитни стени и други. Що се отнася до личните данни, тези прости данни, като имена, длъжност, електронна поща, могат да бъдат полезни в следващите етапи.

3

Опит за проникване и експлоатация

Вече разполагащи с информация за целта, експертите по проникване могат да започнат с проникването, като използват слаби места в системата за сигурност и демонстрират, колко дълбоко могат да се промъкнат.

4

Анализ и отчетност

Специалистите по проникване създават доклад, който включва подробности за всяка стъпка от процеса, като подчертава какво е използвано за успешно проникване, какви слабости в сигурността са открити, друга уместна информация, ако е открита и препоръки за отстраняване.

5

Почистване и възстановяване

Професионалистите не трябва да оставят следи и трябва да премахнат всички следи от извършеният тест, за да не могат да бъдат използвани в последствие от злонамерен хакер. След това организацията може да започне да прави необходимите поправки, за да затвори дупките в своята сигурност.

6

Повторно тестване

Най-добрият начин да се уверите в ефективността на мерките за подобряване на ситуацията в организацията е да се проведе повторно тестване. Освен това, ИТ средата и методите, използвани за атаки непрекъснато се развиват, затова трябва да се следи за появата на нови слабости.

Какви са различните видове тестове за проникване?

ТЕСТ ЧЕРНА КУТИЯ
ТЕСТ ЧЕРНА КУТИЯ

Също известен като сляп тест. Изисква нулево познаване за активите на компанията. Тестващите специалисти по проникване извършват пълна фаза на разузнаване, за да разкрият активите на компанията и да изберат свой собствен път за заобикаляне контрола за сигурност, както и да изпълнят собствена стратегия.

ТЕСТ СИВА КУТИЯ
ТЕСТ СИВА КУТИЯ

В тестовете от този тип, етичните хакери знаят ролята на системата и нейните функции. Знаят (макар и не толкова подробно) вътрешните механизми (вътрешната структура на данните и използваните алгоритми). Въпреки това, нямат достъп до изходния код.

ТЕСТ БЯЛА КУТИЯ
ТЕСТ БЯЛА КУТИЯ

Състои се в преглед на функционирането на дадено приложение и неговата вътрешна структура, процеси, а не функционалностите му. Основната работа на тестващият специалист са всички вътрешни компоненти на софтуера и преглед на изходния код.

Нашите предимства

Нашият екип за киберсигурност ще изтласка вашата система до нейните предели в поредица от симулирани кибератаки, откривайки всяка възможна уязвимост, така че организацията Ви да получи пълна картина на киберсигурността и 100% от вашите данни да са в безопасност.

  • Отлични умения и опит
  • Добра репутация
  • Конкурентни цени
  • Резултати, предназначени за реални решения

Намерете рисковете. Разберете последствията. Спете спокойно.