Одним из основных направлений PENTESTIT является разработка специализированных программ начальной (Zero Security: A) и профессиональной (Корпоративные лаборатории) подготовки в области информационной безопасности. Вне зависимости от программ обучения, их ключевыми особенностями являются актуальный материал и практическая подготовка в пентест-лабораториях, составляющая 80% от общей программы курса. В данной статье мы разберем несколько примеров практических заданий «Zero Security: A».
Большинство специалистов, проходящих обучение, являются действующими сотрудниками подразделений информационной безопасности, системными администраторами или техническими специалистами, желающими повысить свой профессиональный уровень в области практической ИБ.
Программа обучения "Zero Security: A"
- УК РФ и преступления в сфере информационных технологий;
- Модели угроз, их виды, объекты исследований;
- Знакомство с Linux. Введение в Kali Linux 2.0 и обзор стандартного инструментария;
- Разведка и сбор информации;
- Сканирование сети;
- Эксплуатация web-уязвимостей, введение в Burp Suite, знакомство с OWASP Top-10;
- Безопасность сетевой инфраструктуры;
- Анализ защищенности беспроводных сетей;
- Введение в Metasploit Framework;
- Обход проактивных систем защиты;
- Введение в социальную инженерию;
- Итоговое тестирование. Окончание стажировки.
Разведка и сбор информации
Одним из явных признаков атаки является внешнее исследование ресурсов. Как правило, подобные атаки фиксируются в журналах событий систем обнаружения вторжений, межсетевыми экранами и т.д., позволяя определить источник атаки, а также подготовиться к её отражению. Подобные методы взлома характерны для неопытных нарушителей, в то время как опытный злоумышленник попытается максимально долго оставаться незамеченным, собирая необходимую информацию из различных источников.
Именно собранная на первом этапе информация, зачастую, может помочь составить эффективный сценарий атаки для проникновения в корпоративную сеть. Понимание того, как это может сделать злоумышленник, помогает проходящим обучение в «Zero Security: A» исследовать «снаружи» защищаемые ими ресурсы и попытаться выявить критичную информацию: с помощью поисковых запросов (google dork) обнаружить «узкие» места веб-сайта, содержащие важную информацию файлы, резервные копии, закешированные версии страниц. С помощью AXFR-запросов (утилита dig) выявить поддомены, на которых могут содержаться уязвимые, тестовые или старые версии сайтов.
Вооружившись фреймворком Maltego, а также с помощью онлайн сервисов – netcraft, whoistory и других собрать огромный пласт информации об интересующем домене, а используя утилиту The harvester — собрать данные о пользователях (email) и DNS-записях домена. Использование подобных инструментов позволяет злоумышленнику получить большой объем информации для анализа, при этом не взаимодействуя напрямую с атакуемой системой, таким образом оставаясь незамеченным для технического персонала.
Обнаружив на веб-сайте форму авторизации (личный кабинет, админ-панель, веб-интерфейс почтового сервера) нарушитель может произвести социо-техническую атаку: с использованием утилиты urlcrazy подобрать подходящий для фишинга домен, составить payload с помощью The Social-Engineer Toolkit и распространить его по предварительно собранным e-mail адресам или профилям сотрудников компании, позволяя перевести атаку в активную фазу без непосредственного влияния на объект. Разведка и сбор информации является одним из важных этапов тестирования на проникновение, и от того, насколько профессионально злоумышленник сможет его произвести, может зависеть и результат самой атаки. Умея производить квалифицированный сбор информации, специалисты, проходящие обучение в «Zero Security: A», смогут опередить злоумышленника, обеспечив безопасность работы информационной системы компании.
Заключение
Чтобы успешно противостоять злоумышленникам, необходимо хорошо знать методику и инструменты работы, что крайне сложно, учитывая стремительное их развитие. С каждым новым набором идет переработка материала, что позволяет поддерживать программа в актуальном состоянии на момент ее проведения. Узнать подробности и записаться можно по ссылке: «Zero Security: A».
