* {
box-sizing: border-box !important;
}
body {
background-color: #1a1a2e !important;
color: #e8e8f0 !important;
font-family: -apple-system, BlinkMacSystemFont, ‘Segoe UI’, Roboto, Oxygen, Ubuntu, sans-serif !important;
line-height: 1.6 !important;
margin: 0 !important;
padding: 20px !important;
}
.container {
max-width: 900px !important;
margin: 0 auto !important;
}
h1 {
background: linear-gradient(135deg, #4c0519 0%, #1a1a2e 100%) !important;
color: #ff6600 !important;
padding: 25px !important;
border-radius: 12px !important;
margin-bottom: 30px !important;
font-size: 2em !important;
text-align: center !important;
border: 2px solid #ff6600 !important;
}
h2 {
color: #ff6600 !important;
border-bottom: 2px solid #ff6600 !important;
padding-bottom: 10px !important;
margin-top: 40px !important;
font-size: 1.5em !important;
}
h3 {
color: #e8e8f0 !important;
background-color: #252545 !important;
padding: 15px !important;
border-radius: 8px !important;
margin-top: 30px !important;
font-size: 1.2em !important;
}
p {
margin: 15px 0 !important;
word-break: break-word !important;
}
.card {
background-color: #252545 !important;
padding: 20px !important;
border-radius: 10px !important;
margin: 20px 0 !important;
border-left: 4px solid #ff6600 !important;
}
ul, ol {
padding-left: 25px !important;
}
li {
margin: 10px 0 !important;
word-break: break-word !important;
}
a {
color: #ff6600 !important;
text-decoration: none !important;
word-break: break-word !important;
}
a:hover {
text-decoration: underline !important;
}
.highlight {
color: #ff6600 !important;
font-weight: bold !important;
}
.info-box {
background-color: #252545 !important;
border: 2px solid #ff6600 !important;
border-radius: 10px !important;
padding: 20px !important;
margin: 25px 0 !important;
}
.info-box-title {
color: #ff6600 !important;
font-weight: bold !important;
font-size: 1.1em !important;
margin-bottom: 10px !important;
}
table {
width: 100% !important;
border-collapse: collapse !important;
margin: 20px 0 !important;
}
th, td {
border: 1px solid #ff6600 !important;
padding: 12px !important;
text-align: left !important;
word-break: break-word !important;
}
th {
background-color: #252545 !important;
color: #ff6600 !important;
}
tr:nth-child(even) {
background-color: #1f1f3a !important;
}
.badge {
display: inline-block !important;
background-color: #ff6600 !important;
color: #1a1a2e !important;
padding: 4px 10px !important;
border-radius: 4px !important;
font-size: 0.85em !important;
font-weight: bold !important;
margin-right: 5px !important;
}
.section-number {
color: #ff6600 !important;
font-weight: bold !important;
}
Обзор методологий и стандартов пентестинга
В сфере информационной безопасности существует множество методологий и стандартов, которые помогают специалистам проводить качественное тестирование на проникновение. Эти фреймворки обеспечивают систематический подход к выявлению уязвимостей и оценке защищённости информационных систем. В данном уроке мы подробно рассмотрим наиболее распространённые методологии, используемые профессионалами в области пентестинга по всему миру.
Почему важно использовать методологии?
Использование стандартизированных методологий тестирования на проникновение обеспечивает ряд ключевых преимуществ для специалистов по информационной безопасности. Во-первых, это гарантирует систематичность и полноту проверки, охватывающей все критически важные аспекты безопасности. Во-вторых, стандартизированный подход позволяет обеспечить воспроизводимость результатов, что особенно важно при проведении повторных аудитов безопасности. В-третьих, использование признанных методологий облегчает коммуникацию между членами команды и заказчиками, поскольку все стороны оперируют единой терминологией и понимают этапы работы.
С течением времени появляются новые угрозы и методы атак, поэтому ведущие методологии регулярно обновляются, чтобы соответствовать современным реалиям кибербезопасности. Рассмотрим основные из них, которые применяются в индустрии.
MITRE ATT&CK
Фреймворк MITRE ATT&CK является одним из наиболее важных и широко используемых ресурсов в области кибербезопасности. Этот фреймворк представляет собой базу знаний о тактиках, техниках и процедурах (TTP — Tactics, Techniques, and Procedures), которые используются злоумышленниками в ходе кибератак.
Основные характеристики MITRE ATT&CK
MITRE ATT&CK — это не просто набор документов, а живой фреймворк, который постоянно обновляется и расширяется. Он был разработан для того, чтобы помочь организациям лучше понимать противника и разрабатывать более эффективные механизмы защиты. Фреймворк активно используется как специалистами offensive security (пентестерами, red teamers, исследователями уязвимостей), так и специалистами по реагированию на инциденты и командами threat hunting.
Фреймворк включает несколько матриц:
- Enterprise ATT&CK Matrix — основная матрица для корпоративных систем
- Network — матрица для сетевых атак
- Cloud — матрица для облачных сред
- ICS — матрица для промышленных систем управления
- Mobile — матрица для мобильных устройств
Каждая матрица содержит тактики (высокоуровневые цели атакующего) и техники (конкретные методы достижения этих целей). Тактики включают: разведку (reconnaissance), доступ к ресурсам (initial access), выполнение кода (execution), персистентность (persistence), эскалацию привилегий (privilege escalation), обход защиты (defense evasion), получение учетных данных (credential access), исследование окружения (discovery), латеральное движение (lateral movement), сбор данных (collection), управление и контроль (command and control), эксфильтрацию (exfiltration) и другие.
Официальный сайт фреймворка: https://attack.mitre.org
OWASP WSTG
OWASP Web Security Testing Guide (WSTG) — это всеобъемлющее руководство по тестированию безопасности веб-приложений. Данный фреймворк является результатом многолетней работы экспертов сообщества OWASP (Open Web Application Security Project) и считается золотым стандартом в области веб-безопасности.
Структура и содержание WSTG
Руководство WSTG охватывает все аспекты тестирования безопасности веб-приложений и предоставляет детальную информацию о методологиях тестирования. Документ структурирован таким образом, чтобы помочь тестировщикам провести полноценную оценку безопасности от начала до конца.
WSTG подробно описывает:
- Фазы тестирования безопасности веб-приложений
- Методы сбора информации о приложении
- Тестирование конфигурации и развёртывания
- Тестирование аутентификации и авторизации
- Тестирование управления сессиями
WSTG предоставляет подробную информацию о векторах атак и методах тестирования для следующих типов уязвимостей:
- Cross-Site Scripting (XSS) — межсайтовый скриптинг
- XML External Entity (XXE) — внешние сущности XML
- Cross-Site Request Forgery (CSRF) — подделка межсайтовых запросов
- SQL Injection — SQL-инъекции
- И многие другие уязвимости уровня приложения
Более подробно об этих атаках вы узнаете в модуле 6 курса «Эксплуатация уязвимостей приложений».
Официальная страница OWASP WSTG: https://owasp.org/www-project-web-security-testing-guide/
NIST SP 800-115
NIST Special Publication 800-115 — это техническое руководство, разработанное Национальным институтом стандартов и технологий США (National Institute of Standards and Technology, NIST), который является частью Департамента торговли США. Этот документ представляет собой один из ключевых стандартов в области информационной безопасности.
Содержание NIST SP 800-115
NIST SP 800-115 предоставляет организациям рекомендации по планированию и проведению тестирования информационной безопасности. Этот документ заменил предыдущий стандарт SP 800-42 и значительно расширил его положения с учётом современных реалий кибербезопасности.
| Аспект | Описание |
|---|---|
| Типы тестирования | Описание различных методов тестирования: vulnerability scanning, penetration testing, security testing |
| Планирование | Рекомендации по определению scope, целей и ограничений тестирования |
| Проведение | Пошаговые инструкции по выполнению тестов |
| Анализ результатов | Методология оценки найденных уязвимостей |
| Документирование | Требования к отчётности и рекомендации по устранению недостатков |
NIST SP 800-115 широко признан в индустрии и цитируется во многих других стандартах и нормативных документах. Этот стандарт особенно важен для организаций, работающих в регулируемых отраслях или имеющих дело с государственными контрактами.
Доступ к NIST SP 800-115: https://csrc.nist.gov/publications/detail/sp/800-115/final
OSSTMM
Open Source Security Testing Methodology Manual (OSSTMM) — это методология тестирования безопасности с открытым исходным кодом, разработанная Питом Хёрцем (Pete Herzog). OSSTMM существует уже давно и продолжает развиваться, предоставляя структурированный подход к проведению аудита безопасности.
Распространение и развитие
OSSTMM распространяется через Institute for Security and Open Methodologies (ISECOM) — организацию, которая занимается продвижением открытых методологий в области безопасности. Документ определяет повторяемый и последовательный подход к безопасному тестированию, обеспечивая объективность и сопоставимость результатов.
На текущий момент актуальной является версия 3, а версия 4 находится в стадии черновика и готовится к публикации с учётом новейших тенденций в области кибербезопасности.
Ключевые разделы OSSTMM
| Раздел | Описание |
|---|---|
| Operational Security Metrics | Метрики операционной безопасности для количественной оценки |
| Trust Analysis | Анализ доверия между компонентами системы |
| Work Flow | Рабочий процесс тестирования |
| Human Security Testing | Тестирование безопасности человеческого фактора |
| Physical Security Testing | Тестирование физической безопасности |
| Wireless Security Testing | Тестирование беспроводных сетей |
| Telecommunications Security Testing | Тестирование телекоммуникационной безопасности |
| Data Networks Security Testing | Тестирование безопасности сетей передачи данных |
| Compliance Regulations | Соответствие нормативным требованиям |
| Reporting with STAR | Отчётность с использованием STAR (Security Test Audit Report) |
Сайт ISECOM: https://www.isecom.org
PTES
Penetration Testing Execution Standard (PTES) — это стандарт выполнения тестирования на проникновение, который предоставляет структурированный подход к проведению пентестов. PTES охватывает все этапы тестирования и предоставляет рекомендации по использованию современных инструментов.
Семь фаз PTES
Стандарт PTES чётко структурирован и включает семь основных фаз, каждая из которых имеет свои подзадачи и методологии:
| Фаза | Описание |
|---|---|
| 1. Pre-engagement Interactions | Взаимодействие до начала тестирования — определение scope, правил взаимодействия, юридических аспектов |
| 2. Intelligence Gathering | Сбор разведывательных данных — пассивная и активная разведка, OSINT |
| 3. Threat Modeling | Моделирование угроз — определение потенциальных векторов атак |
| 4. Vulnerability Analysis | Анализ уязвимостей — сканирование и идентификация слабых мест |
| 5. Exploitation | Эксплуатация — использование найденных уязвимостей для получения доступа |
| 6. Post-exploitation | Пост-эксплуатация — закрепление доступа, повышение привилегий |
| 7. Reporting | Отчётность — документирование результатов и рекомендации |
Официальный сайт PTES: http://www.pentest-standard.org/
ISSAF
Information Systems Security Assessment Framework (ISSAF) — это ещё одна методология тестирования на проникновение, которая предоставляет комплексный подход к оценке безопасности информационных систем. ISSAF расширяет традиционные рамки пентестинга, включая дополнительные фазы для более полного охвата.
Фазы ISSAF
ISSAF определяет следующие этапы проведения оценки безопасности:
| Этап | Описание |
|---|---|
| Information Gathering | Сбор информации о целевой системе |
| Network Mapping | Картографирование сети, определение топологии |
| Vulnerability Identification | Идентификация уязвимостей |
| Penetration | Проникновение в систему |
| Gaining Access & Privilege Escalation | Получение доступа и повышение привилегий |
| Enumerating Further | Дальнейшее枚举рование |
| Compromising Remote Users/Sites | Компрометация удалённых пользователей и сайтов |
| Maintaining Access | Закрепление доступа |
Сравнение методологий
Каждая из рассмотренных методологий имеет свои сильные стороны и области применения:
- MITRE ATT&CK — идеален для понимания тактик и техник злоумышленников, используется для red team операций и threat hunting
- OWASP WSTG — незаменим при тестировании веб-приложений
- NIST SP 800-115 — государственный стандарт, подходит для регулируемых отраслей
- OSSTMM — универсальная методология с акцентом на метрики
- PTES — практичный стандарт для коммерческих пентестов
- ISSAF — комплексный подход с акцентом на пост-эксплуатацию
Заключение
Выбор методологии тестирования на проникновение зависит от конкретных целей, типа проверяемой системы и требований заказчика. Опытные специалисты по пентестингу обычно комбинируют элементы из разных методологий, адаптируя их под конкретные задачи. Важно помнить, что никакая методология не является универсальной — ключ к успеху лежит в понимании принципов, стоящих за каждой из них, и умелом применении этих знаний на практике.
В современном ландшафте угроз знание основных фреймворков и стандартов является обязательным для любого специалиста по информационной безопасности. Мы рекомендуем вам изучить каждый из рассмотренных фреймворков более детально и определить, какие из них наиболее соответствуют вашим профессиональным целям.