Основные параметры экономической безопасности хозяйствующего субъекта

После того, как получена почти вся необходимая информация, пентестеры запускают сканеры уязвимостей. Самые популярные – Acunetix и BurpSuit. Данные программы сканируют сайт, на предмет различных проблем, к примеру, наличие XSS уязвимостей, наличие SQL-инъекций, передача паролей в незашифрованном виде, возможность украсть CSRF-токенов, проблемы с cookies и так далее. Кроме того, данные программы позволяют не только сканировать сайты, но и перехватывать запросы, адресованные к нему с компьютера пентестера, что позволяет изменять запросы налету, что помогает обойти различные ограничения. Многие сайты настраивают защиту только на Frontend, забываю про фильтрацию данных на Backend сайта, и такая функция позволяет использовать это. К примеру, если есть возможность загрузить файл, и можно загружать только изображения и фильтрация идет только по расширению, о при помощи этой особенности сканеров можно изменить расширение прямо во время отправки файла и изменить расширение фотографии на расширение своего файла, к примеру php и исполнять свои команды на сервере. Еще один сканер, который так же применяется профессиональными командами, это Nessus, который является многофункциональным, и, порой, незаменимым его основные плюсы в том, что он сам составляет подробные отчеты об уязвимостях, найденных на сайте и не только на нем: Nessus может обнаружить в сети вирусы, червей, malware, различные бэкдоры, распознать botnet. Nessus поддерживает виртуализацию, работает на почти всех ОС: Windows, OS X, Linux, Solaris, FreeBSD, Cisco iOS, IBM iSeries, поддерживает любой тип баз данных: Oracle, SQL Server, MySQL, DB2, Informix/DRDA, PostgreSQL, MongoDB.
Эксплуатация
По результатам предыдущего этапа сканеры выдают отчет, о результатах проведенного сканирования. Наиболее полный отчет выдают сканеры Acunetix и Nessus: такие отчеты уже могут быть предоставлены клиенту, как результат проведения пентеста, однако это считается плохим результатом, поскольку часть ошибок сканер мог просто не увидеть. Из-за многообразия уязвимостей для разного программного обеспечения каждый случай эксплуатации стоит рассматривать отдельно. В приоритете для пентестеров получить RCE – remote code execution. Это самая критическая уязвимость, позволяющая выполнять произвольный код. К RCE можно прийти при помощи всех уязвимостей, которые были классифицированы в 1 главе в разделе OWASP. Однако часто бывает, что сканеры веб уязвимостей не находят никаких проблем. В этом случае пытаются пробовать эксплуатировать уязвимости сервисов, которые есть в веб-приложении. Часто компании не обновляют свои CMS (WordPress), почтовые и ftp клиенты. У устаревших версий программного обеспечения есть уязвимости, которые можно обнаружить несколькими способами. Первый способ: проверить наличие на специальных сайтах, к примеру, vulners.com/exploitdb.com. На этих сайтах находятся базы данных уязвимостей к различным версиям программного обеспечения, описания этих уязвимостей и иногда выложен PoC – Proof of concept, который показывает, как именно работает. Также там бывает выложен готовый модуль для Metasploit. Metasploit – программа-аналог сайтов, которые были указаны ранее. Она не только хранит список уязвимостей, но также имеет готовые модули для проведения атаки. В основном пентестеры и хакеры используют данный инструмент для проведения атаки на сервисы приложения. После проведения атаки и получения RCE, существует последняя задача – получение root доступа. Чаще всего приложения запускаются без прав суперпользователя, что ограничивает количество команды, доступное им. Для получения этих прав злоумышленники используют различные техники повышения привилегий. Техники различаются в зависимости от типа операционной системы и ее версии.
Анализ предыдущих исследований
Обычно в открытый доступ не выкладывают данные исследования, поскольку уязвимости быстро не закрываются + они могут содержать важную информацию, которая не должна быть доступна в открытом доступе. Несмотря на это, в специальном репозитории [5] собраны различные публичные отчеты о проведении аудита безопасности. В качестве образца будет использоваться отчет, сделанный компанией PricewaterhouseСoopers, поскольку это крупнейшая из представленных компаний, которая предоставляет услуги аудита. В данном исследовании применена вся методология, которая была описана выше. Исследователи собирали информацию о компании, роде ее деятельности. Кроме того, были исследованы внутренние процессы компании, взаимоотношения сотрудников, их ролей. Были определены ключевые позиции. Это было сделано для социальной инженерии, при помощи которой пентестеры могли проникнуть в систему. Вся полученная информация использовалась для проведения теста на проникновение. На ее основании были составлены графики взаимодействия сотрудников между собой, чтобы наглядно продемонстрировать слабые места в безопасности. На основе собранных данных было проведено сканирование, в результате которого были найдены критические уязвимости, которые привели к исполнению произвольного кода и компрометации части системы. Все эти проблемы с безопасностью отражены в первой части отчета. Во второй части указаны конкретные рекомендации по исправлению ситуации.