Cristian Săndescu

Prin intermediul acestui serviciu, ne propunem să verificăm gradul de protecţie a sistemelor şi aplicaţiilor clientului împotriva atacurilor din internet, dar şi a celor din interior. Spre deosebire de un audit general al sistemelor informaţionale, care are ca scop obţinerea unui grad rezonabil de asigurare privind managementul securităţii, testele de penetrare presupun verificarea posibilităţii de a ocoli măsurile tehnice de securitate implementate folosind scenarii realiste.

Testele se realizează atât din postura „black box” – atacator extern fără acces la informaţii despre sistem cât şi din postura „gray/white box” – folosind informaţii la care are în mod normal acces un angajat. Spre deosebire de scanările de vulnerabilităţăi, testele de penetrare merg dincolo de a identifica porturi deschise, patch-uri lipsa şi eventuale riscuri teoretice, ajungând până la a trece efectiv de barierele de securitate prin tentative de a exploata vulnerabilităţile sistemului, inclusiv prin intermediul tehnicilor de social engineering.

Obiectivul urmărit în timpul activităţilor de testare a securităţii este de a identifica şi documenta brese ale sistemului în ceea ce priveşte:

• Autentificarea – mecanismele prin intermediul cărora utilizatorii sunt identificaţi, autentificaţi şi autorizaţi să folosească funcţiile sistemului
• Validarea tranzacţiilor – mecanismele prin intermediul cărora tranzacţiile introduse de către utilizatori sunt acceptate şi procesate de către sistem
• Confidenţialitatea tranzacţiilor – măsurile implementate pentru prevenirea accesului la detaliile tranzacţiilor efectuate de către persoane neautorizate
• Confidenţialitatea datelor clienţilor – măsurile implementate pentru a preveni accesarea datelor privind clienţii (nume, adrese, date de contact, nume utilizator etc) de către persoane neautorizate
• Diponibilitatea serviciului – aspecte ce privesc furnizarea neîntreruptă a sistemului
• Respectarea politicilor şi practicilor de securitate – modul în care angajaţii companiei se comportă în diverse situaţii poate duce la compromiterea securităţii sistemului informaţional (social engineering).

Identificarea oricarei breşe, incluzând documentarea şi susţinerea aspectelor identificate prin dovezi obiective, care se încadrează în categoriile de mai sus reprezintă succesul activităţii noastre.

În timpul urmăririi atingerii scopului vor fi identificate o serie de informaţii şi eventual vulnerabilităţi care vor fi categorisite (risc scăzut, risc mediu, risc ridicat) şi vor fi raportate. Pe baza acestor vulnerabilităţi se pot exploata arii aflate în afara listei de mai sus.

Activităţile de evaluare a securităţii sunt realizate de persoane care deţin certificări în domeniul securităţii, printre care menţionăm CISA (Certified Information Systems Auditor – emisă de către ISACA), CEH (Certified Ethical Hacker – emisă de către EC-Council), LPT (Licenced Penetration Tester – emisă de către EC-Council).

Metodologia generală utilizată de CCT în prestarea serviciilor de evaluare şi testare a securităţii sistemelor informatice este sumarizată în următoarea diagramă:

În cadrul procesului, CCT efectuează urmatoarele activităţi:

• Definirea domeniului de evaluare
  • La iniţierea proiectului, împreună cu beneficiarul, se va delimita aria de acoperire a domeniului de evaluare;
  • Stabilirea modalităţii de simulare a atacurilor: blackbox (fără a avea nici un fel de date despre obiectul auditat), whitebox/greybox (având la dispoziţie unele informaţii despre sistemul ţintă);
  • Stabilirea nivelului de agresivitate al atacului: cât de departe se va merge cu tentativele de exploatare a unei vulnerabilităţi.
• Colectare informaţii publice disponibile despre sistemul informatic al Companiei
  • Informaţiile conţinute pe site-ul companiei, informaţii conţinute în înregistrările Whois, DNS, RNC;
  • Informaţii despre sistemul informatic al companiei ce se pot obţine din alte surse.
• Colectare informaţii privind conexiunea la Internet
  • Numărul de adrese IP vizibile în Internet, topologia reţelei, echipamentele utilizate, sisteme de operare, servicii deschise – cu sprijinul specialistilor companiei.
• Colectare informaţii privind reţeaua internă
  • Numărul de adrese IP vizibile, topologia reţelei, echipamente utilizate, sisteme de operare, servicii deschise – cu sprijinul specialiştilor companiei.
• Colectare informaţii privind conexiunile cu alti parteneri
  • Numărul de adrese IP vizibile, topologia reţelei, echipamente utilizate, sisteme de operare, servicii deschise – cu sprijinul specialiştilor companiei.
• Colectare informaţii privind accesul de la distanţă la reţeaua internă prin dial-up sau alte metode similare
  • Modalităţile prin care se realizează accesul de la distanţă în reţeaua internă, metodele de securizare utilizate, adrese IP vizibile în exterior, servicii disponibile – cu sprijinul specialiştilor companiei.
• Detecţie vulnerabilităţi
  • Utilizând produse software şi metode specializate, recunoscute în industrie, pe baza informaţiilor colectate la fazele anterioare se vor identifica sistemele care sunt active în reţea, serviciile pornite;
  • Se vor identifica sistemele de operare şi versiunile serviciilor active.
• Analiză rezultate şi raportare
  • Informaţiile rezultate din faza de detecţie de vulnerabilităţi vor fi analizate;
  • Existenţa vulnerabilităţilor majore va fi confirmată prin analiza individuală a sistemelor în cauză.
• Analiză şi identificare mijloace de îmbunatăţire, formulare recomandări
  • Pe baza constatărilor de la punctele anterioare se vor formula recomandări concrete pentru remedierea tuturor vulnerabilităţilor. Se vor include referinţe directe către documentaţia producatorului sau către alte surse disponibile pentru remedierea vulnerabilităţilor.
• Documentare operaţii efectuate şi rezultate
  • Metodologia utilizată, constatările, vulnerabilităţile identificate, precum şi recomandările vor fi documentate.