Contents
Что такое оценка уязвимости?
Оценка уязвимостей систематически оценивает вашу систему, выявляя слабые места и уязвимости в системе безопасности. Оценка предоставляет группе безопасности информацию для классификации, определения приоритетов и устранения слабых мест.
Оценки выходят за рамки того, что вы найдете при обычном сканировании уязвимостей, обычно с привлечением специальной команды или группы аутсорсинговых этичных хакеров для проведения оценки.
Какие виды угроз обнаруживаются при оценке уязвимостей?
Оценка уязвимости может выявить уязвимости различной степени серьезности. Это также может подтвердить, что ваша ИТ-среда соответствует отраслевым и государственным стандартам. Ниже приведены несколько распространенных уязвимостей, обнаруженных во время типичной оценки.
- Легко угадываемые или перебором слабые пароли
- Уязвимости внедрения кода, которые злоумышленники могут использовать с помощью внедрения SQL или XSS-атак.
- Неисправленные приложения или операционные системы
- Неправильные настройки, такие как неизменные настройки по умолчанию или уязвимые открытые порты.
Четыре шага оценки уязвимости
ОПРЕДЕЛИТЬ ОБЛАСТЬ
Прежде чем приступить к оценке, владелец сети должен установить область, чтобы определить, какие сети, системы и приложения следует тестировать. Область обычно дополнительно определяется и разделяется различными доменами или поддоменами.
Область действия также может включать в себя то, как именно тестировать уязвимости, и может указывать другие параметры. Например, некоторые организации могут заявить, что тестирование уязвимостей электронной почты не может включать фишинговые атаки против их сотрудников и должно использовать определенный адрес электронной почты.
ОБЗОР СИСТЕМНЫХ ФУНКЦИЙ
Прежде чем приступить к оценке уязвимости, группа безопасности проверит различные системы и приложения. Этап проверки помогает определить, как использованная уязвимость повлияет на бизнес-функции.
ВЫПОЛНИТЕ СКАНИРОВАНИЕ УЯЗВИМОСТЕЙ
Хакеры могут использовать различные инструменты и методы для проверки целостности системы. Тестировщики часто начинают с автоматического сканирования, которое сначала ищет наиболее распространенные уязвимости, включая приложения, сетевую инфраструктуру и хост-компьютеры.
Тестировщики переходят к ручному подходу к тестированию, который использует пользовательский код для выявления уязвимостей. Ручное кодирование может занять много времени, но оно имеет решающее значение для выявления специфических ошибок приложений и уязвимостей нулевого дня.
СОЗДАЙТЕ ОТЧЕТ ОБ ОЦЕНКЕ УЯЗВИМОСТЕЙ
В отчете об оценке описываются выявленные уязвимости при сканировании и выделяются шаги по исправлению. Эти рекомендации сочетаются с рейтингом серьезности, что позволяет группе безопасности определить, какие уязвимости они будут исправлять в первую очередь.
Большинство отчетов о раскрытии уязвимостей включают следующее:
- Название уязвимости и время обнаружения
- Оценка риска уязвимостей на основе баз данных CVE
- На какие системы влияет уязвимость
- Подтверждение концепции эксплойтов или демонстрация того, как злоумышленник может использовать уязвимости
- Действия по исправлению
Типы оценок уязвимостей
Группы безопасности могут ориентировать оценки на отдельные системы или всю организацию. Существует четыре различных типа тестов:
СЕТЕВЫЕ ОЦЕНКИ
Оценки сети нацелены на сетевые ресурсы в общедоступной или частной сети и проверяют политики безопасности на сетевом уровне.
ОЦЕНКА ПРИЛОЖЕНИЙ
Оценки приложений проверяют на наличие уязвимостей, таких как атаки с использованием межсайтовых сценариев и незащищенное криптографическое хранилище.
ОЦЕНКА БАЗЫ ДАННЫХ
Во время оценки базы данных хакеры проверяют наличие уязвимостей, таких как SQL-инъекции или неправильные конфигурации. Эти тесты могут выявить такие проблемы, как небезопасная среда тестирования и неправильное хранение файлов базы данных.
ОЦЕНКИ ХОСТА
При оценке хостов серверы в сети исследуются на наличие уязвимостей и эксплойтов, включая инъекции LDAP, повышение привилегий или учетные записи со слабыми учетными данными по умолчанию.
Инструменты оценки уязвимостей
Хакеры используют различные инструменты для поиска уязвимостей в различных системах и частях сети.
OPENVAS
OpenVAS — это сканер уязвимостей, который тестирует интернет-протоколы и включает свой внутренний язык программирования, что позволяет тестерам дополнительно настраивать свои оценки.
NMAP
Nmap — это широко используемый инструмент картографирования сети, который обнаруживает открытые порты, уязвимые службы и расположение внутренних сетей. Nmap хорошо работает в сочетании с другими инструментами зондирования на ранних этапах оценки уязвимостей.
ЛЮКС «ОТРЫЖКА»
Burp Suite предоставляет хакерам автоматизированные инструменты сканирования уязвимостей для внутреннего и внешнего тестирования. Он популярен среди новых и опытных хакеров из-за его всеобъемлющего набора инструментов.
НЕСС
Nessus — это программное обеспечение с открытым исходным кодом, которое предлагает углубленное сканирование уязвимостей через службу на основе подписки. Хакеры используют Nessus для выявления неправильных конфигураций, быстрого раскрытия паролей по умолчанию и оценки уязвимостей.
Сравнение оценки уязвимостей и тестирования на проникновение
Оценка уязвимости выявляет уязвимости, но не использует эти недостатки. Во многих оценках уязвимостей используется инструмент сканирования, который ранжирует уязвимости, позволяя специалистам по безопасности расставлять приоритеты для устранения уязвимостей.
Тестирование на проникновение — это другой вариант тестирования безопасности, начинающийся со сканирования уязвимостей, при котором тестировщики-люди используют уязвимости для получения несанкционированного доступа к системе.
Организации используют тестирование на проникновение, чтобы смоделировать, какой ущерб может нанести злоумышленник, если он всесторонне воспользуется уязвимостями. Оценки уязвимостей, обычно автоматизированные, могут дополнять тестирование на проникновение, часто предоставляя информацию между тестами на проникновение.
Bug Bounty и оценка уязвимостей
Программы Bug Bounty используют людей-тестировщиков для поиска ошибок, обнаружения уязвимостей и оценки их серьезности. Награды за обнаружение ошибок поощряют хакеров за успешное обнаружение и сообщение об уязвимостях или ошибках и позволяют компаниям использовать хакерское сообщество для улучшения состояния безопасности своих систем с течением времени.
Если вашей целью является более полное выявление уязвимостей и тестирование безопасности, программы вознаграждения за обнаружение ошибок являются лучшим выбором, но не исключают оценку уязвимостей.
Два вида тестирования дополняют друг друга. В то время как вознаграждение за обнаружение ошибок использует хакерскую защиту для обнаружения более сложных уязвимостей, оценка уязвимостей обеспечивает согласованность и удобство, позволяя командам безопасности опережать целенаправленное, ограниченное по времени тестирование безопасности для крупных инициатив, таких как выпуски продуктов и функций. Сочетание этих подходов позволяет группам безопасности лучше устранять все уязвимости, улучшать свои профили безопасности и сводить к минимуму эксплойты.
Как HackerOne может помочь
HackerOne Assessments обеспечивает непрерывное тестирование безопасности вашей организации по запросу. Платформа позволяет отслеживать ход выполнения задания на этапах запуска, обнаружения, тестирования, повторного тестирования и исправления. Независимо от того, хотите ли вы соответствовать нормативным стандартам, запустить продукт или доказать соответствие требованиям, мы поможем вашим специалистам по безопасности найти и устранить недостатки до того, как ими воспользуются киберпреступники.
HackerOne предоставляет доступ к самому большому и разнообразному сообществу хакеров в мире. Свяжитесь с нами, чтобы узнать, как вы можете начать использовать хакерскую безопасность уже сегодня.
Статья является переводом hackerone.com
