ГОСТ Р 54958—2012
20
Сканеры уязвимостей проверяют только возможность существования уязвимости, а этап атаки
использует обнаруженную уязвимость, подтверждая ее существование. Большинство уязвимостей, ис-
пользуемых при проникновении в сеть, разделяются по следующим категориям:
- потоки ядра — код или программа ядра операционной системы является ее стержневым элемен-
том. Код ядра определяет модель безопасности для системы. Любой дефект в коде ядра подвергает
всю систему опасности;
- переполнение буфера происходит тогда, когда программное обеспечение недостаточно хоро-
шо проверяет входные данные на предмет соответствующей длины, что обычно является результатом
ошибок программирования. Когда это происходит, произвольный код может быть введен в систему и
выполнен с привилегиями работающей программы;
- символьные ссылки (механизм косвенной ссылки на имя объекта) являются файлами, которые
указывают на другой файл. Существуют программы, которые изменяют разрешения, предоставленные
файлу. Если эти программы выполняются с привилегированными разрешениями, пользователь может
создать символьные ссылки, вызывающие некорректные действия указанных программ, направленные
на изменение критически важных файлов системы;
- дескрипторы файла — дескрипторы файлов представляют собой переменные с неотрицатель-
ными целыми значениями, которые используются системой для работы с файлами вместо их символь-
ных имен. Когда назначается некорректный дескриптор файла, он подвергается риску несанкциониро-
ванного раскрытия или потере защищенной информации;
- состязания — атакующий может удачно выбрать время атаки, чтобы использовать в своих ин-
тересах программу или процесс, находящиеся в привилегированном режиме. Если удается восполь-
зоваться программой или процессом в течение привилегированного состояния, то атакующий выиграл
состязание;
- полномочия доступа к файлу и каталогу — полномочия доступа к файлу и каталогу контролируют
пользователей доступа, а также процессы с файлами и каталогами. Эти полномочия очень важны для
безопасности любой системы. Слабый контроль над доступом разрешает любое число атак, включая
чтение или изменение файлов с паролями или добавления СВТ в список надежных удаленных узлов;
- «троянские» программы являются вредоносными программами. Они также могут быть использо-
ваны для работы с ядром операционной системы с целью преднамеренного создания уязвимостей;
- социальная инженерия обычно использует два стандартных подхода. В первом подходе испыта-
тель, проникающий в сеть, изображает пользователя, испытывающего трудности и вызывающего ком-
пьютерную службу организации, чтобы получить информацию относительно интересующей его сети
или компьютера, получить идентификатор входа и учетную запись с параметрами доступа пользова-
теля, сформированными после его успешной аутентификации, или получить пароль. Второй подход
состоит в том, что испытатель изображает компьютерную службу помощи и вызывает пользователя,
чтобы получить от него пользовательский идентификатор и пароль. Эта техника может быть чрезвы-
чайно эффективной.
Этап отчетности происходит одновременно с другими тремя этапами испытания на проникнове-
ние (см. рисунок 1). На этапе планирования разрабатывают правила вхождения в контакт, планы про-
ведения испытаний и письменные разрешения. На этапах обнаружения и атаки записанные события
журнала регистрации обычно сохраняют и делают периодические отчеты для системных администра-
торов и/или управления в зависимости от ситуации. Обычно в конце испытаний подготавливают полный
отчет, чтобы описать идентифицированные уязвимости, предоставить оценку рисков и дать указания по
устранению обнаруженных недостатков.
Испытание на проникновение в сеть важно для определения уязвимости сети и уровня убытков,
которые могут возникнуть, если сеть подвергается атаке и произошли утечка или разглашение конфи-
денциальной информации либо получение ее неавторизованными лицами. Из-за высокой стоимости и
потенциально негативного воздействия на сеть является достаточным проведение испытания на про-
никновение в сеть один раз в год. К результатам этого испытания следует отнестись серьезно, обна-
руженные уязвимости должны быть обязательно устранены. Результаты должны быть представлены
руководству организации.