В арсенале специалистов по информационной безопасности и пентесту есть много инструментов и методов для защиты безопасности информационных систем и сетей. Рассказываем о популярных.
Помните: использование приведенных инструментов для несанкционированного доступа к системам или сетям строго запрещено и может привести к уголовной ответственности. Пентесты должны проводиться только с согласия владельцев информационных систем и с соблюдением правил и законов.
Инструменты анализа и сканирования кода на наличие уязвимостей
Фреймворк для сканирования и управления уязвимостями в сетевых системах и приложениях.
ОС: Linux. На Windows можно запустить только через виртуальную машину с Linux.
Возможности:
Оценивает соответствие стандартам безопасности, таким как PCI DSS, HIPAA и CIS.
Идентифицирует и каталогизирует все устройства в сети.
Ищет уязвимости, такие как SQL-инъекции и XSS, в веб-приложениях.
Поддерживает пользовательские настройки для целей, политик сканирования и прочих параметров.
Оценивает уровни серьезности уязвимостей для определения приоритетов по устранению.
Интегрируется с другими системами безопасности, такими как SIEM.
Создает подробные отчеты с описаниями уязвимостей и рекомендациями.
Плюсы:
Регулярные обновления.
Множество сканирований на одной панели.
Подробные отчеты с описаниями уязвимостей.
Интеграция с другими инструментами безопасности.
Масштабируемость (один сервер или распределенная архитектура).
Минусы:
Иногда возникают ложные срабатывания.
Установка сложна из-за разрыва зависимостей после обновления дистрибутивов в Linux.
Меньше обнаруживаемых уязвимостей по сравнению с другими продуктами.
Тарифы:
Бесплатный инструмент с открытым исходным кодом.
Сканер уязвимостей для демонстрационных и учебных целей. Сведения об уязвимостях берет из банка данных и угроз ФСТЭК России.
ОС: Windows, Linux.
Возможности:
Группирует уязвимости по рискам и продуктам.
Сохраняет результаты сканирования в HTML.
Плюсы:
Описание уязвимостей на языке OVAL, что позволяет специалистам по ИБ самостоятельно дополнять базу.
Группировка уязвимостей по рискам и продуктам.
Возможность сохранения результатов сканирования в HTML.
Минусы:
Требуется дополнительное программное обеспечение: .NET Framework 4.0+ и интерпретатор OVAL 5.10.1+.
Возможны ложные срабатывания.
Ограничена проверка только уязвимостями из БДУ ФСТЭК.
Тарифы:
Можно скачать бесплатно с официального сайта ФСТЭК России.
Система анализа защищенности и соответствия стандартам.
ОС: Linux, Unix. Для проверки Windows-системы, СУБД и наложенных средств защиты нужна установка RedCheckAgent на сканируемый хост.
Возможности:
Проводит аудиты уязвимостей, защищенности СУБД, серверов приложений.
Создает отчеты по каждому направлению аудита.
Управляет обновлениями (Patch management).
Контролирует конфигурации и оценивает соответствие политикам и стандартам безопасности.
Предоставляет детальный аудит платформ виртуализации (Hyper-V, VMware).
Осуществляет инвентаризацию сети.
Плюсы:
Поиск и устранение уязвимостей, вызванных различными причинами.
Создание «моментального снимка» состояния безопасности системы.
Обнаружение ошибок администраторов.
Оценка соответствия политикам и стандартам безопасности.
Минусы:
Есть ограничение в одну учетную запись на одну задачу в режиме аудита.
Возможны трудности при настройке доступов, заданий и отчетов.
Тарифы:
Professional — от 3 460 рублей в год.
Base — от 2 400 рублей в год.
Expert — от 6 910 рублей в год.
Лицензия на модуль сканирования АСУ ТП на 50 IP-адресов — 210 000 рублей в год.
Система контроля защищенности и соответствия стандартам для оценки уровня защищенности IТ-инфраструктуры.
ОС: Windows, Linux, Unix.
Возможности:
Обнаруживает уязвимости и предотвращает атаки.
Автоматизирует инвентаризацию, управление уязвимостями, контроль изменений и соответствия политикам безопасности.
Имеет набор технических и высокоуровневых показателей, позволяющих объективно оценить эффективность процессов ИБ в организации.
Поддерживает большую и непрерывно обновляемую базу уязвимостей.
Контролирует соответствие основным стандартам информационной безопасности (ISO 27001, PCI DSS, CIS).
Плюсы:
Высокая эффективность обнаружения угроз и минимизации рисков.
Гибкость и масштабируемость платформы, позволяющие эффективно решать задачи безопасности как небольшим компаниям, так и крупным корпорациям.
Легкая интеграция с другими системами безопасности.
Поддержка соответствия стандартам информационной безопасности, таким как GDPR, PCI DSS.
Минусы:
Есть ограничения в режиме аудита, что может привести к меньшему обнаружению уязвимостей.
Сложности при тестировании модуля «Комплаенс» из-за ориентации на разные стандарты безопасности.
Тарифы:
Лицензия доступна только для юрлиц и ИП, стоимость может меняться.
Профессиональный сканер, проверяющий рабочие станции, серверы, сетевые устройства и веб-приложения.
ОС: Windows, Linux.
Возможности:
Обнаруживает узлы сети: рабочие станции, серверы, сетевое оборудование.
Сканирует как локальную сеть, так и внешний периметр.
Контролирует порты TCP/UDP, включая настройку вручную сканирования часто используемых портов.
Выявляет уязвимости в сервисах SMB, RDP, HTTP, SNMP, FTP, SSH.
Оптимизирует подбор паролей для сервисов, требующих аутентификации.
Предоставляет базовую информацию о системах (ОС, открытые порты, доступные сервисы).
Формирует подробное описание и инструкции по устранению для каждой обнаруженной уязвимости.
Поддерживает систему генерации отчетов, включая встроенные отчеты в различных форматах и настройку отчетов по необходимости.
Плюсы:
Эффективное обнаружение уязвимостей и предотвращение атак до негативных последствий.
Высокая точность работы и низкий уровень ложных срабатываний.
Простая установка и настройка без необходимости развертывания программных модулей на узлах.
Низкие аппаратные требования и возможность установки в виртуальной среде.
Обширная база знаний угроз и способов их выявления.
Автоматический запуск задач на сканирование в нужное время.
Автоматизация контроля сетевой безопасности и прозрачность IT-инфраструктуры организации.
Минусы:
Использование подбора паролей во время сканирования может вызвать блокировку учетных записей в доменах Active Directory.
При расширении инфраструктуры необходимо докупать лицензии.
Сканирование может нарушить работу сети, особенно если имитируемая атака отключит проверяемый узел.
Тарифы:
Лицензия от 23 660 рублей в год.
Инструмент с открытым исходным кодом для проведения пентестов. Автоматизирует выявление уязвимостей SQL-инъекций и захвата серверов баз данных.
ОС: Linux. Для запуска sqlmap под Windows дополнительно нужен Python.
Возможности:
Поддерживает различные СУБД, включая MySQL, Oracle, PostgreSQL и другие. Исследует структуру баз данных и собирает отпечатки.
Получает информацию из баз данных, включая создание дампа, изменение и удаление данных.
Позволяет заливать шелл на веб-сервер и выполнять произвольные команды на ОС сервера БД.
Устанавливает TCP-подключение между атакующей машиной и сервером БД.
Плюсы:
Множество техник и векторов атаки.
Низкое количество ложных срабатываний.
Гибкие настройки и возможность создания дампа данных.
Разнообразные методы эксплуатации, включая RCE.
Поддержка прямого подключения к БД.
Минусы:
Сложности при анализе большого объема вывода.
Требует технической подготовки.
Может быть обнаружен системами безопасности.
Тарифы:
Бесплатное и открытое ПО.
Сканер уязвимостей в исходном коде или готовом приложении, использующий статические (SAST), динамические (DAST) и интерактивные (IAST) методы анализа.
ОС: Windows, Linux.
Возможности:
Обнаруживает основные типы уязвимостей веб-приложений (SQLi, XSS, XXE и т. п.).
Автоматически генерирует эксплойты для проверки уязвимостей.
Помогает минимизировать риски и ущерб за счет выявления и устранения уязвимостей на всех этапах разработки.
Поддерживает SSDL и соответствует требованиям регулирующих органов.
Плюсы:
Простота использования.
Широкий охват и глубина анализа.
Непрерывная защита.
Минусы:
Возможны ложные срабатывания, требуется дополнительная проверка вручную.
Ограниченная поддержка для некоторых языков программирования или фреймворков.
Требует знания и опыт для интерпретации результатов анализа и устранения уязвимостей.
Языки программирования для сканирования: Java, C#, Kotlin, Visual Basic, PHP, JavaScript, Objective-C, C++, SQL, Swift, Python, Go.
Тарифы:
Лицензия доступна только для юрлиц и ИП, стоимость может меняться.
Веб-сканер, который может сканировать методами «черного ящика», «серого ящика» и проводить внеполосное сканирование веб-приложений.
ОС: Windows, macOS, Linux.
Возможности:
Инструмент сканирует веб-приложения на более 7000 уязвимостей.
Позволяет планировать сканирования.
Глубоко анализирует компоненты приложений.
Сочетает динамическое и интерактивное тестирование безопасности.
Способен сканировать несколько сред одновременно.
Предоставляет отчеты сразу после обнаружения уязвимостей.
Интегрируется с другими инструментами.
Использует брандмауэры для защиты.
Плюсы:
Экономия времени и ресурсов.
Плавное взаимодействие с разработчиками или внедрение DevSecOps.
Уверенность в полной проверке приложений.
Непрерывный мониторинг безопасности.
Минусы:
Отсутствие алгоритма дедубликации.
Требование установки на отдельный веб-сервер.
Может усложнить бизнес-процессы, отправив в форму связи слишком много атакующих векторов.
Тарифы:
Лицензия от 500 000 рублей в год.
Инструмент для тестирования окружения Windows/Active Directory. Он основан на чистых скриптах Python и включает в себя репозиторий PowerSploit.
ОС: Linux. Windows и macOS — репозиторий с GitHub.
Возможности:
Перечисляет вошедших пользователей и индексирует общие папки SMB.
Выполняет атаки в стиле psexec.
Внедряет Mimikatz/Shellcode/DLL в память с использованием Powershell.
Производит дампинг NTDS.dit и других действий.
Плюсы:
Чистые скрипты Python, не требующие внешних инструментов.
Полностью параллельная многопоточность.
Использование только родных вызовов WinAPI.
Незаметность для сканеров безопасности.
Минусы:
Риск внедрения вредоносного кода в систему.
Возможная утечка учетных данных.
Тарифы:
Бесплатно.
Инструмент для сканирования директорий и файлов на веб-сервере методом фаззинга (передачи приложению неожиданных данных) и перебора содержимого веб-приложений.
ОС: Windows, macOS, Linux.
Возможности:
Фаззит значения HTTP-заголовков, данные POST-запросов и различные части URL, включая имена и значения GET-параметров.
Поддерживает фильтры, аналогичные фильтрам wfuzz, для гибкой настройки брутфорса.
Поддерживает словари формата Dirsearch.
Плюсы:
Возможность указать любой HTTP-метод.
Интеграция с другими инструментами и сценариями.
Возможность использования нескольких списков слов и заполнителей.
Контроль скорости запросов.
Минусы:
Отсутствие пауз и возобновлений.
Неудобочитаемый вывод при рекурсии.
Есть только подсчет ошибок, для их проверки необходимо запустить инструмент снова с флагом -debug.
Тарифы:
Бесплатный и с открытым исходным кодом.
Интегрированный набор инструментов для тестирования безопасности веб-приложений.
ОС: Windows, macOS, Linux.
Возможности:
Компоненты отвечают за разные функции.
Proxy перехватывает запросы и ответы, позволяя просматривать и изменять их содержимое во время передачи.
Spider (паук, краулер) автоматически собирает информацию о функциях и компонентах веб-приложения.
Scanner предоставляет автоматическое сканирование уязвимостей (доступно только в Professional версии).
Intruder позволяет в автоматическом режиме проводить атаки различного вида, включая подбор пароля, перебор идентификаторов, фаззинг и т. д.
Repeater модифицирует и повторно отправляет отдельные HTTP-запросы, а также анализирует ответы приложения.
Sequencer анализирует генерацию случайных данных приложения, выявляет алгоритмы генерации и предикативность данных.
Decoder преобразует данные веб-приложения вручную или автоматически.
Comparer выявляет различия в данных.
Плюсы:
Глубокое и продуктивное исследование веб-приложений.
Возможность сохранять и возобновлять рабочий процесс.
Расширяемость: возможность писать собственные плагины.
Минусы:
Низкая скорость работы.
Отсутствие возможности использовать как one-click приложение.
Меньший набор уязвимостей по сравнению с платными конкурентами.
Недостаток дополнительных инструментов, таких как фаззер и логгер запросов.
Отсутствие проверки конфигурации CORS.
Возможные проблемы с прогрессом сканирования и отсутствие ручного управления уровнем критичности результатов.
Тарифы:
Есть бесплатная Community Edition и платные Enterprise Edition и Professional с расширенными функциями. Стоимость лицензии может меняться.
Системы управления информационной безопасностью и событийным менеджментом (SIEM)
Система сбора, мониторинга и анализа событий безопасности в режиме реального времени.
ОС: Windows, Linux.
Возможности:
Система защищает веб-приложения любого масштаба, обнаруживая различные типы уязвимостей, например SQLi, XSS, XXE и другие.
Предоставляется автоматическая проверка уязвимостей, включая генерацию безопасных тестовых запросов.
Проверка кода позволяет сократить трудозатраты за счет комбинации статических, динамических и интерактивных методов.
Выявление и устранение уязвимостей на всех этапах разработки помогает минимизировать риски и возможный ущерб.
Поддержка SSDL позволяет выполнять требования регулирующих организаций, сокращать расходы и повышать безопасность разработки.
Плюсы:
Простота использования без погружения в исходный код, понятные результаты и визуализация уязвимостей.
Широкий охват и глубокий анализ благодаря встроенной базе уязвимостей ПО и сторонних библиотек.
Непрерывная защита с возможностью автоматической блокировки обнаруженных уязвимостей и выявлением скрытых угроз.
Поддержка SSDL Edition для снижения расходов и повышения эффективности безопасной разработки.
Минусы:
Возможны ложноположительные срабатывания, требующие ручной проверки фрагментов кода.
Сложность внедрения, включая разработку скриптов интеграции с CI-системами и шаблонов для запуска сканирования.
Возможные проблемы со сборками, такие как увеличение ожидания сборок в очереди.
Трудно спрогнозировать требования к оборудованию.
Тарифы:
— Версия для настольных ПК для специалистов по информационной безопасности.
— SSDL Edition для крупных групп разработчиков или отделов исследований и разработок.
Стоимость лицензии может меняться.
Система для мониторинга и управления событиями информационной безопасности в режиме реального времени.
ОС: Windows, macOS, Linux.
Возможности:
Система осуществляет контроль событий в корпоративной инфраструктуре.
Автоматически коррелирует события и выявляет наиболее значимые среди них.
Обнаруживает вредоносные программы.
Анализирует события сетевых устройств.
Выявляет сложные кибератаки и неочевидные инциденты.
Проводит ретроспективные расследования инцидентов.
Плюсы:
Полностью отечественная разработка.
Поддержка на русском языке.
Наличие инструментов для выявления угроз.
Анализ в режиме реального времени и ретроспективно.
Собственные модульные агенты.
Высокие показатели производительности (более 90 тысяч событий).
Масштабируемость системы.
Отсутствие ограничений при выборе источников событий.
Минусы:
Ложные срабатывания из-за особенностей правил корреляции.
Сложность настройки, требующая специальных знаний и навыков.
Тарифы:
Стоимость зависит от версии продукта и рассчитывается исходя из количества поступающих событий в секунду, количества серверов RuSIEM и состава модулей.
Инструменты для защиты периметра и сетевой безопасности
Свободная хостовая система обнаружения вторжений (HIDS).
ОС: Windows, macOS, Linux.
Возможности:
Обнаруживает вторжения на основе журнала (LID), анализируя данные в реальном времени.
Распознает руткиты и вредоносные программы, анализируя процессы и файлы.
Реагирует на атаки и изменения в системе в реальном времени с помощью различных механизмов.
Проводит аудит соответствия приложений и системы многим стандартам безопасности.
Мониторит целостность файлов (FIM) и параметры реестра Windows в реальном времени.
Проводит системную инвентаризацию, собирая различную системную информацию.
Плюсы:
Обнаружение угроз и анализ журналов в режиме реального времени.
Централизованное протоколирование и корреляцию для упрощения анализа.
Минусы:
Необходима постоянная настройка для минимизации ложных срабатываний.
Графический интерфейс ограничен, в основном используется командная строка.
Тарифы:
Бесплатная система с открытым исходным кодом.
Программно-аппаратный комплекс межсетевого экранирования, система защиты веб-приложений с автоматизированным анализом их бизнес-логики.
ОС: Windows, Linux.
Возможности:
Анализирует трафик, определяет бизнес-логику приложения, валидирует протокол HTTP, анализирует запросы и ответы.
Обнаруживает атаки на веб-приложения, такие как OWASP TOP 10, SQL-инъекции и другие.
Обеспечивает защиту от DoS-атак, включая публичные и мобильные приложения.
Предоставляет управление и мониторинг защитой нескольких приложений из единой консоли.
Плюсы:
Анализ трафика без замедления работы приложений.
Автоматическое обучение для выявления потенциальных уязвимостей.
Простая миграция с бесплатного ПО благодаря поддержке правил Modsecurity.
Удобный графический интерфейс для управления системой.
Минимальное количество ложных срабатываний.
Поддержка протокола WebSocket.
Гибкость и масштабируемость системы.
Сертификация соответствия требованиям безопасности.
Минусы:
Сложность настройки, требующая в некоторых случаях использования технологии машинного обучения.
Требовательность к аппаратным ресурсам.
Возможность обхода защиты.
Бывают ложные срабатывания.
Тарифы:
Лицензия от 1 720 000 рублей в год.
Инструменты для анализа сетевого трафика и перехвата данных (снифферы)
Используется для устранения неполадок в сети, анализа, разработки программного обеспечения и коммуникационных протоколов, а также в образовательных целях.
ОС: Windows, macOS, Linux.
Возможности:
Захватывает пакеты в реальном времени или при чтении файла.
Поддерживает проводной интерфейс Ethernet, беспроводные IEEE 802.11, PPP и локальные виртуальные интерфейсы.
Отсеивает сетевые пакеты по большому количеству установленных фильтров, включая расшифровку только VoIP-звонков и HTTPS-трафика.
Подсвечивает разные протоколы при смешанном трафике, выделяя TCP, HTTP, FTP, DNS, ICMP и т. д.
Расшифровывает WEP- и WPA-трафик беспроводных сетей при наличии ключа безопасности и Handshake.
Фиксирует нагрузку на сеть, сохраняет статистику, отображает в реальном времени отправку и получение пакетов.
Тарифы:
Бесплатный анализатор с открытым исходным кодом.
Массовый сканер IP-портов. Полезен для обзора сетей большого масштаба, таких как интернет или внутренние сети.
ОС: Windows, macOS, Linux.
Возможности:
Возобновляет прерванное сканирование.
Организует легкое распределение по нескольким компьютерам сканирования.
Перемешивает адреса и сканирует диапазон в случайном порядке, что позволяет избежать излишней нагрузки на отдельные подсети.
Обновляет статус во время сканирования, включая информацию об уже отсканированной части, примерное время до завершения и обнаруженные рабочие хосты.
Тарифы:
Бесплатно.
Даниил Козин
специалист по информационной безопасности
«Для новичков в проведении пентестов я бы порекомендовал Burp Suite Community Edition. Он отлично подходит для тестирования веб-приложений. В своей практике я использую Burp Suite Pro, ffuf, sqlmap. nmap, CrackMapExec».
Операционные системы для пентеста
Kali Linux
Одна из самых популярных и широко используемых операционных систем для проведения пентестов. Kali Linux предлагает обширный набор инструментов и программ для тестирования безопасности, включая сканеры уязвимостей, инструменты для взлома паролей, средства анализа сетевого трафика и многие другие.
Parrot Security OS
Еще одна операционная система, основанная на Debian Linux. Предназначена для тестирования безопасности и цифрового детективного анализа. Parrot Security OS также предлагает широкий набор инструментов для проведения пентеста и расследования инцидентов безопасности.
BackBox
Легкий и быстрый дистрибутив Linux, разработанный для тестирования безопасности и аудита сети. BackBox включает множество инструментов для сканирования уязвимостей, анализа безопасности сети, эксплуатации уязвимостей и других задач пентеста.
BlackArch Linux
Дистрибутив Linux с обширным набором инструментов для тестирования безопасности и взлома. BlackArch Linux предназначен для опытных пользователей и включает более 2400 инструментов для пентестов.
Windows с набором инструментов
Хотя большинство инструментов для пентеста предназначены для Unix-подобных операционных систем, некоторые тестировщики безопасности предпочитают использовать Windows.
Даниил Козин
специалист по информационной безопасности
«Для пентестов я предпочитаю Kali Linux. ОС специально создана для аудита безопасности и обладает обширным набором инструментов. Хотя Parrot OS тоже популярен среди пентестеров, комфортнее работать с Kali из-за стабильности и отсутствия некоторых неприятностей, таких как особенности файловой системы BTRFS в Parrot OS».
Дорожная карта пентестера
Основы сетевых технологий:
Коммутация и маршрутизация
Основные принципы коммутации и маршрутизации данных в сети.
Работа коммутаторов и маршрутизаторов.
VLANs и туннелирование
Виртуальные локальные сети (VLANs) и методы их конфигурации.
Принципы работы туннелирования данных в сети.
Основы безопасности сетей Cisco
Базовые методы настройки и защиты сетевых устройств Cisco.
Протоколы безопасности, такие как SSH и SNMP.
Конфигурация серверов
Управление пользователями и группами в Linux
Команды Linux для создания, удаления и управления пользователями и группами.
Концепция прав доступа и механизмы управления ими.
Основы работы с Windows Server и Active Directory
Основные функции Windows Server и его роль в корпоративной среде.
Основы настройки и администрирования Active Directory.
Основы безопасности серверов
Методы защиты серверов от несанкционированного доступа и вредоносного ПО.
Методы мониторинга и обнаружения атак на серверы.
Основы веб-разработки и уязвимостей веб-приложений
Знакомство с PHP, JavaScript и другими языками
Базовые концепции языков программирования, используемых для веб-разработки.
Создание и тестирование простых веб-приложений.
Основы безопасной веб-разработки
Методы защиты веб-приложений от распространенных угроз, таких как XSS и SQL-инъекции.
Уязвимости веб-приложений
Типы уязвимостей веб-приложений и методы их эксплуатации для атаки на системы.
Кибер-инфраструктура для проведения пентестов
Инструменты для анализа сетевого трафика
Wireshark и Tcpdump для захвата и анализа сетевого трафика.
Методы обнаружения аномалий и атак в сети.
Инструменты сканирования уязвимостей
Инструменты сканирования Nmap и Masscan для поиска уязвимостей в сетевых системах.
Анализ результатов сканирования и оценка уровня безопасности сети.
Базовые навыки в области веб-разработки и эксплуатации уязвимостей
Основные методы взлома веб-приложений, включая инъекции и XSS-атаки.
Инструменты для тестирования безопасности веб-приложений.
Углубленные темы
Атаки на сетевую инфраструктуру
Методы проведения атак, таких как MITM и DNS-отравление, на сетевую инфраструктуру.
Механизмы защиты от атак.
Атаки на веб-приложения
Методы эксплуатации уязвимостей веб-приложений, таких как кросс-сайтовый скриптинг и атаки на сеансы.
Средства защиты от подобных атак.
Защита своих знаний и сертификация
Подготовка к сертификационным экзаменам в области кибербезопасности.
Изучение методов защиты сетевой инфраструктуры.
Получить необходимые для работы навыки можно на онлайн-магистратуре «Информационная безопасность» от МИФИ и Skillfactory.