Оценка систем защиты сайта с помощью стресс-тестирования

Стресс-тестирование — совокупность методологий оценки безопасности IT систем. В нее входит классическое стресс-тестирование на отказ в обслуживании, анализ поведения веб-сервиса на пиковых нагрузках, тестирование попытки технического взлома и проникновение методом социальной инженерии. В рамках этого материала поговорим пока только о классическом стресс-тесте и пентесте.

Задачи стресс-тестирование сайта

При стресс-тесте выясняется, насколько сайт устойчив к естественным диспропорциональным нагрузкам, как ресурс ведет себя при DDoS-атаке, выдержит ли UDP-флуд, SYN-флуд и HTTP-флуд, а также в течение какого времени система защиты от DDoS может результативно отражать атаку. Последнее — важно, поскольку согласно отчету Лаборатории Касперского «DDoS-атаки во втором квартале 2022 года», тенденция второго квартала настораживает: атаки стали длительнее и сложнее. Многие длятся сутками — рекордной стала вредоносная активность на протяжении 29 дней. Увеличилась и доля «умных атак». Почти половина всех DDoS-активностей разработана под конкретный сайт, учитывают его архитектуру и уязвимости.

Алгоритм стресс-тестирования сайта

Для стресс-тестов сайта используются специализированные программные инструменты, однако подход к оценке системы безопасности примерно одинаков:

• определяют метрики и диапазон KPI;
• разрабатывают сценарии атак (превышение пропускной способности канала,  «медленные запросы», HTTP (s) flood, ресурсоемкие запросы и пр.)
• специалисты организуют контролируемые DDoS-атаки на всех возможных уровнях,
• постепенно наращивают нагрузку, например, с шагом 15-25% RPS (количество запросов за секунду),
• фиксируют текущий уровень устойчивости сайта,
• определяют предельные нагрузки, на которых сайт «ложится»,
• идентифицируют слабые места,
• составляют рекомендации по повышению устойчивости системы защиты сайта.

Для чего нужен стресс тест

Если говорить о сайтах, то стресс-тестирование актуально, в первую очередь для ресурсов, у которых стоимость отказа исчисляется сотнями тысяч или миллионами. Здесь достаточно посчитать, какую сумму потеряет бизнес, если DDoS-атака обрушит биллинговую систему или «положит» интернет-магазин на старте распродажи.

Мы рекомендуем стресс-тестирование сайтам на старых CMS. Многие из них заточены под лимитированный объем трафика и не рассчитаны на превышение нагрузки. Стресс-тест помогает определить предел устойчивости ресурса на этой CMS и рассчитать, что выгоднее — периодически терять N трафика и транзакций или переносить ресурс на новую систему управления контентом.

Стресс-тестирование сайта проводится для только что запущенных проектов. В основном это крупные СМИ, маркетплейсы, корпоративные ресурсы b2b сегмента. Им важно определить нормальный и критический объем трафика, чтобы сразу заложить резерв мощности и понимать, как масштабировать ресурсы на случай пиковой нагрузки.

Задачи пентеста

Главная задача пентеста сайта — определить, может ли текущий уровень защищенности выдержать кибератаку для получения несанкционированного доступа. Например, если хакер пытается через офисный сегмент сети проникнуть в рабочий периметр, чтобы получить доступ к персональным данным. Или найти доступ к файловой системе с правами редактирования данных.

Насколько это актуально — показывает статистика Group-IB, разработчика решений для защиты интеллектуальной собственности в сети. По сведениям компании за весну и лето 2022 года у российских предприятий тем или иным образом было украдено более 200 баз данных. Основными мишенями оказались видеосервисы, медицинский бизнес и компании отрасли доставки.

План пентеста сайта

Для тестирования сайта на возможность хакерского вторжения, пентест дробится на этапы:

1. Определяется сценарий. В рамках «черного ящика» специалисты получают только адрес сайта. С «белым/серым ящиком» у них есть административный доступ к CMS или учетная запись пользователя.

2. Выбирается цель пентеста. Обычно это либо проникнуть как можно глубже в систему, либо найти как можно больше уязвимостей.

3. Находятся уязвимые компоненты сайта, программные закладки и ошибки в настройках хостинга, оборудования.

4. Выбираются инструменты и наборы средств для проникновения.

5. Специалист, моделируя действия хакера, ведет атаки на выявленные уязвимости.

6. Полученные результаты документируются.

7. Определяются приоритетные и не критичные уязвимости.

8. Составляется список рекомендаций по их устранению.

Пентест считается завершенным, если специалисту удается выполнить поставленную задачу или заканчивается время, выделенное на проект.

Кому и когда нужен пентест

Современные пентестеры — не просто «белые хакеры» с прокачанными навыками технического взлома. Это специалисты с огромным портфелем техник и инструментов, знанием тонкостей социальной инженерии, пониманием технической и организационной структуры систем информационной безопасности (ИБ). Это делает пентест сложной, трудоемкой и довольно дорогой услугой. Она оправдана, когда:

• на сайте есть критичные для бизнес-деятельности данные,
• тестирование на проникновение необходимо для выстраивания целостной стратегии ИБ;
• компании важно обосновать расходы на мероприятия по защите информации;
• нужно определить вектор развития ИБ.

Обратите внимание! Пентест обязателен для предприятий госсектора, банков и других компаний, которые являются одним из компонентов критической информационной государственной структуры. Для них защита информации, условия пентеста и требования к пентестерам жёстко регулируется нормативными документами ФСТЭК, ФСБ и Банка России.

В остальных случаях бизнес может заказать пентест под свои задачи. От проверки корпоративного сайта компании до тестирования его отдельных компонентов.

Главное — чётко понимать, что одним пентестом защита сайта не исчерпывается. Результаты нужно будет переложить на практику, интегрировать с итогами стресс-теста и внедрить полученные рекомендации.