- сервисы
В первом квартале 2022 года DDoS Intelligence зафиксировали 91 052 DDoS-атак на российские сайты и IT-системы. При этом более 55% кибератак были направлены на взлом и кражу конфиденциальной информации. К сожалению, предпосылок для снижения уровня угрозы нет. В таких условиях важно понимать, насколько устойчив сайт к незапланированным всплескам активности и насколько он защищен от проникновений. Ответы на все эти вопросы дает стресс-тестирование.
Стресс-тестирование — совокупность методологий оценки безопасности IT систем. В нее входит классическое стресс-тестирование на отказ в обслуживании, анализ поведения веб-сервиса на пиковых нагрузках, тестирование попытки технического взлома и проникновение методом социальной инженерии. В рамках этого материала поговорим пока только о классическом стресс-тесте и пентесте.
Задачи стресс-тестирование сайта
При стресс-тесте выясняется, насколько сайт устойчив к естественным диспропорциональным нагрузкам, как ресурс ведет себя при DDoS-атаке, выдержит ли UDP-флуд, SYN-флуд и HTTP-флуд, а также в течение какого времени система защиты от DDoS может результативно отражать атаку. Последнее — важно, поскольку согласно отчету Лаборатории Касперского «DDoS-атаки во втором квартале 2022 года», тенденция второго квартала настораживает: атаки стали длительнее и сложнее. Многие длятся сутками — рекордной стала вредоносная активность на протяжении 29 дней. Увеличилась и доля «умных атак». Почти половина всех DDoS-активностей разработана под конкретный сайт, учитывают его архитектуру и уязвимости.
Алгоритм стресс-тестирования сайта
Для стресс-тестов сайта используются специализированные программные инструменты, однако подход к оценке системы безопасности примерно одинаков:
- определяют метрики и диапазон KPI;
- разрабатывают сценарии атак (превышение пропускной способности канала, «медленные запросы», HTTP (s) flood, ресурсоемкие запросы и пр.)
- специалисты организуют контролируемые DDoS-атаки на всех возможных уровнях,
- постепенно наращивают нагрузку, например, с шагом 15-25% RPS (количество запросов за секунду),
- фиксируют текущий уровень устойчивости сайта,
- определяют предельные нагрузки, на которых сайт «ложится»,
- идентифицируют слабые места,
- составляют рекомендации по повышению устойчивости системы защиты сайта.
Для чего нужен стресс тест
Если говорить о сайтах, то стресс-тестирование актуально, в первую очередь для ресурсов, у которых стоимость отказа исчисляется сотнями тысяч или миллионами. Здесь достаточно посчитать, какую сумму потеряет бизнес, если DDoS-атака обрушит биллинговую систему или «положит» интернет-магазин на старте распродажи.
Мы рекомендуем стресс-тестирование сайтам на старых CMS. Многие из них заточены под лимитированный объем трафика и не рассчитаны на превышение нагрузки. Стресс-тест помогает определить предел устойчивости ресурса на этой CMS и рассчитать, что выгоднее — периодически терять N трафика и транзакций или переносить ресурс на новую систему управления контентом.
Стресс-тестирование сайта проводится для только что запущенных проектов. В основном это крупные СМИ, маркетплейсы, корпоративные ресурсы b2b сегмента. Им важно определить нормальный и критический объем трафика, чтобы сразу заложить резерв мощности и понимать, как масштабировать ресурсы на случай пиковой нагрузки.
Задачи пентеста
Главная задача пентеста сайта — определить, может ли текущий уровень защищенности выдержать кибератаку для получения несанкционированного доступа. Например, если хакер пытается через офисный сегмент сети проникнуть в рабочий периметр, чтобы получить доступ к персональным данным. Или найти доступ к файловой системе с правами редактирования данных.
Насколько это актуально — показывает статистика Group-IB, разработчика решений для защиты интеллектуальной собственности в сети. По сведениям компании за весну и лето 2022 года у российских предприятий тем или иным образом было украдено более 200 баз данных. Основными мишенями оказались видеосервисы, медицинский бизнес и компании отрасли доставки.
План пентеста сайта
Для тестирования сайта на возможность хакерского вторжения, пентест дробится на этапы:
1. Определяется сценарий. В рамках «черного ящика» специалисты получают только адрес сайта. С «белым/серым ящиком» у них есть административный доступ к CMS или учетная запись пользователя.
2. Выбирается цель пентеста. Обычно это либо проникнуть как можно глубже в систему, либо найти как можно больше уязвимостей.
3. Находятся уязвимые компоненты сайта, программные закладки и ошибки в настройках хостинга, оборудования.
4. Выбираются инструменты и наборы средств для проникновения.
5. Специалист, моделируя действия хакера, ведет атаки на выявленные уязвимости.
6. Полученные результаты документируются.
7. Определяются приоритетные и не критичные уязвимости.
8. Составляется список рекомендаций по их устранению.
Пентест считается завершенным, если специалисту удается выполнить поставленную задачу или заканчивается время, выделенное на проект.
Кому и когда нужен пентест
Современные пентестеры — не просто «белые хакеры» с прокачанными навыками технического взлома. Это специалисты с огромным портфелем техник и инструментов, знанием тонкостей социальной инженерии, пониманием технической и организационной структуры систем информационной безопасности (ИБ). Это делает пентест сложной, трудоемкой и довольно дорогой услугой. Она оправдана, когда:
- на сайте есть критичные для бизнес-деятельности данные,
- тестирование на проникновение необходимо для выстраивания целостной стратегии ИБ;
- компании важно обосновать расходы на мероприятия по защите информации;
- нужно определить вектор развития ИБ.
Обратите внимание! Пентест обязателен для предприятий госсектора, банков и других компаний, которые являются одним из компонентов критической информационной государственной структуры. Для них защита информации, условия пентеста и требования к пентестерам жёстко регулируется нормативными документами ФСТЭК, ФСБ и Банка России.
В остальных случаях бизнес может заказать пентест под свои задачи. От проверки корпоративного сайта компании до тестирования его отдельных компонентов.
Главное — чётко понимать, что одним пентестом защита сайта не исчерпывается. Результаты нужно будет переложить на практику, интегрировать с итогами стресс-теста и внедрить полученные рекомендации.