Penetration test нь танай байгууллагын сервер, систем, сүлжээний түвшинд үүссэн эмзэг сул талыг ашиглан байгууллагын дотоод нууц өгөгдөл/мэдээлэлрүү хандах боломжтой байна гэдгийг нотлох шалгалт юм. Энэ төрлийн шалгалтыг хийлгэснээр байгууллагын чухал системүүд дээр үүссэн эмзэг байдлуудыг эрт илрүүлэх, ирээдүйд үүсэж болох эрсдэлүүдийг урьдчилан хаах зэрэг давуу талтай.

Нэвтрэх шалгалтыг хийх blackbox, whitebox гэсэн үндсэн 2 аргачлал байдаг бөгөөд blackbox нь захиалагч тал шалгалт хийлгэх системийн талаарх дэлгэрэнгүй мэдээллийг үйлчилгээ үзүүлэгч талд өгөхгүй байх. Өөрөөр хэлбэл яг л хакерууд шиг танай системүүдийн талаарх мэдээллийг өөрсдөө интернэт болон бусад эх сурвалжаас цуглуулан шалгалт хийнэ гэсэн үг.

Харин whitebox аргачлал нь захиалагч тал шалгалт хийлгэх системийн талаарх дэлгэрэнгүй мэдээлэл бүр цаашлаад тухайн систем дээр тест хийх зориулалттай аккаунтуудыг хүртэл үүсгэн өгч шалгалт хийлгүүлдэг. Whitebox аргачлалын давуу тал нь үйлчилгээ үзүүлэгч тал танай системийн талаар илүү их мэдээлэлтэй байх тусмаа илүү олон эмзэг байдал илрүүлэх боломжтой байдагт оршино.

Нэвтрэх шалгалтыг заавал байгууллагын бүх системүүдийг хамруулан хийлгэх шаардлагагүй бөгөөд хүсвэл та байгууллагынхаа хамгийн чухал системүүд болох харилцагч, байгууллагын нууц мэдээллүүдийг агуулдаг, боловсруулдаг asset-уудаас сонгон хийлгэх боломжтой.

Хэрвээ танай байгууллага PCI-DSS, ISO27001 зэрэг стандартыг хэрэгжүүлэхээр бэлдэж байгаа эсвэл аль хэдийн хэрэгжүүлсэн бол тухайн стандартыг хэрэгжүүлж буй scope-д орсон систем дээр дор хаяж жилдээ нэг удаа нэврэх шалгалт хийлгэсэн байх шаардлагатайг анхаарна уу.

Нэвтрэх шалгалт хийлгэх байгууллагаа хэрхэн сонгох вэ?

Мэдээллийн аюулгүй байдлийн эрсдэл нь байгууллад маш өндөр хэмжээний санхүүгийн болон нэр хүндийн хувьд хохирол учруулдаг учраас тэдгээр эрсдэлийг бүрэн илрүүлэх чадамж бүхий зөв байгууллагыг сонгох нь яалтачгүй чухал шийдвэр юм. Сонголт хийхдээ дор хаяж дараах шалгуур үзүүлэлтүүдийг харж сонголтоо хийхийг санал болгож байна.

• Нэвтрэх шалгалт хийх багийн гишүүдийн ур чадвар: Багийн гишүүд нь ямар төрлийн системүүд дээр ахисан түвшний шалгалт хийх чадвартай болон тэр нь нотолгоотой эсэх. Жишээлбэл: Монголын ёс зүйт хакерын ХаруулЗанги тэмцээнд ямар амжилттай оролцож байсан эсэх. Цаашилбал дэлхийн шилдэг bug bounty platform болох HackerOne, BugCrowd дээр ямар түвшний хэдэн цоорхой олж байсан зэргээр шалгуур үзүүлэлт хийж болно.
• Багийн гишүүдийн ажлын туршлага: Багийн гишүүд нь одоо болон урьд нь танай байгууллагын ашигладаг системүүдийг ашиглаж, тохируулж байсан хангалттай олон жилийн бодит туршлага байхгүй бол тэдгээр системүүдэд хэрхэн аюулгүй байдлын best practice тохируулах зөвлөмж өгөх, мэдээллийн аюулгүй байдлын засаглал, процессийн алдааг олж харахдаа учир дутагдалтай байдаг.
• Ёс зүй: Нэвтрэх шалгалт хийж буй компани болон багийн гишүүд нь өмнө нь ямар нэгэн байгууллага, хувь хүний мэдээллийн аюулгүй байдалд эрдэл учруулахуйц ёсзүйгүй үйлдэл хийж байсан эсэхийг судлаж үзэх.

Бид хэрхэн нэвтрэх шалгалт хийдэг вэ?

Бид нэврэх шалгалтуудыг ихэвчлэн whitebox аргачлалаар хийдэг бөгөөд нийтлэг жишгийн дагуу Planning, Reconnaissance, Scanning, Gaining access, Analysis гэсэн үндсэн 5 шатлалтайгаар хийнэ. Эдгээрийг дэлгэрэнгүй тайлбарлавал:

• Planning: Аюулгүй байдлын шалгалт хийлгэх гэж буй байгууллагатай ямар asset-ууд буюу системүүдийг хамруулах, хэзээ ажлыг эхлүүлэх, нэвтрэх шалгалт хийх ажилтан тухайн байгууллага дээр сууж ажиллах учраас ширээ, сандал, сүлжээний холболт, сүлжээний хандалт зэргийг нээлгэн бэлдүүлэх шат юм.
• Reconnaissance: Шалгуулах системийн талаарх мэдээллийг active болон passive байдлаар цуглуулна. Өөрөөр хэлбэл тухайн системийн DNS бичлэг, ямар програмчлалын хэл ашигласан, эх код github эсвэл gitlab дээр хэсэгчилсэн эсвэл бүхэлдээ байгаа эсэх зэрэг нэмэлт мэдээллүүдийг цуглуулах шат юм.
• Gaining access: Энэ шат нь бидний хамгийн ач холбогдол өгдөг шат бөгөөд илэрсэн эмзэг байдлын 90%-ыг гар аргаар илрүүлдэг. Өөрөөр хэлбэл энэ шатанд тухайн системийн feature бүрийг хэрхэн ажиллаж байгааг маш сайн ойлгон шинжилж түүн дээр шалгалт хийдэг ба бизнес логик, access control, server side эмзэг байдлуудыг илрүүлэн тэдгээрийг ашиглаж ямар нууц өгөгдөлрүү хандах боломжтой, санхүүгийн ямар хохирол учрах боломжтой зэргийг нотлон харуулна.
• Analysis: Дээрх шатуудад илрүүлсэн эмзэг байдлыг хэрхэн засварлах, цаашид мэдээллийн аюулгүй байдлын засаглалын хувь ямар сайжруулалтууд хийх шаардлагатай талаарх дэлгэрэнгүй зөвлөмж, тайланг бэлтгэн өгнө. Манай баг Монголын томоохон банк, үүрэн холбоо, бизнесийн байгууллагуудад дор хаяж 5 жил тасралтгүй мэдээллийн аюулгүй байдлаар ажилласан, хамтран ажилласан туршлагатай гэдгээрээ давуу юм.

Нэвтрэх шалгалт нь scope буюу хамрах хүрээний хувьд хэр том байхаас шалтгаалан шалгалтыг хийж дуусгах хугацаа уртсаж болно. Мөн бид мэдээллийн аюулгүй байдлын аудит үйлчилгээг үзүүлдэг ба энэ нь Нэвтрэх шалгалт + Мэдээллийн аюулгүй байдлын засаглалын аудит гэж ойлгож болох ба та мэдээллийн аюулгүй байдлын аудит үйлчилгээг авснаар нэмэлтээр байгууллагад заавал хэрэгжүүлэх ёстой мэдээллийн аюулгүй байдлын конролууд /Information Security controls/, ISO27001, PCI-DSS стандарт хэрэгжүүлэхэд хэр gap-тай байгаагаа тодорхойлуулан цаашид сайжруулах зүйлсийн зөвлөмжийг авах болно.