CC BY
1
УДК 004.056
Нагорный И.В.
Магистрант 2 курса УУНиТ, г. Уфа, РФ Кузнецов И.П.
Магистрант 2 курса УУНиТ, г. Уфа, РФ Московский В.И.
Магистрант 2 курса УУНиТ, г. Уфа, РФ
АВТОМАТИЗАЦИЯ ТЕСТОВ НА ПРОНИКНОВЕНИЕ С ПОМОЩЬЮ МАШИННОГО ОБУЧЕНИЯ
Аннотация
В данной статье представлена автоматизация тестов на проникновение, связанных с развитием информационной безопасности в современном мире. Приведены примеры преимуществ и недостатков таких тестов. Предложено усовершенствование пентестов с помощью машинного обучения, способствующее развитию нахождения уязвимостей в инфраструктуре и улучшающее работу специалистов информационной безопасности.
Ключевые слова
моделирование поведения, уязвимости, тесты на проникновение, инфраструктура,
машинное обучение, нейронная сеть.
В эпоху стремительного развития информационных технологий, развиваются и кибератаки, они становится все более изощрёнными, несут за собой огромные потери, как для бизнеса, так и для клиентов, а кибератаки на государственные структуры могут привести к катастрофам для граждан и государства. Для противодействия данным атакам недостаточно взгляда инженера по информационной безопасности, иногда необходимо взглянуть на свою инфраструктуру и со стороны нападающего, злоумышленника. Помочь в этом могут тесты на проникновение, они предназначены для проверки устойчивости, нахождения уязвимостей и путей, по которым может двигаться злоумышленник в инфраструктуре.
Как было сказано ранее преимуществом тестов на проникновение является моделирование поведения злоумышленника в системе и обнаружение уязвимостей инфраструктуры, для своевременного устранения, что увеличивает защищенность системы. Тесты на проникновения можно использовать ко всем частям инфраструктуры, такими как веб-сайты, веб-приложения, сетевые компоненты и т.д. Также используя методику тестов на проникновение, можно проверить и усовершенствовать поведение отдела информационной безопасности, найти слабые места и выявить способы противодействия реальной атаке. Тесты на проникновение можно использовать и совместно с другими методиками, например, если проверяющий систему на безопасность разбирается в социальной инженерии, можно использовать сотрудников компании как плацдарм для развития дальнейшей атаки, для этого, как один из вариантов, можно разослать на корпоративную почту зараженный файл, позволяющий атакующему получить удаленный доступ внутрь инфраструктуры, с темой, которая будет вызывать у сотрудника желание его открыть. Другой же вариант, от лица директора компании или начальника it-отдела, разослать письмо с ссылкой, ведущей на фишинг-ресурс, о новой информационной системе, в которую для входа необходимо ввести свои учетные данные, что позволит атакующему получить эту информацию.
В итоге, тесты на проникновение позволяют:
1. Выявить уязвимости;
2. Оценить уровень защищённости инфраструктуры;
3. Повысить уровень знаний информационной защищенности сотрудников;
4. Проверить готовность отдела информационной безопасности к реальной атаке;
5. Проведение регулярных тестов на проникновение позволяет уменьшить потери компании (денежные, информационные, репутационные) и обеспечить бизнес-непрерывность во время реальных атак;
6. Повышение доверия контрагентов и клиентов к компании.
У тестов на проникновение также имеются и недостатки. Первый и ключевой являются требования к уровню квалификации работников. Начинающий специалист по информационной безопасности не сможет провести комплексный и исчерпывающий тест на проникновение. Привлечение в штат компании сотрудников с высокой квалификацией наложит высокую финансовую нагрузку на компанию для обеспечения таких сотрудников, заказ тестов на проникновения у внешних компаний исполнителей уже обладающими сотрудниками с высокой квалификацией тоже несет свои опасности, неизвестно добросовестно ли компания исполнитель относится к отчету о проведение тестов на проникновение, который может попасть в руки злоумышленников в результате взлома компании исполнителя или же продажи данного отчета конкурентам. Еще одним недостатком тестов на проникновение — это рутинность и длительность данной методики. Каждый тест идет по одному и тому же маршруту, в начале проводится сканирование инфраструктуры, после обнаружения уязвимостей выбирается маршрут попадания в инфраструктуру, затем повышение привилегий, хищение или вывод из строя ключевых активов компании. Вкратце все эти этапы можно представить так:
1. Внешняя разведка, на данном этапе проводится сбор информации из открытых источников, эта может быть: информация о бизнес-процессах, присутствие в сети устаревших устройств, регистрация сотрудников в социальных сетях и т.д;
2. Сканирование инфраструктуры, данный этап можно проводить и вместе с внешней разведкой, данный этап позволяет найти уязвимости инфраструктуры для дальнейшего развития атаки;
3. Повышение привилегий, на этом этапе атакующий пытается получить права администратора системы;
4. Осуществление деструктивных воздействий на инфраструктуру.
Все эти шаги используются при каждом проведение тестов на проникновение, а иногда даже во время одного теста на разные части инфраструктуры, что довольно сильно увеличивает время проведения тестов на проникновение.
Все чаще мы начинаем слышать о машинном обучение и нейронных сетях. Каждый день появляются новости о запуске новой нейронной сети, призванной помочь в разных аспектах деятельности человека, например видео и фотомонтаж, написание текстов и т.д. Информационная безопасность не осталась в стороне, привлекая все больше нейронный сетей в деятельность осуществления защиты информации, соответственно, и тесты на проникновение также модернизируются.
Разберем, как работают и какие существуют нейронные сети в рамках тестов на проникновение. Нейронные сети для тестов можно разделить на два вида: те, которые используют общедоступные нейронные сети и те, которые запускаются в сети тестировщика. К первому виду можно отнести "Реп1е$1СРТ", который использует общедоступный "СИа1СРТ", работает по следующему принципу: во время своей работы данный инструмент генерирует запросы к СИа1СРТ, который в свою очередь подсказывает точные команды для известных инструментов для проведения тестов на проникновение. Например, он может подсказать, почему на конкретном этапе человеку лучше использовать тот или иной инструмент. Пример работы представлен на рисунке (рис. 1).
Рисунок 1 - Принцип работы PentestGPT
Существует много нейронных сетей работающими по похожему принципу, но у них есть недостаток в том, что они полностью зависят от общедоступных нейронных сетей, также общедоступные нейронные сети могут брать плату за их использование во внешних инструментах.
Второй же тип, помогающих в тестировании на проникновение, лишен этих недостатков, он запускается непосредственно на компьютере тестировщика и не требует дополнительной платы за ее использование. К такому типу относится нейронная сеть "Nebula". Nebula работает по следующему принципу, на компьютере разворачивается нейронная модель типа GPT (Generative pre-trained transformer), пользователь генерирует запрос, в котором тестировщик описывает что он хочет просканировать и с какими параметрами, Nebula составляет готовую команду для программного обеспечения согласно этим требованиям. Также Nebula запоминает все найденные данные (просканированные IP, порты и найденные уязвимости) и может предложить дальнейшие действия для развития атаки. Nebula и сама может участвовать в роли атакующего, пытаясь пробиться в инфраструктуру с помощью найденных уязвимостей. Nebula может работать в двух режимах: тихом и агрессивном.
Results for command #3:
tt Nmap 7.94SVN scan initiated Sun Dec 3 22:56:49 2023 as: nmap -0 -oX ./resu
lts/nmap_output_10:56:43-PM-2023-12-03.xml -oN ./resutts/nmap_output_10:56:A3
-PM-2023-12-03.txt 192.168.0.1/24
Nmap scan report for 192.168.0.1
Host is up (0.00054s latency).
Not shown: 995 closed tcp ports (reset)
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
1723/tcp open pptp
2000/tcp open cisco-sccp
8291/tcp open unknown
MAC Address: E4:8D:8C:75:C1:6D (Routerboard.com) Device type: general purpose Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.10
_
Рисунок 2 - Принцип работы Nebula
В тихом режиме Nebula будет пытаться скрыть свое присутствие в сети, а в агрессивном направит все мощности на прорыв защиты для определения точки входа в инфраструктуру. Так как нейронные сети находятся непосредственно на компьютере, то компьютер должен обладать высокими характеристиками по производительности, для нейронных сетей необходимы мощный процессор, и количество памяти в видеокартах. Пример сканирования адреса представлен на рисунке (рис. 2).
Использование нейронных сетей во время тестирования на проникновение уменьшает требования к квалификации тестировщика. Начинающему специалисту уже не требуется тратить время для изучения работы той или иной части инфраструктуры, чтобы получить доступ или же нарушить работоспособность. Конечно, человек, полностью немыслящий в тестировании на проникновение, не сможет провести хороший тест, так как это всего лишь инструмент, который помогает специалисту, а не заменяет его. Нейронные сети помогут уменьшить влияние недостатка - рутинности тестирования. Нейронная сеть сама проведет сканирование инфраструктуры и подскажет какие найденные уязвимости можно использовать для дальнейшей атаки, что ускорит процесс проведения тестирования и позволит специалисту сосредоточиться на дальнейшем пути проведения атаки. Список использованной литературы:
1. Скабцовс Н.В. Аудит безопасности информационных систем: монография. Изд-во ПИТЕР, 2018. 272 с.
2. Лобанева Е.И., Лазарев А.И. Автоматизация процесса тестирования уязвимостей в корпоративных системах на основе нейро-нечётких алгоритмов // Наукоемкие технологии в космических исследованиях Земли. 2020. Т.12. №5. С. 62-73.
3. Nebula. Доступ из системы GitHub: https://github.com/berylliumsec/nebula
4. PentestGPT. Доступ из системы GitHub: https://github.com/GreyDGL/PentestGPT
© Нагорный И.В., Кузнецов И.П., Московский В.И., 2024
УДК 62
Ремазанов Х.Г.,
Преподаватель.
Сейиткулиев Б.Х., Преподаватель.
Кулиева Б.Ч., Преподаватель.
Хатджиева Э.М., Студентка.
Институт инженерно-технических и транспортных коммуникаций Туркменистана.
Ашхабад, Туркменистан.
ПРИНЯТИЕ РЕШЕНИЙ ДЛЯ ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА
Аннотация
Основным компонентом дизельных двигателей является дизельное топливо. Дизельный двигатель преобразует химическую энергию топлива в механическую энергию для вращения коленчатого вала. Мощность дизеля прямо пропорциональна частоте вращения коленчатого вала при постоянном расходе топлива. Чтобы дизель работал с постоянной частотой вращения вала, его энергия передается на ведомые колеса. Между коленчатым валом постоянной частоты вращения и маховиком регулируемой скорости
