Перехват сеанса

Методика тестирования на проникновение

Сети, может


Ежедневно в Интернет злоумышленниками осуществляются сотни - тысячи взломов веб-сайтов, серверов приложений и баз данных. безопасность серверов баз данных Взлом корпоративного веб-сайта компании, являющегося ее представительством в Сети, может серьезно подорвать имидж и репутацию компании и вызвать падение ее курса акций.
Зачем нужны тесты на проникновение?
Огромное число успешных вторжений из Интернет наглядно показывает незащищенность большинства ресурсов. проверить безопасность Незащищенность сети компании, обычно, обусловлена целым рядом факторов и заблуждений:
непонимание менеджментом величины ущерба, который может принести успешная атака на ИТ систему компании
отсутствие информации у менеджмента об истинном уровне защиты
ложная уверенность менеджмента о надежной собственной защите
отсутствие или нехватка квалифицированного персонала в отделе ИТ - безопасности
отсутствие разработанной стратегии и политики информационной безопасности
отсутствие или недостатки применяемой системы защиты ИТ - ресурсов
мы не представляем интереса для атаки
в нашей вычислительной системе нет критичной важной для компании информации
наш веб-сервер выполняет только представительскую функцию и его взлом не повлечет для компании значимого ущерба
у нас есть файрвол - значит мы надежно защищены
Проведение тестов на проникновение выявит все вышеозначенные факторы и заблуждения и позволит менеджменту получить наглядное и объективное представление о текущем уровне защиты автоматизированных ресурсов компании и станет первым шагом к построению надежной многоступенчатой системы защиты.
Задача теста на проникновение: полностью имитирую действия взломщика, осуществить атаку из Интернет на:
сервер приложений или баз данных
Цель теста на проникновение: обнаружить слабые места (уязвимости) в защите и, если это возможно и соответствует желанию заказчика, осуществить показательный взлом.
Тесты на проникновение являются начальным этапом полного аудита безопасности автоматизированной системы компании, на основании которого возможна, во-первых, разработка политики и стратегии информационной безопасности, и, во-вторых, разработка и внедрение плана защиты ИТ ресурсов компании.
Помните, что проведение тестов на проникновение - это первый необходимый шаг к Вашей надежной защите!
получить доступ к конфиденциальной информации
получить возможность изменения конфиденциальной информации
нарушить работоспособность системы
По результатам тестов создается отчет, в котором поэтапно описываются основные действия команды аналитиков в процессе тестового взлома и указываются слабые места в защите, из-за которых атака либо потенциально возможна, либо была успешна проведена.
Тесты на проникновение могут осуществляться на следующие объекты:
Веб-скрипты, исходный и исполняемый код
Основные условия проведения тестов на проникновения
оповестить о проводимой работе как можно более узкий круг топ-менеджеров компании, по возможности, исключив менеджеров отделов ИТ и безопасности
не разглашать внутри компании вплоть до окончания работ факт проводимых тестов на проникновение
сохранять конфиденциальность всей полученной в процессе тестов на проникновение информации о системе заказчика
по желанию заказчика сохранять конфиденциальность самого факта проведения теста на проникновение
Исполнитель не несет ответственности за возможные сбои и временную остановку автоматизированной системы Заказчика в процессе проведения тестов на проникновение

Похожие статьи Pentest

  • Методика тестирования на проникновение

    Для выявления возможных рисков информационной безопасности и получения независимой оценки уровня защищенности информационной системы используются тесты...

  • Тесты на проникновение

    Тестирование на проникновение - попытка взлома информационного ресурса компании, направленная на получение оценки уровня безопасности исследуемого...

  • Хакинг и тестирование на проникновение

    В один из тех ясных солнечных дней, что нередко выдаются в Александрии (шт. Виргиния) в конце ноября, на втором этаже скромно обставленного офиса...

  • Комплексный тест на проникновение

    О дним из распространенных методов проведения аудита информационной безопасности является тестирование на проникновение ( Penetration test ), которое...

  • Тестирование на проникновение

    Тестирование на проникновение ( penetration testing ) - метод оценки защищенности корпоративной сети, заключающийся в моделировании атаки злоумышленника...