Перехват сеанса

Тестирование на проникновение

направленный на получение объективной оценки


Тестирование на проникновение - метод оценки безопасности компьютерных систем или сетей, направленный на получение объективной оценки уровня информационной безопасности, а именно обнаружение уязвимостей и слабых мест. Тест на проникновение позволяет понять эффективны ли применяемые средства защиты.
Тестирование на проникновение позволяет:

    • Выявить наиболее уязвимые места в системе информационной безопасности;

    • Понять каким способом, и через какие уязвимости злоумышленник может проникнуть в информационную среду организации;

    • Оценить возможный ущерб;

    • Получить объективную оценку уровня системы информационной безопасности;

    • Устранить выявленные уязвимости в системе информационной безопасности.



    Тестирование на проникновение необходимо в следующих случаях:

      • Оценки существующей системы информационной безопасности;

      • Оценки защищенности ресурсов информационной системы;

      • Анализа возможного ущерба от действий злоумышленников;

      • Повышения грамотности персонала организации в области ИБ;

      • Оценки эффективности затраченных средств на систему ИБ.



      При выполнении тестирования на проникновения мы руководствуемся международными стандартами и методологиями, такими как:
      1. безопасность сайта National Institute of Standards Technology (NIST). безопасность веб сервера В стандарте рассматривается методика тестирования на проникновение сети: организация процесса, проведение оценки ИБ организации;
      2. Open Source Security Testing Methodology (OSSTMM). проверить безопасность В методологии описаны следующие области для тестирования: информационная безопасность, безопасность Web приложений, безопасность каналов связи;
      3. OWASP Testing Guide. безопасность www серверов Методология включает практику по проведению тестирования на проникновение Web приложений.
      Существует три основных метода проведения тестирования на проникновение:
      1.Метод черного ящика (black box) - тестирование, в котором тестировщик не знает ничего о тестируемой системе;
      2. Метод белого ящика (white box) - тестирование, в котором известна архитектура и состояние системы, есть доступ к исходным кодам, есть учетные записи в системе;
      3. безопасность серверов баз данных Метод серого ящика (grey box) - тестирование, в котором известны частичные данные о тестируемой системе.
      Этапы теста на проникновение:
      1. Согласование и утверждение с заказчиком метода тестирования и ответственности сторон;
      2. Сбор информации;
      3. проверка на взлом Определение периметра сети;
      4. проверка сайта на безопасность яндекс Сканирование портов;
      5. Определение типов и видов коммутационного оборудования;
      6. аудит безопасность Определение типов и видов операционных систем;
      7. Определение типов и видов периферийного оборудования;
      8. Анализ собранной информации;
      9. безопасность web сервера Определение векторов атаки;
      Отчет, предоставляемый Заказчику по результатам проведения тестирования на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации. безопасность linux сервера Также отчет содержит конкретные рекомендации по устранению данных уязвимостей.
      Перед проведением теста на проникновение, Исполнитель и Заказчик подписывают соглашение о неразглашении. Данный документ гарантирует конфиденциальность информации полученной в ходе теста на проникновение.

      Похожие статьи Pentest

      • Тестирование на проникновение

        Тестирование на проникновение – это имитация действий потенциального злоумышленника с целью оценки возможности несанкционированного доступа к...

      • Методика тестирования на проникновение

        Для выявления возможных рисков информационной безопасности и получения независимой оценки уровня защищенности информационной системы используются тесты...

      • Тестирование на проникновение (пентестинг)

        Услуга РНТ по проверке уровня защищенности корпоративной и ИТ-инфраструктуры методом тестирования на возможность проникновения ( пентестинг )...

      • Комплексный тест на проникновение

        Моделирование реальных действий взломщика на информационную систему с целью поиска уязвимостей , попыток обхода средств защиты , компрометации системы и...

      • Методика тестирования на проникновение

        Ежедневно в Интернет злоумышленниками осуществляются сотни - тысячи взломов веб-сайтов, серверов приложений и баз данных. безопасность серверов баз...