Защита мобильных устройств

Хакинг и тестирование на проникновение

оценку реального уровня

Тестирование на проникновение (аудит информационной безопасности)


Аудит информационной безопасности (тест на проникновение) позволяет Компании получить оценку реального уровня защищенности информационных активов в условиях современного состояния методов получения несанкционированного доступа к информационным активам, обрабатываемым в автоматизированных информационных сисх организаций. этичный хакинг Получение такой оценки обеспечивается путем моделирования атак потенциальных злоумышленников на выбранные информационные активы Компании.
Перечень информационных активов и векторы моделируемых атак определяются на первоначальном этапе проведения теста на проникновение и согласовываются с Компанией.
В качестве целевых для потенциального злоумышленника активов могут выступать как внутренняя корпоративная сеть Компании, так и конкретные информационные системы, в том числе содержащие критичные для Компании данные.
Тест на проникновение позволяет достаточно быстро оценить реальную защищенность выбранных информационных активов от несанкционированного доступа, моделируя наиболее распространенные атаки.
Основной отличительной особенностью теста на проникновение по сравнению с традиционным аудитом информационной безопасности являются:

    • обычно меньшая глубина охвата информационной инфраструктуры организации; большая детализация найденных уязвимостей;

    • более точная оценка рисков ИБ (основывается на результатах реализации найденных уязвимостей);

    • большая достоверность результатов аудита (по сравнению с классическими методами аудита, заполнение анкет, опрос сотрудников и т.д.);

    • оценка большего количества процессов ИБ, чем при инструментальном аудите, включая оценку процессов (например, управление инцидентами, мониторинг и т.д.), объективная оценка которых не может быть получена другими средствами (инструментальный аудит, анкетирование и интервьюирование и т.д.);

    • детальная проработка найденных уязвимостей, что позволяет получить более объективную оценку процессов обеспечения информационной безопасности организации.



    В настоящее время существует несколько международных методик проведения тестирования на проникновение, ориентированных в основном на моделирование атак, направленных на сетевую инфраструктуру организации:

      • Open Source Security Testing Methodology Manual (OSSTMM) пожалуй, единственная методика, которая акцентирует внимание не только на технических тестах, но и на атаках связанных с социальной инженерией и направленных на пользователей корпоративной сети.

      • NIST SP800-115 документ, хотя и не является методикой, но описывает общие аспекты проведения тестов на проникновение.

      • The Information Systems Security Assessment Framework (ISSAF) фреймворк (framework), ориентированный на инструментальный поиск уязвимостей.

      • PCI DSS (раздел 11.3 стандарта) согласно разделу 11.3 стандарта PCI DSS в организация, соответствующих стандарту, не реже раза в год должен проводиться тест на проникновение. облачные технологии и защита информации Для разъяснения данного раздела PCI DSS был выпущен документ Information Supplement Requirement 11.3 Penetration Testing в очень общих чертах описывающий последовательность проведения инструментальной проверки внешнего периметра сетевой инфраструктуры тестируемой компании (по сути, данная инструментальная проверка не является тестом на проникновение).



      ДиалогНаука, при проведении работ, использует собственную методику проведения тестов на проникновение, включающую в себя возможность моделирования не только технических атак на информационные ресурсы доступные из сети Интернет (широко применяемых в международных методологиях OSSTMM, ISSAF и PCI DSS), но и атаки, направление на пользователей корпоративных систем (социальная инженерия), беспроводные сети IEEE 802.11 (Wi-Fi), 802.15 (Bluetooth) и 802.16 (Wi-Max), переносные компьютеры и мобильные устройства, а так же атаки с использованием физического или логического доступа к компонентам корпоративной информационной системы.
      Перечень моделируемых атак может быть сформирован на этапе подготовки технического задания и дополнительно скорректирован в ходе проведения теста на проникновение.
      По проведении теста на проникновение разрабатывается отчет о тестировании, как правило, содержащий:

        • описание границ, в рамках которых был проведен тест на проникновение;

        • методы и средства, которые использовались в процессе проведения теста на проникновение;

        • описание выявленных уязвимостей и недостатков, включая уровень их риска и возможность их использования злоумышленником;

        • описание примененных сценариев проникновения;

        • описание достигнутых результатов;

        • базовую оценку рисков информационной безопасности Компании;

        • базовую оценку процессов обеспечения информационной безопасности Компании;

        • рекомендации по устранению выявленных уязвимостей и совершенствованию процессов обеспечения информационной безопасности Компании;

        • план работ по устранению найденных уязвимостей и совершенствованию процессов обеспечения информационной безопасности Компании, приоритизированный в соответствии с критичностью уязвимостей.



        Так же, для более наглядного представления результатов тестирования, для руководства Заказчика может быть проведена презентация.

        Похожие статьи Pentest

        • Хакинг и тестирование на проникновение

          Тестирование безопасности - это стратегия тестирования, используемая для проверки безопасности системы, а также для анализа рисков, связанных с...

        • Тест на проникновение от group fs

          PEN- тест или испытание проникновением — важнейший этап аудита безопасности информационных систем предприятия, который позволяет владельцам бизнеса быть...

        • Хакинг и тестирование на проникновение

          Тест проникновения или краткая форма pentest , является нападением на компьютерную систему с намерением найти слабые места безопасности, потенциально...

        • Хакинг и тестирование на проникновение

          Нас часто спрашивают: Как научиться взлому?. Ответ прост: так же, как и любому другому предмету. Сначала ты глубоко и вдумчиво изучаешь теорию, затем...

        • Тест на проникновение

          Тестирование на проникновение ( penetration testing , пентест) является одной из разновидностей аудита информационной безопасности и относится к...