Защита облачных технологий

Скакой целью проводится тест на проникновение? Всвязи с требованиями аудита или стандарта

Мы можем

Скакой целью проводится тест на проникновение? Всвязи с требованиями аудита или стандарта


ОБЩАЯ ИНФОРМАЦИЯ
Defence Group придерживается методологии тестирования проникновения OSSTMM и кодекса этики CEH. сайты с уязвимостью sql Все аналитики (тестировщики на проникновение) имеют соответствующую квалификацию и сертификаты. проверить безопасность Существуют различные методы тестирования на проникновение (пентеста), с предоставлением исходного кода (white box) или без предоставления исходного кода (black box), включая социальную инженерию или нет; какие сегменты сети тестировать, симулировать агрессивно хакерское вторжение (эксплуатировать найденные уязвимости) или остановиться на обозначение уязвимостей и потенциальных векторах атак и многое другое. безопасность серверов баз данных Этот выбор зависит от Вас (заказчика), желательно после консультации с нами (исполнителем).
Данный опросный лист поможет нам определить Техническое Задание и требуемый объем работ. безопасность веб сервера После проведения работ по тестированию на проникновение и исправлению описанных нами уязвимостей в системе, мы предлагаем провести совместную ревизию корпоративной политики ИБ или ее создание, и затем провести необходимую интеграцию систем безопасности.
Законы РФ обязуют Defence Group получить письменное разрешение от владельца интернет ресурса или корпоративной сети на проведение данных работ. безопасность web сервера Пожалуйста, заполните и подпишите Приложение А к данному опросному листу.
ВОПРОСЫ ЗАКАЗЧИКУ
С какой целью проводится тест на проникновение?
В связи с требованиями аудита или стандарта;
С целью выявления всех слабых мест ресурсов компании.
Вы хотите провести black box тест или white box тест?
В случае white box, нам предоставляется полная информация о тестируемой системе. проверка на sql уязвимость Тестирование white box дольше и дороже, но позволяет выявить максимальное количество уязвимостей;
В случае black box, предоставляется только та информация, которую может получить атакующий из публичных источников. В данном случае максимально имитируются действия хакера.
Перечислите узлы тестирования имя домена, IP адреса, включая субдомены.
Проводились ли аудиты безопасности раннее?
Были ли какие то серьезные инциденты связанные с информационной безопасностью ?
Есть ли у вас выделенный бюджет на аудит информационной безопасности?
1. Существует ли политика информационной безопасности предприятия? Мы можем с ней ознакомиться либо до, либо после проведения теста на проникновение по желанию заказчика.
ВОПРОСЫ ЗАКАЗЧИКУ
Нужно ли тестировать дополнительно обнаруженные субдомены?
Нужно ли установить все имеющиеся интернет ресурсы компании (например, reverse domain lookup) и тестировать их также?
Каковы цели данного тестирования?
Выявить все существующие уязвимости;
Продемонстрировать, что уязвимости существуют;
Проверить реакцию на инцидент вторжения персонала компании;
Фактически эксплуатировать уязвимости сети, системы и приложений.
Получить доступ к конфиденциальным данным компании;
Все выше перечисленное.
Что является целью теста на проникновение?
Другие цели (пожалуйста, объясните).
Если требуется тестирование веб приложений, может ли заказчик предоставить тестовую, не административную учетную запись?
ВОПРОСЫ ЗАКАЗЧИКУ
Хотите ли вы провести дополнительные тесты?
Тест на физическую безопасность тестирование на преодоление систем физического контроля (доступ в корпоративные помещения, воздействия на системы доступа, сейфы, двери, считыватели карт персонала, воздействие на системы CCTV видео наблюдения);
Тест с применением социальной инженерии (проверка осведомленности и устойчивости персонала компании к психологическому воздействию);
DDOS стресс тест (проверка устойчивости нагрузки на интернет сервисы компании);
Требуется ли тестирование точек беспроводного интернет доступа сети заказчика (рекомендуется, требует установки оборудования исполнителя в непосредственной близости с беспроводной точкой заказчика, сроки 1 неделя);
Другие услуги (расследование инцидентов, информация о сотрудниках и т.д.).
Какого придерживаться протокола для оповещения о найденных уязвимостях?
Информировать по мере нахождения уязвимостей;
Указать все уязвимости в заключительном отчете.
1. Будут ли проводиться испытания на рабочих ресурсах?
Заказчик должен понимать, что при определенных тестах, например DDOS стресс нагрузка, возможно отключение ресурсов либо их временная недоступность. Просим указать, если требуется воздержаться от таких методов тестирования. поиск уязвимостей на сайте Defence Group не несет ответственности за временную недоступность систем в результате тестирования.
ВОПРОСЫ ЗАКАЗЧИКУ
Информированы ли о тестировании владельцы бизнеса?
Осознают ли владельцы бизнеса, что имитация атаки предназначена для выявления слабых мест в сисх заказчика?
Если ваш ресурс находится на серверах третьего лица, информированы ли его представители о проведение испытаний?
Есть ли какие то пожелания по срокам тестирования? Как показывает практика, наиболее эффективный результат достигается в течение двух недель в случае тестирования одного узла по black box методологии.

Похожие статьи Pentest