Тестирование на проникновение

ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ — это взлом ради защиты. Суть работы заключается в моделировании и выполнении действий потенциального злоумышленника. Перед началом тестирования на проникновение определяются цели взлома и модель нарушителя, согласно которой действуют наши специалисты.

Этапы подготовки к тестированию на проникновение

Определение цели для тестирования на проникновения

Целью может быть какое-либо нежелательное действие по отношению к системе, при этом представляющее интерес для злоумышленника. Наиболее лакомыми кусками являются сервисы, из которых легко извлечь материальную выгоду, например, связанные с переводом денег.

Выбор модели нарушителя

В качестве модели нарушителя может быть принята любая роль, с точки зрения которой имеет смысл взглянуть на защищенность объекта тестирования. Это может быть внешний анонимный пользователь, зашедший на сайт компании, её клиент, посетитель офиса, или недавно принятый на работу сотрудник, а может быть и системный администратор или менеджер среднего звена.

Выбор метода тестирования

Тестирование на проникновение может проводиться методом «черного», «серого» и «белого ящика», в зависимости от количества предоставляемой информации о системе. Этот фактор имеет существенное значение, поскольку тестирование выполняется в условиях ограниченного времени, которое в случае недостатка информации придется потратить на её сбор и анализ.

Методы тестирования

«Черный ящик»

Данный метод предполагает, что никакой информации о тестируемой системе не предоставляется, и специалист по тестированию на проникновение должен собрать все интересующие его сведения самостоятельно.

«Белый ящик»

Данный метод предусматривает передачу исполнителю всех значимых с точки зрения безопасности сведений о системе, которые он запросит. Речь идёт о таких вещах как схема сети, описание внутренней архитектуры системы, а также применяемых средств защиты.

«Серый ящик»

Данный метод является компромиссом между двумя упомянутыми ранее. В этом варианте заказчик передает экспертам заранее согласованный ограниченный набор сведений.

Соответствие международным стандартам

Тестирование на проникновение является обязательной проверкой защищенности по некоторым стандартам информационной безопасности. Например, требование 11.3 Стандарта безопасности данных индустрии платежных карт (PCI DSS) регламентирует его выполнение извне и изнутри платёжной информационной инфраструктуры на сетевом и прикладном уровне. Кроме того, тестирование на проникновение предусмотрено рекомендациями Банка России РС БР ИББС-2.6−2014 и Приказом ФСТЭК России No21.

Результат работы

Подробное описание выявленных уязвимостей

Рекомендации по устранению найденных уязвимостей

Описание составленных векторов атак вместе с достигнутыми результатами их реализации

Возможность проведения презентации для руководства компании