Тестирование на проникновение

ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ — это взлом ради защиты. Суть работы заключается в моделировании и выполнении действий потенциального злоумышленника. Перед началом тестирования на проникновение определяются цели взлома и модель нарушителя, согласно которой действуют наши специалисты.
Этапы подготовки к тестированию на проникновение
1
Определение цели для тестирования на проникновения
Целью может быть какое-либо нежелательное действие по отношению к системе, при этом представляющее интерес для злоумышленника. Наиболее лакомыми кусками являются сервисы, из которых легко извлечь материальную выгоду, например, связанные с переводом денег.
2
Выбор модели нарушителя
В качестве модели нарушителя может быть принята любая роль, с точки зрения которой имеет смысл взглянуть на защищенность объекта тестирования. Это может быть внешний анонимный пользователь, зашедший на сайт компании, её клиент, посетитель офиса, или недавно принятый на работу сотрудник, а может быть и системный администратор или менеджер среднего звена.
3
Выбор метода тестирования
Тестирование на проникновение может проводиться методом «черного», «серого» и «белого ящика», в зависимости от количества предоставляемой информации о системе. Этот фактор имеет существенное значение, поскольку тестирование выполняется в условиях ограниченного времени, которое в случае недостатка информации придется потратить на её сбор и анализ.
Методы тестирования
«Черный ящик»
Данный метод предполагает, что никакой информации о тестируемой системе не предоставляется, и специалист по тестированию на проникновение должен собрать все интересующие его сведения самостоятельно.
«Белый ящик»
Данный метод предусматривает передачу исполнителю всех значимых с точки зрения безопасности сведений о системе, которые он запросит. Речь идёт о таких вещах как схема сети, описание внутренней архитектуры системы, а также применяемых средств защиты.
«Серый ящик»
Данный метод является компромиссом между двумя упомянутыми ранее. В этом варианте заказчик передает экспертам заранее согласованный ограниченный набор сведений.
Соответствие международным стандартам
Тестирование на проникновение является обязательной проверкой защищенности по некоторым стандартам информационной безопасности. Например, требование 11.3 Стандарта безопасности данных индустрии платежных карт (PCI DSS) регламентирует его выполнение извне и изнутри платёжной информационной инфраструктуры на сетевом и прикладном уровне. Кроме того, тестирование на проникновение предусмотрено рекомендациями Банка России РС БР ИББС-2.6−2014 и Приказом ФСТЭК России No21.
Результат работы
Подробное описание выявленных уязвимостей
Рекомендации по устранению найденных уязвимостей
Описание составленных векторов атак вместе с достигнутыми результатами их реализации
Возможность проведения презентации для руководства компании