Перейти на главную
Мы в:
В контакте Одноклассники Facebook Twitter
8(383)255-32-55
ГРУППЫ КОМПАНИЙ
hak1.png

Тестирование веб сайтов на уязвимости

Тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест) является популярной во всем мире услугой в области информационной безопасности. Суть таких работ заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования аудитор играет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика.

Цель любого тестирования на проникновение, состоит не в демонстрации возможности осуществления успешной атаки (взломать можно все что угодно), а в использовании результатов подобных работ для совершенствования системы управления информационной безопасностью (далее - СУИБ). Как правило, интенсивной проверке подвергаются технические средства защиты корпоративной сети, но в зависимости от поставленных условий, могут оцениваться и другие аспекты безопасности, например - уровень осведомленности пользователей.
Тестирование на проникновение может проводиться как в составе аудита на соответствие стандартам, так и в виде самостоятельной работы. Так, например, при аудите на соответствие стандарту ISO 17799 элементы pentest могут использоваться для оценки эффективности реализации таких защитных механизмов, как "Защита от вредоносного кода" (10.4), "Сетевая безопасность" (10.6) и т.д.

Тесты могут проводиться с двумя основными целями: обоснование необходимости проведения работ по повышению защищенности или получение независимой оценки уровня безопасности информационной системы.
В первом случае работы проводятся с целью продемонстрировать высшему руководству недостатки существующей системы управления информационной безопасности. Поскольку, по сравнению с другими работами в области ИБ тестирование на проникновение является достаточно недорогим видом услуг, зачастую можно провести его за счет бюджета подразделения.
Во втором случае работы проводятся либо после внедрения комплекса средств защиты, либо перед переводом какой-либо системы в промышленную эксплуатацию. В этом случае результаты тестирования позволяют реально оценить остаточные риски, а возможно и обнаружить скрытые недостатки в системе. Типичными примерами подобных работ является тест с использованием социальной инженерии после проведения цикла работ по повышению осведомленности пользователей или "взлом" нового WEB-интерфейса системы клиент-банк перед вводом её в промышленную эксплуатацию. В такой ситуации тест на проникновение является своеобразными "учениями в обстановке максимально приближенной к боевой", или, если хотите - госприемкой.

При планировании тестирования на проникновение необходимо определить границы и режим проведения теста. Работы могут проводиться с уведомление персонала (системных и сетевых администраторов) либо без него.

Если пользователи и администраторы не знают о готовящемся "взломе", руководство получат возможность оценить эффективность используемых механизмов обнаружения и расследования компьютерных инцидентов и повышения осведомленности в области ИБ. С другой стороны, "скрытый" тест повышает вероятность возникновения отказа в результате ошибки эксперта либо совсем уж некорректной настройки серверов и сетевого оборудования. Поэтому часто тесты на преодоление периметра сетевой безопасности разбиваются на две фазы: внешнюю и внутреннюю. На первом этапе аудиторы работают с минимальными знаниями о системе, и их целью является "пробить" периметр, например, установив вредоносное программное обеспечение на рабочую станцию внутреннего пользователя. После успешного выполнения этой задачи они переходят к оценке защищенности сети со стороны внутреннего злоумышленника, уже координируя свои действия с администраторами системы.

Яндекс.Метрика