Человеческий фактор

Человеческий фактор и инструктаж исполнителя

получение доказательств

Человеческий фактор и необходимость пентеста


Тестирование на проникновение (если оно необходимо в рамках проекта, например, для доказательства актуальности отдельных угроз) предлагаем проводить с позиции либо внутреннего злоумышленника (диспетчера), либо с позиции внешнего нарушителя, имеющего доступ к коммутатору внутренней сети, либо с позиции внешнего нарушителя. проверка на sql уязвимость

При этом производится весь стек действий потенциального нарушителя, начиная от сканирования сети, заканчивая непосредственным получением доступа к некоторым управляющим элементам системы. сканирование сайта на уязвимости С позиции внешнего нарушителя план действий может выглядеть следующим образом:

  • анализ возможности получения доступа по беспроводным каналам связи, каналам связи, выходящим за пределы контролируемой зоны, через публичные сети (например, для получения доступа через MES систему);
  • определение управляющих элементов инфраструктуры;
  • получение доказательств доступа к необходимым элементам инфраструктуры.
  • Дальнейшие шаги злоумышленника не рассматриваются тестирование на проникновение в индустриальную зону проводить не рекомендуется. поиск уязвимостей на сайте
  • На основе результатов работ возможно получить картину реальной защищенности АС возможностей обнаружения действий злоумышленника) и создать план по закрытию уязвимостей и укреплению защиты.

Для проведения тестирования на проникновение мы используем следующие методологии:

    • Open Source Security Testing Methodology Manual (OSTMM)

    • NIST Special Publication 800-115

    • Penetration Testing Execution Standard (PTES)

    • OWASP Testing Guide

    • СТО БР ИББС-1.0-2014


    Похожие статьи Pentest