Человеческий фактор

Тестирование на проникновение два похода

небольшая подсеть, расположенная между доверенной


Два метода оценки уязвимостей: взгляд снаружи и взгляд изнутри


Оценивая уязвимости снаружи, вы пытаетесь скомпрометировать ваши системы из внешнего мира. безопасность и человеческий фактор

Находясь вне своей компании, вы видите её глазами взломщика. Вы видите то, что видит он: маршрутизируемые во внешней сети IP-адреса, компьютеры в DMZ, внешние интерфейсы брандмауэра и т.п.

DMZ расшифровывается как DeMilitarized Zone (демилитаризованная зона), это может быть компьютер или небольшая подсеть, расположенная между доверенной внутренней подсетью, например, корпоративной закрытой сетью, и внешней недоверенной, например, открытым Интернетом. Обычно DMZ содержит устройства, открытые для Интернет-трафика, такие как HTTP-серверы (веб), FTP-серверы, SMTP-серверы (почтовые) и DNS-серверы.


Когда вы оцениваете уязвимости изнутри, вы получаете некоторые преимущества, так как вы внутри и пользуетесь большим доверием. Это точка зрения всех сотрудников, зарегистрировавшихся на своих компьютерах. поиск уязвимостей на сайте Вы видите серверы печати, файловые серверы, базы данных и другие ресурсы.


Оценки уязвимостей этих типов значительно отличаются друг от друга. Оказавшись внутри компании, вы получаете большие, чем снаружи, привилегии. Во многих организациях защита построена так, что доступ во внутреннюю сеть снаружи закрыт. безопасность www серверов

Для защиты ресурсов внутри самой сети делается очень немного (брандмауэры разных отделов, управление доступом на уровне пользователей, проверка подлинности для внутренних ресурсов и т.д.). Обычно при взгляде изнутри видно гораздо больше ресурсов, так как большинство систем предназначено для внутреннего использования. pentest тестирование на проникновение Оказавшись снаружи компании, вы попадаете в категорию недоверенных пользователей.

Системы и ресурсы, доступные вам снаружи, обычно куда более ограниченные.
Обратите внимание на разницу между оценками уязвимостей и тестами на проникновение. Оценка уязвимостей это первый этап теста на возможность проникновения. проверка на sql уязвимость Свдения, тщательно собранные при оценке, используются для тестирования.

Тогда как оценка выявляет дыры и возможные уязвимости, тестирование на проникновение пытается действительно ими воспользоваться.
Оценка сетевой инфраструктуры это динамический процесс. проверка сайта на взлом Безопасность, и информационная, и физическая не постоянна. Проводя оценку, вы можете получить ошибочные сообщения о несуществующих уязвимостях и не узнать о реально присутствующих.


Администраторы безопасности хороши настолько, насколько хороши их знания и используемые ими инструменты. безопасность серверов баз данных Возьмите любой доступный инструмент проведения оценки, нацельте его на вашу систему, и почти наверняка вы получите несколько ложных срабатываний.

Кто бы ни был виноват, программа или пользователь, результат не меняется. Этот инструмент может находить уязвимости, не существующие на самом деле; или, что ещё хуже, не находить реальных уязвимостей.


Теперь, когда разница между оценкой уязвимосетй и тестом на проникновение ясна, возьмите результаты оценки и тщательно их проанализируйте, прежде чем проводить в рамках вашего нового рекомендованного подхода тест на проникновение.

Похожие статьи Pentest

информационная безопасность