Всем кому пришлось столкнуться с проблемами безопасности своих ресурсов, в первую очередь корпоративной сети либо веб-приложений, но они не имеют четкого представления о том, как это тестирование осуществляется на практике.
В каких случаях может понадобиться тестирование безопасности?
Вариантов, разумеется, может быть множество, вот лишь некоторые из них:
Под важными данными здесь подразумевается любая имеющая ценность информация персональные данные пользователей, данные платежных карт, счета компании и т. д. Даже если веб-приложение не хранит и не обрабатывает никаких важных данных, нельзя списывать со счетов репутационные потери.
Очевидно, что если сайт взломают и вместо логотипа компании на главной странице разместят лого конкурента, положительно это на бизнесе явно не скажется.
Итак, при всем осознании важности проведения тестов безопасности, что же делать дальше?
Как определить, какой именно вид тестов безопасности вам нужен? Здорово, если есть требования к проверке безопасности системы, сформулированные, к примеру, внешним аудитором. В таком случае определить перечень работ по тестированию достаточно просто.
А что делать, если требований к безопасности нет, а необходимость ее проверки есть? Часто люди приходят в компании, оказывающие услуги по тестированию, со следующим запросом: У меня есть сайт/сеть, хочу протестировать безопасность!
Далее специалисты начинают уточнять детали запроса, что иногда занимает несколько дней. сетевой сканер безопасности xspider. Гораздо проще изначально сформулировать детальный запрос, тем самым сэкономив ценное время.
О том, как можно детализировать свои нужды в тестировании безопасности, поговорим далее.
Обычно определить необходимый вид теста безопасности можно по нескольким критериям:
Цель тестирования на проникновение понятна уже из самого названия. Здесь задача тестировщиков попытаться проникнуть во внутреннюю инфраструктуру веб-приложения, получить контроль над внутренними серверами либо обрести доступ к важной информации.
При этом тестировщики симулируют возможные действия реальных хакеров. Найденные в ходе тестирования дефекты, равно как и сами методы тестирования, роли не играют.
Результат такого теста заключается либо в получении несанкционированного доступа, либо в констатации того факта, что при текущем состоянии системы такой доступ получить не удалось. проверить настройки безопасности Тестирование на проникновение требует меньше времени по сравнению с оценкой защищенности, и оно способно выявить, насколько эффективны ваши меры по защите от внешних угроз.
Таким образом, если главное выяснить велика ли опасность реального взлома злоумышленниками, то тестирование на проникновение это ваш вариант.
В свою очередь, оценка защищенности подразумевает наиболее полную и обширную проверку системы.
Ее основная цель не получение доступа, а выявление недостатков конфигурации и уязвимостей, которые потенциально могут привести к получению несанкционированного доступа либо к компрометации пользователей системы. Все найденные в ходе оценки защищенности дефекты ранжируются согласно уровню их риска и степени влияния на безопасность всей системы. Эксплуатация найденных уязвимостей обычно не осуществляется либо проводится по согласованию сторон.
Оценка защищенности довольно затратна по времени, и зачастую она проводится только по требованиям различных отраслевых стандартов.
Рассмотрим небольшой практический пример, наглядно показывающий отличие тестирования на проникновение от оценки защищенности.
Предположим, что в ходе тестирования был обнаружен дефект, который заключается в отсутствии у куки-файла с идентификатором пользовательской сессии флага безопасности HttpOnly. Отсутствие этого флага позволяет украсть куку пользователя при помощи атаки методом межсайтового скриптинга.
В контексте оценки защищенности это несомненно дефект, и он должен быть описан в итоговом отчете. проверка безопасности сервера При проведении же тестирования на проникновение этот дефект будет учитываться только в том случае, если при помощи него и в совокупности с другим дефектом тестировщику удалось получить доступ к аккаунту легитимного пользователя. В противном случае такой дефект в отчете не упоминается.
Следующий критерий выбора вида теста безопасности предоставляемые аудиторам данные о системе. В зависимости от того, какой информацией обладают тестировщики перед началом тестов, возможны три варианта:
Последний критерий точка входа в систему. Этот критерий учитывается только при проведении тестирования на проникновение на уровне локальной сети. Здесь может быть два варианта:
Итак, рассмотрены основные критерии выбора вида тестирования безопасности.
Комбинирование этих критериев поможет более точно выразить потребности при составлении запроса на тестирование. Eсли важно протестировать систему тщательно, можно выбрать комбинацию оценки защищенности и тестирования на проникновение методом белого ящика.
Если же имеются жесткие ограничения по времени либо финансам, то наиболее рациональным решением будет тестирование на проникновение методом черного ящика.
Аудит информационной безопасности сетевой инфраструктуры предприятия
Аудит информационной безопасности сетевой инфраструктуры предприятия приоритетное направление деятельности нашей компании
Хакинг и тестирование на проникновение
IDS/IPS — системы обнаружения и предотвращения вторжений и хакерских атак Сегодня системы обнаружения и предотвращения вторжений IDS/IPS
Тестирование на проникновение (если оно необходимо в рамках проекта, например, для доказательства актуальности отдельных угроз)
Тестирование на проникновение — метод оценки безопасности компьютерных систем или сетей
Хакинг и тестирование на проникновение
В наше время Интернет начал развиваться настолько бурными темпами, проник во все сферы нашей жизнедеятельности: личная жизнь, учёба, покупки, бизнес