Тестирование на проникновение - метод оценки безопасности компьютерных систем или сетей, направленный на получение объективной оценки уровня информационной безопасности, а именно обнаружение уязвимостей и слабых мест.
Тест на проникновение позволяет понять эффективны ли применяемые средства защиты.
Тестирование на проникновение позволяет:
- Выявить наиболее уязвимые места в системе информационной безопасности
- Понять каким способом, и через какие уязвимости злоумышленник может проникнуть в информационную среду организации
- Оценить возможный ущерб
- Получить объективную оценку уровня системы информационной безопасности
- Устранить выявленные уязвимости в системе информационной безопасности.
Тестирование на проникновение необходимо в следующих случаях:
- Оценки существующей системы информационной безопасности
- Оценки защищенности ресурсов информационной системы
- Анализа возможного ущерба от действий злоумышленников
- Повышения грамотности персонала организации в области ИБ
- Оценки эффективности затраченных средств на систему ИБ.
Международные стандарты перехвата сеанса:
1. National Institute of Standards Technology (NIST). безопасность веб сервера В стандарте рассматривается методика тестирования на проникновение сети: организация процесса, проведение оценки ИБ организации
2. Open Source Security Testing Methodology (OSSTMM). проверить безопасность В методологии описаны следующие области для тестирования: информационная безопасность, безопасность Web приложений, безопасность каналов связи
3. OWASP Testing Guide. безопасность www серверов Методология включает практику по проведению тестирования на проникновение Web приложений
Три основных метода проведения тестирования на проникновение:
1.Метод черного ящика (black box) - тестирование, в котором тестировщик не знает ничего о тестируемой системе
2. Метод белого ящика (white box) - тестирование, в котором известна архитектура и состояние системы, есть доступ к исходным кодам, есть учетные записи в системе
3. безопасность серверов баз данных Метод серого ящика (grey box) - тестирование, в котором известны частичные данные о тестируемой системе.
Этапы теста на проникновение:
1. Согласование и утверждение с заказчиком метода тестирования и ответственности сторон
2. Сбор информации
3. Определение периметра сети
4. Сканирование портов и перехват сеанса
5. Определение типов и видов коммутационного оборудования
6. Определение типов и видов операционных систем
7. Определение типов и видов периферийного оборудования
8. Анализ собранной информации
9. Определение векторов атаки
Отчет, предоставляемый Заказчику по результатам проведения тестирования на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации.
Отчет содержит конкретные рекомендации по устранению данных уязвимостей.
Перед проведением теста на проникновение, Исполнитель и Заказчик подписывают соглашение о неразглашении. Данный документ гарантирует конфиденциальность информации полученной в ходе теста на проникновение.
Похожие статьи Pentest
-
Тестирование на проникновение – это имитация действий потенциального злоумышленника с целью оценки возможности несанкционированного доступа к...
-
Методика тестирования на проникновение
Для выявления возможных рисков информационной безопасности и получения независимой оценки уровня защищенности информационной системы используются тесты...
-
Тестирование на проникновение (пентестинг)
Услуга РНТ по проверке уровня защищенности корпоративной и ИТ-инфраструктуры методом тестирования на возможность проникновения ( пентестинг )...
-
Комплексный тест на проникновение
Моделирование реальных действий взломщика на информационную систему с целью поиска уязвимостей , попыток обхода средств защиты , компрометации системы и...
-
Методика тестирования на проникновение
Ежедневно в Интернет злоумышленниками осуществляются сотни - тысячи взломов веб-сайтов, серверов приложений и баз данных. безопасность серверов баз...