Company of Informational Security

ул. Даниила Щербаковского 45А, г.Киев, 04111, Украина

Мы предлагаем технологии завтрашнего дня. Будь на шаг впереди!

Penetration testing. Тестирование на проникновение

Многие организации полагают, что их данные надежно защищены и “взломать” их существующую систему информационной безопасности — это нереальная задача. Мы постараемся убедить вас в обратном, организовав тест на проникновение - penetration testing. 

Тест на проникновение - Penetration test является оптимальным способом оценки защищенности информационной системы с помощью симуляций направленных атак. Penetration test позволит оценить защищенность информационной системы от несанкционированного воздействия, используя различные модели вторжений. Основной целью теста является выявить основные уязвимости, наиболее удачные модели атак и возможный размер нанесенного ущерба.

Объекты тестирования

Тестирование на проникновение позволяет проверить веб-серверы, DNS-серверы, настройки маршрутизаторов, проанализировать уязвимости рабочих станций, проверить возможность доступа к критичной информации, проверить системы удаленного доступа, открытые порты, свойства доступных служб и все остальное, чем может воспользоваться реальный злоумышленник, чтобы получить несанкционированный доступ к защищаемым информационным активам организации.

Penetration testing можно представить следующей схемой:

webpentest.jpg

Методика

В зависимости поставленной цели и задач, тест на проникновение в информационную систему согласно OSSTMM может проводиться в 6 формах: Blind, Double Blind, Gray Box, Double Gray, Tandem, Reversal.

penetration.gif

Эти шесть типов тестирования выделяются в зависимости от объема информации, которая имеется у компании-заказчика и исполнителя тестирования о своем «противнике» и его дальнейших действиях.

Максимально приближенным к реальным хакерским атакам является тестирование Double Blind (обе стороны обладают минимальной или нулевой информацией о противнике и его действиях). Данные о тестируемом объекте будут собираться при помощи общедоступных источников. Данный вид тестирования является наиболее затратным и лучше всего демонстрирует реальное состояние системы безопасности предприятия.

Остальные типы тестирования являются аналогами атак на информационную инфраструктуру предприятия: попытка промышленного шпионажа, инсайдерская атака, атака уволенного сотрудника, атака с использованием непреднамеренной утечки информации.

Стандарты

При проведении анализа защищенности используются персональные разработки наших специалистов и общепризнанные стандарты и руководства по обеспечению информационной безопасности, такие как:

  • Open Source Security Testing Methodology Manual (OSSTMM);
  • Penetration Testing Execution Standard (PTES);
  • Information Systems Security Assessment Framework (ISSAF);
  • British Standards Institution (BSI) Penetration Testing Model;
  • Web Application Security Consortium (WASC) Threat Classification;
  • Open Web Application Security Project (OWASP) Testing Guide.

Отчет

По результатам тестирования на проникновение формируется отчет, описывающий выявленные уязвимости и степень их критичности, а также рекомендации по их исправлению. Этот отчет предоставляется ответственным лицам в организации и руководству. На основании отчета принимаются контрмеры по закрытию выявленных уязвимостей.

Проведение тестов на проникновение  позволяет проверить уровень защищенности систем и уровень зрелости СУИБ организации.


Возврат к списку