Задачи теста на проникновение
Сегодня, когда защита информационных ресурсов компании является необходимым требованием бизнеса, появившаяся несколько лет назад на российском рынке услуга «тест на проникновение» позволяет получить объективную оценку того, насколько легко осуществить несанкционированный доступ к ресурсам корпоративной сети и сайта вашей компании, каким способом и через какие уязвимости. Тест на проникновение представляет собой частичное моделирование действий злоумышленника по проникновению в вашу информационную систему. Таким образом, проводимые работы позволяют обнаружить уязвимости в сети и, если это возможно, осуществить показательное проникновение, реализовав найденные уязвимости.
Как проводится тест на проникновение
Этап 1. Утверждение с заказчиком режима тестирования
Режим тестирования – уровень информированности исполнителя о тестируемой системе и уровень информированности Заказчика о проведении теста на проникновение. В случае если о факте проведения теста на проникновения не знает никто кроме руководителей службы информационной безопасности, при этом стоит задача полностью имитировать действия злоумышленника, действуя максимально незаметно, не оставляя следов, удается проверить не только защищенность информационной системы, но и уровень оперативной готовности специалистов служб ИБ и ИТ. В случае если специалисты служб ИБ и ИТ проинформированы о проведении теста на проникновение, основная задача – обнаружить возможные уязвимости и оценить возможность проникновения в систему.
Этап 2. Подписание договора
В договоре отражаются все утвержденные условия работ, условия конфиденциальности информации, полученной в ходе тестирования, и ответственность сторон.
Этап 3. Выполнение теста на проникновение
Тест на проникновение в информационную систему Заказчика занимает не менее месяца работы команды аудиторов в области информационной безопасности. Инструментальные средства (сканеры) используются лишь на этапе подготовки к проведению теста на проникновение, так как инструментальные средства помогают только в тривиальных случаях, когда уязвимости очевидны. В рамках теста на проникновение аудиторы проводят полный анализ всех деталей исследуемого объекта, выбирают подходящие сценарии атак с учетом человеческого фактора, возможно, разрабатывают уникальное для каждого конкретного случая программное обеспечение для попытки проникновения в информационную систему.
Объектами тестирования, как правило, являются корпоративная сеть по внешнему периметру IP-адресов и/или сайт. Помимо технологических проверок в процессе внешнего теста на проникновение проводится тестирование возможности проникновения в информационную систему с использованием методик социальной инженерии путем почтовой рассылки на адреса электронной почты пользователей специализированно сформированного сообщения. Рассылка осуществляется по заранее согласованному с Заказчиком фиксированному списку адресов электронной почты сотрудников и в заранее оговоренное время. Функциональные возможности программы строго ограничены алгоритмом, безопасным для информационной системы Заказчика.
Что вы получаете в результате тестирования на проникновение
Отчет, предоставляемый Заказчику по результатам проведения тестирования на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации. Также отчет содержит конкретные рекомендации по устранению данных уязвимостей.
Почему Digital Security
Кроме большого практического опыта выполнения проектов по анализу
защищенности информационных систем, специалисты Digital Security используют в своей
работе результаты исследований DSec Research Group (DSecRG), исследовательского
центра Digital Security. Основная задача DSecRG - исследование
уязвимостей различных приложений и систем. Благодаря этому, в процессе
выполнения проектов обеспечивается более глубокий анализ защищенности, а разрабатываемые
рекомендации по закрытию уязвимостей становятся более эффективными.
Статьи по теме:
Показательное проникновение
Примеры выполненных работ:
Компания Digital Security завершила проект по аудиту информационной безопасности ОАО АКБ "РОСБАНК"
Компания Digital Security и банк «Северная казна» объявляют об успешном завершении работ
Форма заказа:
наверх
