Тестирование на проникновение
Оценка возможности проникновения и получения несанкционированного доступа к информации и активам компании, административного доступа к инфраструктуре с внешнего или внутреннего контура.
Проведение работ по тестированию на проникновение позволяет выявить возможности реализации таких угроз как:
- Получение полного или частичного доступа к инфраструктуре приложения
- Получение несанкционированного доступа к чувствительным данным, хранящимся на сервере
- Получение несанкционированного доступа к персональным данным пользователей
- Перехват и модификация клиентских данных, передающихся между клиентом и сервером
Виды тестирования на проникновение
Внешнее тестирование на проникновение – оценка уровня защищенности ИТ-инфраструктуры от возможных атак злоумышленника из сети Интернет.
Внутреннее тестирование на проникновение – оценка уровня защищенности ИТ-инфраструктуры от возможных атак инсайдера.
Методы тестирования
Черный ящик – не предоставляются учетные данные и информация о тестируемой среде
Серый ящик – предоставляются необходимые для анализа права в тестируемой среде, а также некоторые сведения о ее реализации
- Рекогносцировка и сбор информации о сети
- Сканирование с помощью сканеров безопасности
- Ручной поиск уязвимостей и ошибок, способных привести к компрометации активов
- Верификация и анализ выявленных уязвимостей
- Эксплуатация выявленных уязвимостей
- Пост-эксплуатация и закрепление в системе
- Повышение привилегий
- Оценка рисков и угроз информационной безопасности
- Составление отчета
Методики проведения работ
-
01
Open Web Application Security Project (OWASP)
-
02
Web Application Security Consortium (WASC)
-
03
Open Source Security Testing Methodology Manual (OSSTMM)
-
04
EC-Council LPT
-
05
Penetration Testing Execution Standard (PTES)
Результаты
-
Практическая демонстрация проникновения и достижения целей
-
Повышение уровня защищенности ИТ-инфраструктуры
-
Отчет с описанием выявленных уязвимостей, сценариев эксплуатации и рекомендации по устранению каждой уязвимости и повышению уровня безопасности в целом
-
Отчет для высшего руководства с рекомендациями и описанием возможных бизнес рисков