Тест на проникновение, определяющий безопасность системы, является хорошей возможностью посмотреть на нее глазами хакера и совершить попытку взлома техническим путем, используя найденные уязвимые места, и с помощью социальной инженерии.
Такой анализ уязвимостей позволяет убедиться в правильной настройки оборудования и понимании Вашими сотрудниками целей и задач ИБ, и то, как сеть могут атаковать в случае разглашения конфиденциальных данных.
Тест на проникновения (пентест) определяет уязвимые места системы, обеспечивающей безопасность информации.
Решаемые задачи информационной безопасности
С помощью теста на проникновение можно решить целый комплекс задач:
получение независимой и актуальной оценки текущего состояния информационной защищенности систем;
определение последующих шагов, повышающих уровень безопасности.
В ходе анализа защищенности рекомендуется проводить следующие действия:
внутренний тест на проникновение:
возможность получения учетных записей, паролей администраторов и обычных пользователей при помощи перехвата сетевого трафика;
сбор сведений и доступных ресурсах из сегмента пользователей сети (операционных системах, приложениях, сетевых сервисах), определение мест, где могут храниться и обрабатываться критичные данные;
установление уязвимостей ресурсов, приводящие к осуществлению несанкционированного на них воздействия;
разработка направлений и методов атак получения несанкционированного доступа к критичным данным;
попытки получения несанкционированного доступа к базам данных, серверам, компьютерам с использованием уязвимых мест программного обеспечения, некорректных настроек сетевого оборудования.
внешняя оценка защищенности:
сбор и анализ доступной для всех информации о компании, осуществляемый через поисковые системы, регистрационные базы данных и других общедоступных источников;
сбор сведений о доступных ресурсах из сетей общего доступа;
обнаружение мест для хранения и обработки критичных данных, которые доступны извне;
сбор доступной публичной информации о сотрудниках Заказчика: их электронные адреса, история посещения веб-сайтов, социальных сетей, форумов, личная информация;
обнаружение уязвимостей в веб-приложениях, использование которых приводит к возможности доступа неавторизированных пользователей к критичным данным;
определение уязвимостей сетевого внешнего периметра, использование которых может вызвать компрометацию ресурса либо употребляется для получения несанкционированного доступа к критичным данным;
разработка направлений и методов проникновения.
Результаты работ по оценке защищенности
В качестве результата проведенных работ предоставляется подробный отчет об уязвимостях системы информационной безопасности и ряд рекомендаций по повышению уровня защиты информации.
Примером успешной команды пентестеров в Украине можно назвать компанию Improvement Service - http://improvement-service.com/
Если вы обнаружили ошибку на этой странице, выделите ее и нажмите Ctrl+Enter.
