Безопасность инфраструктуры

Подробнее

Безопасность приложений

Подробнее

Безопасность процессов

Подробнее

Тестирование на проникновение

Тестирование на проникновение – вид аудита, при котором проверяющим производится имитация действий злоумышленника ("хакера"). Цель ­– обнаружение уязвимостей и наиболее вероятных путей проникновения, которые могут быть использованы для получения доступа к ресурсам и данным организации. Такое тестирование позволяет рассматривать различные модели нарушителя, в том числе с точки зрения квалификации и связи с компанией. Обычно выделяют внешнее, внутреннее и социотехническое тестирования, которые проводятся в комплексе, либо отдельно или в различных сочетаниях.

  • Внешнее тестирование
    Внешний тест на проникновение проводится с целью моделирования действий внешнего по отношению к организации злоумышленника, который действует через интернет или через другие внешние, неконтролируемые сети (например, выделенные соединения с другими организациями). Чаще всего проводится методом «черного ящика» («black box»), когда предполагается, что проверяющий имитирует действия злоумышленника, который не владеет никакой информацией о компании, кроме публичной (изначально не имеет доступа к "закрытым" сервисам и во внутреннюю сеть организации). Другие модели могут учитывать, что внешний злоумышленник обладает частичной («серый ящик» / «gray box», например – пользователь интернет-сервиса или подрядчик) или полной («белый ящик» / «white box», например – бывший сотрудник ИТ-подразделения компании) информацией.
  • Внутреннее тестирование
    Внутренний тест на проникновение проводится с целью моделирования действий внутреннего по отношению к организации злоумышленника (действует изнутри, имеет доступ в сеть организации). Наиболее часто проверяется модель непривилегированного сотрудника (инсайдер), реже - модели «гость» (не имеет учетных записей в системах), «администратор» (имеет привилегированный доступ). Внешние и внутренние тестирования на проникновения направлены на выявление уязвимостей в сетевых сервисах, операционных системах, системах управления базами данных, программном обеспечении и других компонентов.
  • Социотехническое тестирование
    Как бы ни был высок технический уровень защищенности организации, одним из слабых мест в общей системе защиты является человек. Злоумышленник может заставить сотрудника, имеющего легитимный доступ к системе и данным, выполнить определенные действия с использованием техник социальной инженерии, которые приведут к возможности организации такого доступа для злоумышленника.
  • Наиболее частый сценарий такого рода атак в реальной жизни – рассылка электронных писем (подделанных под письма от доверенных отправителей), содержащих как правило либо ссылку на фальшивый (фишинговый) сайт, на котором обманом пользователя вынуждают ввести данные своих корпоративных учетных записей, либо вредоносную программу (троян), при запуске пользователем которой организуется канал доступа злоумышленника к рабочей станции пользователя. Другие варианты тестирования с использованием техник социальной инженерии включают такие каналы как социальные сети, телефония, носители информации (флэш-накопители, диски и прочие).