Агентство Активного Аудита

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

penetration testing

ТЕСТ СЕТЕЙ И СИСТЕМ НА УСТОЙЧИВОСТЬ КО ВЗЛОМУ
(pentest)

Что это такое?

Тест сетей и систем на устойчивость к взлому (pentest), или тест на проникновение, представляет собой метод оценки защищенности компьютерных систем или сетей с помощью симуляции направленной атаки. Целью проведения теста является обнаружение уязвимостей систем, которые могли появиться в результате неправильной настройки, технических и программных ошибок, а также операционных недостатков в процессах и технических средствах контроля.

Подход к тесту осуществляется с позиции потенциального взломщика хакера или инсайдера и подразумевает активную эксплуатацию уязвимостей в безопасности, в тоже время тест проводится высококвалифицированными специалистами, которые соблюдают этику и при его проведении.

Любые найденные сведения, касающиеся безопасности, представляются владельцу системы вместе с оценкой ущерба бизнесу. Также предоставляются конкретные рекомендации по устранению найденных уязвимостей.

Тест на проникновение является компонентом аудита информационной безопасности или может проводиться отдельно.

Зачем это нужно?

замок из песка

В современных условиях  ведения бизнеса инциденты информационной безопасности, как например,  разглашение клиентской базы данных конкурентам или простой интернет-магазина, могут привести не только к значительным финансовым убыткам для бизнеса, но и утере доверия со стороны клиентов и партнеров.

Новые уязвимости информационных систем обнаруживаются каждый день, в тоже время способы реализации атак становятся более совершенными и доступными.  Для того, чтобы сохранить уверенность в защищенности Ваших информационных активов необходимо заблаговременно отделять бреши безопасности, требующие непосредственного внимания.

Тест на устойчивость к взлому (pentest) позволит Вам объективно оценить реальную картину защищенности вашей информационной системы, четко понять какие привелегии и какие данные может получить хакер или инсайдер.

Как осуществляется тест на проникновение?

Компания «Агентство активного аудита» проводит оценку защищенности сети как путем внешнего сканирования, так и при помощи сканирования из внутренней сети заказчика.

В качестве объекта исследования может быть выбрано следующее:

  • Внешний периметр сети с позиции хакера;
  • Внутренний периметр сети с позиции инсайдера;
  • Физическое проникновение в помещения с ограниченным доступом с целью получения документов\данных или установки закладок;
  • Отдельное WEB приложение(портал\служба\интерфейс\сайт), в том числе системы типа "Интернет-банкинг";
  • Беспроводные сети и точки доступа;
  • Тестирование методами социальной инженерии - обзвон сотрудников по телефону;
  • Тестирование методами социальной инженерии - поддельные фишинговые рассылки (например, это может быть подделанное письмо от имени начальника ИТ компании, разосланное на внутренних сотрудников с просьбой ввести логины\пароли на поддельный сайт корпоративной почты);
  • Проверка реакции соответствующих подразделений и систем IPS на возникновение инцидентов информационной безопасности, связанных с проведением хакерских атак;
  • Практическая проверка налаженности процессов управления уязвимостями, установки критических обновлений и заплаток, реакции на инциденты, управления доступом, управления изменениями, управление конфигурациями, парольной политики и других;
  • Анализ безопасности архитектуры сети;
  • Анализ безопасности настроек сетевого оборудования и серверов;

Методика проведения теста на проникновение «Агентства активного аудита» разработана на основе общепризнанных международных методик, а именно:

  • Information Systems Security Assessment Framework (OISSG);
  • The Open Source Security Methodology Manual (OSSTMM);
  • NIST Guideline on Network Security Testing;
  • ISACA Switzerland – Testing IT Systems Security With Tiger Teams;
  • Cybersecurity Vulnerability Assessment Methodologies (Cybersecurity VAMs).
  • OWASP Testing Guide v4.

Оценка защищенности проводится поэтапно нашими специалистами, и включает в себя следующее:

pentest

После применения контрмер, при необходимости, проводится повторный тест.

В результате тестирования устойчивости ко взлому Вы получаете отчет, который содержит детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации, оценку бизнес-риска от реализации уязвимостей. Также отчет содержит конкретные рекомендации по устранению найденных уязвимостей.

 

Требования регуляторов:

Требования международного стандарта по информационной безопасности ISO 27001 и его аналога для банковских учреждений Украины: СОУ Н НБУ 65.1 СУИБ 1.0:2010 "Методы защиты в банковской деятельности. Система управления информационной безопасностью. Требования "(ISO / IEC 27001:2005, МОD) однозначны, цитируем:

«Мероприятия по безопасности. Информационные системы должны регулярно проверяться на соответствие стандартам внедрения безопасности»(Приложение А. п. 15.2.2 Проверка технического соответствия).

Согласно требований стандарта защиты данных в индустрии пластиковых карт (PCI DSS v. 2.0):

«Требование 11.3. Выполнять тест на проникновение по крайней мере 1 раз в год, а также при любых значительных изменениях или обновлениях в приложении или инфраструктуре (например, модернизация операционной системы, добавление дополнительной сети или WEB-сервера)».

И дополнительно разъяснения к п.11.3 стандарта PCI DSS, кто выполняет тест на проникновение:

Стандарт PCI DSS не требует, чтобы тест на проникновение выполнялся квалифицированным аудитором QSA или авторизованным поставщиком услуг сканирования ASV. Тест на проникновение может выполняться либо квалифицированным собственным персоналом, либо квалифицированным персоналом третьей компании. В случае если тест на проникновение проводится собственными силами, выполняющие его сотрудники должны иметь соответствующую квалификацию, а также организационно не подчиняться менеджменту проверяемой инфраструктуры. Например, администраторы систем защиты периметра сети не должны участвовать в тесте этих систем.»

 

Читайте также:

Требования к тесту на проникновение (Penetration Test Requirements)