На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 6 ноябрь–декабрь 2010 г.
Тема номера:
КОРПОРАТИВНЫЕ УНИВЕРСИТЕТЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Тестирование на проникновение:
демонстрация одной уязвимости или объективная оценка защищенности?

А. Дорофеев, CISA, CISSP
Group-IB


Предыдущая статьяСледующая статья

В последнее время специалисты по информационной безопасности очень бурно обсуждают полезность такого вида аудита информационной безопасности, как тестирование на проникновение. Одни утверждают, что с его помощью можно выявить все недостатки системы обеспечения информационной безопасности в организации, другие же видят в нем только способ наглядно продемонстрировать руководству необходимость увеличить бюджет на закупку средств защиты. Давайте разберемся, каким образом можно получить максимальную пользу от подобного аудита.
 

Начнем с определения понятия «тестирование на проникновение». Так называется тестирование защищенности, в ходе которого используются приемы и инструменты, применяемые настоящими злоумышленниками. Самих аудиторов в этом случае часто называют «этичными хакерами».

В зависимости от того, какие цели преследуют заказчики и исполнители тестирования, оно может принимать различные формы. Заказчик может желать получить подтверждение уязвимости системы защиты (например, для убеждения руководства выделить дополнительные деньги на информационную безопасность) или, наоборот, подтверждение защищенности (например, для отчета перед руководством) или максимальное количество уязвимостей и объективную оценку защищенности (для улучшения системы защиты информации). Исполнитель, в свою очередь, может преследовать следующие цели: максимальное качество тестирования, минимизацию затрат на выполнение проекта, желание продать заказчику дополнительные услуги и программное обеспечение.

Рассмотрим два наиболее распространенных варианта:

1. Клиент хочет получить демонстрацию незащищенности, а исполнитель хочет провести тестирование с минимальными затратами и поучаствовать в освоении бюджета, который выделят по результатам проекта.

2. Клиент хочет получить максимально объективную оценку защищенности систем, а исполнитель провести максимально качественное тестирование и заработать хорошую репутацию.

В первом случае тестирование, скорее всего, пойдет по следующему сценарию.

Этичные хакеры, используя какой-нибудь отработанный прием (например, отправку генеральному директору руткита по электронной почте), демонстрируют, что они смогли получить доступ к самой сокровенной информации, которая хранилась на компьютере топ-менеджера (например, к приватным персональным данным). Подобный аудит можно провести в очень сжатые сроки, так как специалисты ищут всего несколько уязвимостей для демонстрации. После того как генеральный директор осознает незащищенность компании и выделяет деньги на информационную безопасность, компания-исполнитель продает ей и внедряет разнообразные средства защиты информации.

Особый случай, если компания-исполнитель наиболее значимую прибыль получает за счет продаж средств анализа защищенности (например, если компания является производителем подобного программного обеспечения или эксклюзивным дистрибьютором). В этом случае уязвимости для демонстрации будут найдены именно этим программным средством, а заказчика постараются убедить в том, что, купив данное средство, он сможет тестировать свою защищенность самостоятельно.

В случае, когда обе стороны заинтересованы в качественной работе, все намного интереснее.

Перед исполнителем стоит довольно серьезная задача — провести комплексный технический аудит и найти максимальное количество уязвимостей. В этом варианте применить пару отработанных сценариев или один сканер уязвимостей — уже недостаточно. Необходимо использовать целый набор программных средств, которые состоят на вооружении реальных злоумышленников.

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2024 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

   Rambler's Top100    Технологии разведки для бизнеса