Тестирование на проникновение

Тестирование на проникновение – это имитация действий потенциального злоумышленника с целью оценки возможности несанкционированного доступа к корпоративной информационной системе и демонстрации уязвимостей существующей системы информационной безопасности (ИБ). Тестирование на проникновение позволяет выявить уязвимости и слабые места в системе ИБ до того, как это сделают злоумышленники, оценить «практическую» защищенность от атак из «реального мира».

Имитация действий потенциального злоумышленника в процессе тестирования выполняет следующие задачи:

  • выявление недостатков и уязвимостей в используемых информационных системах, программном обеспечении, применяемых мерах информационной безопасности и оценка возможности их использования;
  • практическая демонстрация возможности использования уязвимостей (на примерах);
  • получение комплексной оценки текущего уровня защищенности организации и ее внешних сервисов.

После окончания тестирования осуществляется:

  • выработка конкретных рекомендаций по устранению выявленных недостатков и повышению уровня защищенности организации;
  • консультации и участие специалистов АМТ-ГРУП в работах по устранению выявленных уязвимостей и недостатков;
  • проведение последующих тестов и испытаний (после устранения уязвимостей и недостатков) для подтверждения эффективности реализованных мер.

Методы тестирования

Тестирование на проникновение проводится со стороны внешнего и внутреннего злоумышленников и предполагает использование различных методов:

  • Метод «черного ящика» – имитация нарушителя, не обладающего никакими сведениями об организации и доступом к ее корпоративной сети.
  • Метод «серого ящика» – имитация нарушителя, обладающего ограниченными знаниями об организации, ее корпоративной сети и системе защиты. Нарушитель может обладать действующей пользовательской учётной записью с ограниченным привилегиями в отдельных информационных системах (например, рядовой работник, клиент, имеющий удаленный доступ к системе).
  • Метод «белого ящика» – имитация нарушителя, который является администратором, либо иным пользователем, хорошо осведомленным о корпоративной сети и системе защиты. Нарушитель обладает действующей пользовательской учётной записью, в том числе административной.

Технологии тестирования на проникновение


Тестирование на базе технических методов

С позиции потенциального злоумышленника осуществляются санкционированные попытки обойти существующие средства защиты, выявляются возможные сценарии проникновения в корпоративную сеть и достижения целей тестирования (например, получение прав доступа, кража конфиденциальной информации, внесение изменений в информационные системы, нарушение работы отдельных компонентов сети и системы безопасности или бизнес-процессов).

 

Основные этапы работ

Тестирование на базе социотехнических методов

С применением методов социальной инженерии, используя «человеческий фактор». осуществляются санкционированные попытки получения несанкционированного доступа к корпоративной сети и защищаемым активам целевой организации. Методы, как правило, направлены на пользователей конечных систем и позволяют определить реакцию персонала в различных штатных и нештатных ситуациях, уровень осведомленности и знаний персонала о требованиях безопасности. 

Описание некоторых примеров социотехнических методов

Фишинг Формирование фальшивой веб-страницы легального сервиса (например, страницы удаленного доступа к почте), и побуждение пользователей к вводу конфиденциальных данных (например, паролей) на ней 
Троянский конь Отправка пользователям писем с вредоносными вложениями и побуждение к их открытию за счет целевых сопроводительных писем, наименований файлов, сопроводительных звонков и иных подходов
Претекстинг Моделирование определенного сценария, предполагающего вход в доверие к пользователю (за счет предварительного сбора данных об организации и отдельных работниках и их зонах ответственности), с целью побудить пользователя выполнить определенное действие. Например, звонки пользователям под видом потенциально доверенных для них лиц (внешних или внутренних) с целью получения конфиденциальной информации
Дорожное яблоко Подбрасывание в общедоступных местах организации (лифт, столовая, парковка) инфицированных носителей информации с мотивирующими к их запуску логотипами/бирками/именами файлов 
«Квид про кво» Звонки пользователям из службы поддержки с сообщениями о проблемах на их персональных компьютерах и предложением помощи в ее решении
«Обратная» социальная инженерия» Отправка пользователям электронных писем с доверенных адресов с контактами «службы поддержки», создание неполадок на компьютерах и ожидание звонков/писем для исправления проблем, в процессе которых можно получить необходимые данные

 

СохранитьСохранитьСохранитьСохранитьСохранитьСохранить