Тестирование на проникновение в рамках выполнения требования Положений Банка России по защите информации, требований SWIFT CSP, требований PCI DSS
Аудит информационной безопасности (тест на проникновение) позволяет Компании получить оценку реального уровня защищенности информационных активов в условиях современного состояния методов получения несанкционированного доступа к информационным активам, обрабатываемым в автоматизированных информационных системах организаций.
Получение такой оценки обеспечивается путем моделирования атак потенциальных злоумышленников на выбранные информационные активы Компании.
Перечень информационных активов и векторы моделируемых атак определяются на первоначальном этапе проведения теста на проникновение и согласовываются с Компанией.
В качестве целевых для потенциального злоумышленника активов могут выступать как внутренняя корпоративная сеть Компании, так и конкретные информационные системы, в том числе содержащие критичные для Компании данные.
Тест на проникновение позволяет достаточно быстро оценить реальную защищенность выбранных информационных активов от несанкционированного доступа, моделируя наиболее распространенные атаки.
онлайн-кассу Тест на проникновение проводится этичными хакерами, целью которых является выявление слабых мест в защите с для повышения защищенности без умышленного вреда для информационной системы.
Основной отличительной особенностью теста на проникновение по сравнению с традиционным аудитом информационной безопасности являются:
-
обычно меньшая глубина охвата информационной инфраструктуры организации;
-
большая детализация найденных уязвимостей;
-
более точная оценка рисков ИБ (основывается на результатах реализации найденных уязвимостей);
-
большая достоверность результатов аудита (по сравнению с классическими методами аудита: заполнение анкет, опрос сотрудников и т. д.);
-
оценка большего количества процессов ИБ, чем при инструментальном аудите, включая оценку процессов (например, управление инцидентами, мониторинг и т. д.), объективная оценка которых не может быть получена другими средствами (инструментальный аудит, анкетирование и интервьюирование и т. д.);
-
детальная проработка найденных уязвимостей, что позволяет получить более объективную оценку процессов обеспечения информационной безопасности организации.
В настоящее время существует несколько международных методик проведения тестирования на проникновение, ориентированных в основном на моделирование атак, направленных на сетевую инфраструктуру организации:
Open Source Security Testing Methodology Manual (OSSTMM) – пожалуй, единственная методика, которая акцентирует внимание не только на технических тестах, но и на атаках, связанных с социальной инженерией и направленных на пользователей корпоративной сети.
![NIST SP800-115](/upload/medialibrary/fb6/qkymouzi13mcis45wxq4yffb1zo8lcug/nist.png)
NIST SP800-115 – данный документ хотя и не является методикой, но описывает общие аспекты проведения тестов на проникновение.
![ISSAF](/upload/medialibrary/7f4/l6l4k89ee4ybx2yaieev2md08v4rfn31/ISSAF.png)
The Information Systems Security Assessment Framework (ISSAF) – фреймворк (framework), ориентированный на инструментальный поиск уязвимостей.
![PCI DSS](/upload/medialibrary/936/mdvo8cdfeonnxk4hmvpnq9t6asmk3ql7/pci.png)
PCI DSS (раздел 11.3 стандарта) – согласно разделу 11.3 стандарта PCI DSS в организациях, соответствующих стандарту, не реже раза в год должен проводиться тест на проникновение. Для разъяснения данного раздела PCI DSS был выпущен документ Information Supplement Requirement 11.3 Penetration Testing, в очень общих чертах описывающий последовательность проведения инструментальной проверки внешнего периметра сетевой инфраструктуры тестируемой компании (по сути, данная инструментальная проверка не является тестом на проникновение).
![OWASP](/upload/medialibrary/48f/rlyud50j9mcvarxsrzx8fta0cylbqpzj/owasp.png)
The Open Web Application Security Project (OWASP) – руководство по тестированию веб-безопасности, которое является основной методологией тестирования безопасности для разработчиков веб-приложений и специалистов по информационной безопасности и разрабатывается международным консорциумом OWASP.
![PTES](/upload/medialibrary/8ce/abphj9p4hw2b43qs22wzqwvnhjan42f5/uslug_logo_ptes.png)
The Penetration Testing Execution Standard (PTES) – Стандарт по тестированию на проникновение. Стандарт проведения тестирования на проникновение состоит из семи (7) основных разделов. Они охватывают всё, что связано с тестом на проникновение – от первоначального общения и обоснования пентеста до этапов сбора разведданных и моделирования угроз. Тестировщики работают за кулисами, чтобы лучше понять тестируемую организацию, через исследование уязвимостей, эксплуатации и послеэксплуатации, когда технический опыт тестировщиков в области безопасности сочетается с пониманием бизнеса. И, наконец, с отчетностью, которая охватывает весь процесс таким образом, который обеспечивает наибольшую ценность.
![PWK](/upload/medialibrary/106/km2n6c48sty0bnatdlk0t6xrsos933lx/offensive.png)
PWK – Методология курса «Тестирование на проникновение с Kali Linux». Является основным материалом для получения сертификата по тестированию на проникновение – OSCP и практическим руководством.
ДиалогНаука при проведении работ использует собственную методику проведения тестов на проникновение, включающую в себя возможность моделирования не только технических атак на информационные ресурсы, доступные из сети Интернет (широко применяемых в международных методологиях OSSTMM, ISSAF и PCI DSS), но и атак, направленных на пользователей корпоративных систем (социальная инженерия), беспроводные сети IEEE 802.11 (Wi-Fi), 802.15 (Bluetooth) и 802.16 (Wi-Max), переносные компьютеры и мобильные устройства, а также атак с использованием физического или логического доступа к компонентам корпоративной информационной системы.
Перечень моделируемых атак может быть сформирован на этапе подготовки технического задания и дополнительно скорректирован в ходе проведения теста на проникновение.
При проведении работ могут быть проверены следующие векторы проведения атак:
№ п/п | Вектор атаки | Описание |
1 | Физический | Атаки с использованием непосредственного физического доступа внутрь защищаемого периметра корпоративной сети (если таковой есть) |
2 | Сетевой | Удаленные атаки на сетевые ресурсы и протоколы |
3 | Электронная почта | Атаки с использованием электронной почты (в том числе с элементами социальной инженерии) |
4 | Приложения | Атаки с использованием специфических приложений используемых Заказчиком (например, web портал) |
5 | Беспроводные сети | Атаки направление на беспроводные протоколы передачи данных 802.11(Wi-Fi), 802.15(Bluetooth), 802.16(Wi-Max) |
6 | Клиентские приложения | Атаки на клиентские приложения |
7 | Мобильные устройства | Атаки на мобильные устройства (мобильные и переносные компьютеры, смартфоны и т.д.) |
8 | Социальная инженерия | Атаки на пользователей с использованием методов социальной инженерии |
ДиалогНаука предполагает проведение тестирования на проникновение. Тестирование проводится в один этап и состоит из работ указанных в таблице.
№ п/п | Перечень работ | Отчетные документы |
1 | Планирование работ |
Техническое задание на проведение теста на проникновение |
2 | Проведение теста на проникновение |
Рабочие материалы |
3 | Анализ результатов и подготовка итогового отчета |
Отчет по результатам проведения аудита информационной безопасности (теста на проникновение) |
В ходе проведения теста на проникновение моделируются действия злоумышленника на всех этапах kill chain. Этапы представлены на рисунке.
По проведении теста на проникновение разрабатывается отчет о тестировании, как правило, содержащий:
-
описание границ, в рамках которых был проведен тест на проникновение;
-
методы и средства, которые использовались в процессе проведения теста на проникновение;
-
описание выявленных уязвимостей и недостатков, включая уровень их риска и возможность их использования злоумышленником;
-
описание примененных сценариев проникновения;
-
описание достигнутых результатов;
-
базовую оценку рисков информационной безопасности Компании;
-
базовую оценку процессов обеспечения информационной безопасности Компании;
-
рекомендации по устранению выявленных уязвимостей и совершенствованию процессов обеспечения информационной безопасности Компании;
-
план работ по устранению найденных уязвимостей и совершенствованию процессов обеспечения информационной безопасности Компании, приоритизированный в соответствии с критичностью уязвимостей.
Также, для более наглядного представления результатов тестирования, для руководства Заказчика может быть проведена презентация.
В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи.