Баннер
  • Безопасность

  • Тесты и Аудит

  • ПО

  • PCI DSS

  • ISO27001

  • Планирование безопасности

    Наш подход к планированию и разработке стратегии безопасности ERP основан на оценке рисков, которым подвергается бизнес и принимает во внимание: Корпоративные требования...
    Читать дальше...
  • Корпоративная Безопасность

  • CODEFEND

    Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых...
    Читать дальше...
  • Тест на проникновение

  • Анализ кода

  • Ping Identity

    Решение для идентификации и SSO c низкой стоимостью владения. Это инновационное решение может поставляться как облачный сервис (on-Demand) и как решение для интеграции в...
    Читать дальше...
  • Сервис Panaya для SAP ERP

  • Retalix

  • Требования PCI DSS

  • ISO 27001

    Информация зачастую является ключевым активом компании, а ее защита - приоритетной задачей. Получение сертификации по стандарту ISO 27001 позволит сохранить и защитить...
    Читать дальше...
Developed by JoomVision.com

Тест на проникновение

PDFПечатьE-mail

Ежедневно в Интернет злоумышленниками осуществляются сотни - тысячи взломов веб-сайтов, серверов приложений и баз данных. Взлом корпоративного веб-сайта компании, являющегося ее представительством в Сети, может серьезно подорвать имидж и репутацию компании.

Зачем нужны тесты на проникновение?
Огромное число успешных вторжений из Интернет наглядно показывает незащищенность большинства ресурсов. Незащищенность сети компании обычно обусловлена целым рядом факторов.

Типовые факторы:
- непонимание менеджментом величины ущерба, который может принести успешная атака на ИТ систему компании,
- отсутствие информации у менеджмента об истинном уровне защиты,
- ложная уверенность менеджмента о надежной собственной защите,
- отсутствие или нехватка квалифицированного персонала в отделе ИТ - безопасности,
- отсутствие разработанной стратегии и политики информационной безопасности,
- "мы не представляем интереса для атаки" ,
- "в нашей вычислительной системе нет критичной важной для компании информации",
- "наш веб-сервер выполняет только представительскую функцию и его взлом не повлечет для компании значимого ущерба".

Проведение тестов на проникновение выявит все вышеозначенные факторы и позволит менеджменту получить наглядное и объективное представление о текущем уровне защиты автоматизированных ресурсов компании и станет первым шагом к построению надежной многоступенчатой системы защиты.
Задача теста на проникновение: полностью имитируя действия взломщика, осуществить атаку из Интернет на:
- веб-сервер,
- сервер приложений или баз данных,
- корпоративную сеть.

Цель теста на проникновение: обнаружить слабые места в защите и, если это возможно, и соответствует желанию заказчика, осуществить показательный взлом. Тесты на проникновение являются начальным этапом полного аудита безопасности автоматизированной системы компании, на основании которого возможна, во-первых, разработка политики и стратегии информационной безопасности, и, во-вторых, разработка и внедрение плана защиты ИТ ресурсов компании.

Проведение тестов на проникновение - это первый необходимый шаг к Вашей надежной защите!

Виды тестов:

Сканированием портов называется метод удаленного анализа, осуществляемый путем передачи тестовых запросов на создание соединения и позволяющий определить список активных служб предоставления удаленного сервиса на сканируемом объекте. Сканирование портов обычно применяется в качестве начальной подготовительной стадии перед непосредственной атакой или тестом на проникновение. То есть сканирование (или разведка) позволяет получить необходимые начальные сведения о потенциальном объекте атаки. Результат сканирования - список открытых на объекте портов, а, следовательно, перечень потенциально атакуемых серверных приложений, загруженных на объекте.

"Легкий" тест - при данной тестовой атаке ставится задача сбора, анализа информации и обнаружение уязвимостей на объектах заказчика без их непосредственной реализации. Группа секьюрити-аналитиков, полностью имитируя действия взломщиков, осуществит предварительное сканирование объектов, выявит и протестирует потенциально слабые места в системе безопасности. В процессе "легкого" тестирования защищенности объектов по желанию заказчика могут применяться атаки с использованием социальной инженерии и атаки, направленные на нарушение работоспособности системы (отказ в обслуживании).

"Тяжелый" тест - основная задача тестирования полностью имитировать реальный взлом, реализовав на объекте заказчика следующие классические угрозы безопасности информации:
-получить доступ к конфиденциальной информации
-получить возможность изменения конфиденциальной информации
-нарушить работоспособность системы

Также возможен заказ услуги, связанной с анализом и поиском уязвимостей в веб-скриптах, в исходном и исполняемом коде программного обеспечения

По результатам тестов создается отчет, в котором поэтапно описываются основные действия команды аналитиков в процессе тестового взлома и указываются слабые места в защите, из-за которых атака либо потенциально возможна, либо была успешна проведена.

Тесты на проникновение могут осуществляться на корпоративную сеть, отдельный сервер, веб-сервер, веб-скрипты, исходный и исполняемый код.

Joomla! Template design and develop by JoomVision

Случайная новость

Retalix в Украине

11 июля 2012 года в Киеве в конференц-зале Русь Аккорд Отель состоялась ежегодная деловая практическая конференция Ukrainian Retail Business Forum 2012 «НОВЫЙ ВЗГЛЯД на эффективность управления Retail бизнесом». Форум был организован компанией «Бизнес Саммит» (www.summitbiz.com.ua). Генеральным партнером выступила компания Retalix (www.retalix.com), заявившая о выходе на рынок Украины, а также официальный представитель Retalix в Украине – компания Afenida Sec IT (www.afenidasecit.com.ua)

Больше информации можно найти по ссылке