Баннер
  • Безопасность

  • Тесты и Аудит

  • ПО

  • PCI DSS

  • ISO27001

  • Планирование безопасности

    Наш подход к планированию и разработке стратегии безопасности ERP основан на оценке рисков, которым подвергается бизнес и принимает во внимание: Корпоративные требования...
    Читать дальше...
  • Корпоративная Безопасность

  • CODEFEND

    Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых...
    Читать дальше...
  • Тест на проникновение

  • Анализ кода

  • Ping Identity

    Решение для идентификации и SSO c низкой стоимостью владения. Это инновационное решение может поставляться как облачный сервис (on-Demand) и как решение для интеграции в...
    Читать дальше...
  • Сервис Panaya для SAP ERP

  • Retalix

  • Требования PCI DSS

  • ISO 27001

    Информация зачастую является ключевым активом компании, а ее защита - приоритетной задачей. Получение сертификации по стандарту ISO 27001 позволит сохранить и защитить...
    Читать дальше...
Developed by JoomVision.com

Тест на проникновение

PDFПечатьE-mail

Ежедневно в Интернет злоумышленниками осуществляются сотни - тысячи взломов веб-сайтов, серверов приложений и баз данных. Взлом корпоративного веб-сайта компании, являющегося ее представительством в Сети, может серьезно подорвать имидж и репутацию компании.

Зачем нужны тесты на проникновение?
Огромное число успешных вторжений из Интернет наглядно показывает незащищенность большинства ресурсов. Незащищенность сети компании обычно обусловлена целым рядом факторов.

Типовые факторы:
- непонимание менеджментом величины ущерба, который может принести успешная атака на ИТ систему компании,
- отсутствие информации у менеджмента об истинном уровне защиты,
- ложная уверенность менеджмента о надежной собственной защите,
- отсутствие или нехватка квалифицированного персонала в отделе ИТ - безопасности,
- отсутствие разработанной стратегии и политики информационной безопасности,
- "мы не представляем интереса для атаки" ,
- "в нашей вычислительной системе нет критичной важной для компании информации",
- "наш веб-сервер выполняет только представительскую функцию и его взлом не повлечет для компании значимого ущерба".

Проведение тестов на проникновение выявит все вышеозначенные факторы и позволит менеджменту получить наглядное и объективное представление о текущем уровне защиты автоматизированных ресурсов компании и станет первым шагом к построению надежной многоступенчатой системы защиты.
Задача теста на проникновение: полностью имитируя действия взломщика, осуществить атаку из Интернет на:
- веб-сервер,
- сервер приложений или баз данных,
- корпоративную сеть.

Цель теста на проникновение: обнаружить слабые места в защите и, если это возможно, и соответствует желанию заказчика, осуществить показательный взлом. Тесты на проникновение являются начальным этапом полного аудита безопасности автоматизированной системы компании, на основании которого возможна, во-первых, разработка политики и стратегии информационной безопасности, и, во-вторых, разработка и внедрение плана защиты ИТ ресурсов компании.

Проведение тестов на проникновение - это первый необходимый шаг к Вашей надежной защите!

Виды тестов:

Сканированием портов называется метод удаленного анализа, осуществляемый путем передачи тестовых запросов на создание соединения и позволяющий определить список активных служб предоставления удаленного сервиса на сканируемом объекте. Сканирование портов обычно применяется в качестве начальной подготовительной стадии перед непосредственной атакой или тестом на проникновение. То есть сканирование (или разведка) позволяет получить необходимые начальные сведения о потенциальном объекте атаки. Результат сканирования - список открытых на объекте портов, а, следовательно, перечень потенциально атакуемых серверных приложений, загруженных на объекте.

"Легкий" тест - при данной тестовой атаке ставится задача сбора, анализа информации и обнаружение уязвимостей на объектах заказчика без их непосредственной реализации. Группа секьюрити-аналитиков, полностью имитируя действия взломщиков, осуществит предварительное сканирование объектов, выявит и протестирует потенциально слабые места в системе безопасности. В процессе "легкого" тестирования защищенности объектов по желанию заказчика могут применяться атаки с использованием социальной инженерии и атаки, направленные на нарушение работоспособности системы (отказ в обслуживании).

"Тяжелый" тест - основная задача тестирования полностью имитировать реальный взлом, реализовав на объекте заказчика следующие классические угрозы безопасности информации:
-получить доступ к конфиденциальной информации
-получить возможность изменения конфиденциальной информации
-нарушить работоспособность системы

Также возможен заказ услуги, связанной с анализом и поиском уязвимостей в веб-скриптах, в исходном и исполняемом коде программного обеспечения

По результатам тестов создается отчет, в котором поэтапно описываются основные действия команды аналитиков в процессе тестового взлома и указываются слабые места в защите, из-за которых атака либо потенциально возможна, либо была успешна проведена.

Тесты на проникновение могут осуществляться на корпоративную сеть, отдельный сервер, веб-сервер, веб-скрипты, исходный и исполняемый код.

Joomla! Template design and develop by JoomVision

Случайная новость

ISO опубликовала новый стандарт по управлению информационными рисками

Международная организация по стандартизации (ISO) подготовила новый документ, в котором описываются механизмы внедрения и применения рискоцентрического подхода к обеспечению информационной безопасности на предприятии. Специалисты убеждены, что этот стандарт будет полезен всем организациям, которые заинтересованы в грамотном управлении IT-рисками.