Статья опубликована в рамках: Научного журнала «Студенческий» № 16(36)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2
ТЕСТИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА ЗАЩИЩЕННОСТЬ
Для оценки безопасности информационной системы проводят тестирование на наличие уязвимостей. Под уязвимостями понимаются "дыры" в системе, которыми может воспользоваться нарушитель для атаки. Тестирование системы на защищенность может производиться двумя способами:
- Сканирование уязвимостей
- Пентест
Сканирование уязвимостей
Цель сканирования уязвимостей — выявить все уязвимости и недостатки, которые способны привести к нарушению целостности, доступности и конфиденциальности, а затем сформировать рекомендации, которые позволят устранить найденные «дыры».
Каждое новое программное или аппаратное обеспечение желательно просканировать на наличие уязвимостей до их запуска, а затем делать это ежеквартально. При этом любое изменение должно сопровождаться новым сканированием.
Чаще всего данный процесс выполняется с помощью готовых сканеров безопасности, например, таких как Nessus, Rapid7, GFI LANGuard, Retina, Qualys и т.д. Эти программные средства также предупреждают ответственного за информационную безопасность в компании о произошедших несанкционированных изменениях.
Результатом сканирования уязвимостей является
- перечень всех обнаруженных уязвимостей;
- оценка вероятности эксплуатации выявленных уязвимостей злоумышленниками;
- оценка последствий эксплуатации уязвимостей;
- подробные рекомендации по устранению найденных уязвимостей;
- рекомендации по снижению рисков и смягчению последствий.
Сканирования уязвимостей следует проводить с помощью нескольких различных сканеров. Помимо автоматической проверки необходима также ручная. Специалист должен проанализировать выявленные уязвимости. Например, могут быть найдены две несущественные уязвимости, которые вместе взятые могут привести к критическим последствиям. Или же специалист может знать об уязвимостях, присущих именно в данной сфере, о которых сканер безопасности «не знает».
Пентест
Цель пентеста — определить, может ли система при текущем уровне защищенности выдержать попытку проникновения потенциального нарушителя с определенной целью. При этом пентест не добивается полного обнаружения уязвимостей. Примером задачи выполнения пентеста может быть получение несанкционированного доступа к клиентской базе или нарушение работоспособности какого-либо сервера.
Для достижения задачи могут использоваться все доступные средства. В том числе может быть использована и социальная инженерия, так как утечка информации может проходить и через человека.
Чаще всего проникновение выполняет сторонний человек, что позволяет обеспечить объективный взгляд на оценку безопасности системы. При этом тестировщик должен иметь большой опыт в области информационных технологий. Он должен уметь мыслить абстрактно и пытаться предвидеть поведение злоумышленника.
Протокол испытаний на проникновение должен быть кратким и точным. В нем должна быть информация о том, какие данные были скомпрометированы и каким образом.
Основные отличия между пентестом и сканированием уязвимостей представлено в Таблице 1.
Таблица 1.
Основные отличия между пентестом и сканированием уязвимостей
|
|
Сканирование уязвимостей |
Тест на проникновение (пентест) |
|
Цель проведения испытаний |
Проверка системы на способность противостоять попытке проникновения потенциального злоумышленника с какой-либо определенной целью. |
Поиск всех уязвимостей и недостатков, способных привести к нарушению конфиденциальности, целостности и доступности информации. |
|
Частота проведения испытаний |
Ежекваратально при штатной ситуации. Сразу после значительных изменений или запуске нового ПО. |
Один-два раза в год, а также тогда, когда оборудование, «выходящее в Интернет» претерпевает значительные изменения. |
|
Отчет проведенных испытаний |
Исчерпывающая информация обо всех выявленных уязвимостях и о том, что изменилось со времени последнего сканирования. |
Краткий, но точный отчет о том, что именно было скомпрометировано и каким образом. |
|
Фокус |
Важна ширина исследования, а не глубина. Основное внимание на списке известных уязвимостей, которые могут быть использованы. |
Важна глубина исследования, а не ширина. Основное внимание на неизвестных недостатках в бизнес-процессах. |
|
Уровень зрелости компаний, использующей данной испытание |
От низкого до среднего |
Высокий |
|
Критерий завершения |
Испытания заканчиваются тогда, когда заканчиваются проверки на наличие уязвимостей всех типов во всех компонентах системы. |
Испытания заканчиваются сразу после достижения цели (например, получен доступ к конфиденциальным данным). Цель может быть и не достигнута по тем или иным причинам, например, если закончилось время, выделенное на пентест. |
|
Результат |
Полный перечень выявленных угроз. Рекомендации по устранению уязвимостей, снижению риска и смягчению последствий. |
Факт и/или вероятность взлома или проникновения злоумышленника с целью получить доступ к информации. |
Для обеспечения высокого уровня безопасности желательно периодически выполнять как сканирование уязвимостей, так и пентест.
Список литературы:
- Перспективный мониторинг [Электронный ресурс]. – Режим доступа: https://amonitoring.ru/article/whats_the_difference.pdf (дата обращения: 13.08.2018)
- The difference between Vulnerability Assessment and Penetration Testing [Электронный ресурс]. – Режим доступа: https://www.acunetix.com/blog/articles/difference-vulnerability-assessment-penetration-testing (дата обращения: 13.08.2018)
- Vulnerability Scanning vs. Penetration Testing [Электронный ресурс]. – Режим доступа: https://www.secureworks.com/blog/vulnerability-scanning-vs-penetration-testing (дата обращения: 13.08.2018)
Оставить комментарий