Как организовать и провести тестирование на проникновение и ничего не сломать? Расскажет Швецов Константин, ведущий эксперт Регионального Центра Развития «Казань» Центрального Банка РФ
PENETRATION TEST VS VULNERABILITY ASSESSMENT
Тестирование на проникновение ставит своей основной задачей именно проникновение в систему, получение доступа к закрытой информации и «заметание следов».
ЭТАПЫ ПЕНТЕСТА
1) планирование
2) разведка
3) сканирование
4) эксплуатация (получение доступа)
5) пост-эксплуатация (закрепление в системе)
6) сокрытие следов
7) анализ
8) отчёт
Чем больше внимания уделено первому этапу - тем меньше боли на остальных и выше ценность результата
Бюджет - это основная движущая сила тестирования. Бюджет во многом определяет область и глубину тестирования, выбор средств и подходов
ОПРЕДЕЛИТЕ ОБЛАСТЬ ТЕСТИРОВАНИЯ
Тщательно продуманная и описанная область тестирования – залог более ценного отчёта по итогу
- Чётко определите, что вы хотите видеть в качестве конечного результата
- Определитесь со стратегией
- Обозначьте типы злоумышленников, действия которых вы хотите сымитировать
- Зафиксируйте модель угроз
- Обозначьте цели атак и определите их критичность для бизнеса
- Удостоверьтесь, что ваши средства обеспечения безопасности работают, согласно ваших требований
- Создайте и следуйте конкретному расписанию
- Найдите пути, как обезопасить себя от внезапного расширения области тестирования
- Опишите все необходимые выходные данные, включая протоколы встреч и совещаний
ВЫ ГОТОВЫ К ТЕСТИРОВАНИЮ ЕСЛИ
1) Вы понимаете цель проведения пентеста
2) Чётко определён круг заинтересованных лиц, включая владельцев компании
3) Зафиксирован план действий, в случае непредвиденных обстоятельств
4) Определены технические ограничения
5) Сформирован бюджет
6) Соглашение о тестировании содержит данные для коммуникаций с обеих сторон