Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: Научного журнала «Студенческий» № 16(36)

Рубрика журнала: Информационные технологии

Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2

Библиографическое описание:
Хисаева Г.Ф., Гарипов И.М., Герасимов В.В. ТЕСТИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА ЗАЩИЩЕННОСТЬ // Студенческий: электрон. научн. журн. 2018. № 16(36). URL: https://sibac.info/journal/student/36/116576 (дата обращения: 24.11.2024).

ТЕСТИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА ЗАЩИЩЕННОСТЬ

Хисаева Гульдар Фаниловна

студент факультета информатики и робототехники, УГАТУ,

Россия, г. Уфа

Гарипов Ильнур Мидхатович

студент факультета информатики и робототехники, УГАТУ,

Россия, г. Уфа

Герасимов Владислав Владимирович

студент факультета информатики и робототехники, УГАТУ,

Россия, г. Уфа

Для оценки безопасности информационной системы проводят тестирование на наличие уязвимостей. Под уязвимостями понимаются "дыры" в системе, которыми может воспользоваться нарушитель для атаки. Тестирование системы на защищенность может производиться двумя способами:

  • Сканирование уязвимостей
  • Пентест

Сканирование уязвимостей

Цель сканирования уязвимостей — выявить все уязвимости и недостатки, которые способны привести к нарушению целостности, доступности и конфиденциальности, а затем сформировать рекомендации, которые позволят устранить найденные «дыры».

Каждое новое программное или аппаратное обеспечение желательно просканировать на наличие уязвимостей до их запуска, а затем делать это ежеквартально. При этом любое изменение должно сопровождаться новым сканированием.

Чаще всего данный процесс выполняется с помощью готовых сканеров безопасности, например, таких как Nessus, Rapid7, GFI LANGuard, Retina, Qualys и т.д. Эти программные средства также предупреждают ответственного за информационную безопасность в компании о произошедших несанкционированных изменениях.

Результатом сканирования уязвимостей является

  • перечень всех обнаруженных уязвимостей;
  • оценка вероятности эксплуатации выявленных уязвимостей злоумышленниками;
  • оценка последствий эксплуатации уязвимостей;
  • подробные рекомендации по устранению найденных уязвимостей;
  • рекомендации по снижению рисков и смягчению последствий.

Сканирования уязвимостей следует проводить с помощью нескольких различных сканеров. Помимо автоматической проверки необходима также ручная. Специалист должен проанализировать выявленные уязвимости. Например, могут быть найдены две несущественные уязвимости, которые вместе взятые могут привести к критическим последствиям. Или же специалист может знать об уязвимостях, присущих именно в данной сфере, о которых сканер безопасности «не знает».

Пентест

Цель пентеста — определить, может ли система при текущем уровне защищенности выдержать попытку проникновения потенциального нарушителя с определенной целью. При этом пентест не добивается полного обнаружения уязвимостей. Примером задачи выполнения пентеста может быть получение несанкционированного доступа к клиентской базе или нарушение работоспособности какого-либо сервера.

Для достижения задачи могут использоваться все доступные средства. В том числе может быть использована и социальная инженерия, так как утечка информации может проходить и через человека.

Чаще всего проникновение выполняет сторонний человек, что позволяет обеспечить объективный взгляд на оценку безопасности системы. При этом тестировщик должен иметь большой опыт в области информационных технологий. Он должен уметь мыслить абстрактно и пытаться предвидеть поведение злоумышленника.

Протокол испытаний на проникновение должен быть кратким и точным. В нем должна быть информация о том, какие данные были скомпрометированы и каким образом.

Основные отличия между пентестом и сканированием уязвимостей представлено в Таблице 1.

Таблица 1.

Основные отличия между пентестом и сканированием уязвимостей

 

Сканирование уязвимостей

Тест на проникновение (пентест)

Цель проведения испытаний

Проверка системы на способность противостоять попытке проникновения потенциального злоумышленника с какой-либо определенной целью.

Поиск всех уязвимостей и недостатков, способных привести к нарушению конфиденциальности, целостности и доступности информации.

Частота проведения испытаний

Ежекваратально при штатной ситуации.

Сразу после значительных изменений или запуске нового ПО.

Один-два раза в год, а также тогда, когда оборудование, «выходящее в Интернет» претерпевает значительные изменения.

Отчет проведенных испытаний

Исчерпывающая информация обо всех выявленных уязвимостях и о том, что изменилось со времени последнего сканирования.

Краткий, но точный отчет о том, что именно было скомпрометировано и каким образом.

Фокус

Важна ширина исследования, а не глубина. Основное внимание на списке известных уязвимостей, которые могут быть использованы.

Важна глубина исследования, а не ширина. Основное внимание на неизвестных недостатках в бизнес-процессах.

Уровень зрелости компаний, использующей данной испытание

От низкого до среднего

Высокий

Критерий завершения

Испытания заканчиваются тогда, когда заканчиваются проверки на наличие уязвимостей всех типов во всех компонентах системы.

Испытания заканчиваются сразу после достижения цели (например, получен доступ к конфиденциальным данным).

Цель может быть и не достигнута по тем или иным причинам, например, если закончилось время, выделенное на пентест.

Результат

Полный перечень выявленных угроз.

Рекомендации по устранению уязвимостей, снижению риска и смягчению последствий.

Факт и/или вероятность взлома или проникновения злоумышленника с целью получить доступ к информации.

 

Для обеспечения высокого уровня безопасности желательно периодически выполнять как сканирование уязвимостей, так и пентест.

 

Список литературы:

  1. Перспективный мониторинг [Электронный ресурс]. – Режим доступа: https://amonitoring.ru/article/whats_the_difference.pdf (дата обращения: 13.08.2018)
  2. The difference between Vulnerability Assessment and Penetration Testing [Электронный ресурс]. – Режим доступа: https://www.acunetix.com/blog/articles/difference-vulnerability-assessment-penetration-testing (дата обращения: 13.08.2018)
  3. Vulnerability Scanning vs. Penetration Testing [Электронный ресурс]. – Режим доступа: https://www.secureworks.com/blog/vulnerability-scanning-vs-penetration-testing (дата обращения: 13.08.2018)

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.