Содержание статьи
Penetration Test – метод оценки безопасности компьютерных систем или сетей передачи данных посредством моделирования атаки нарушителя, как правило, являющийся частью аудита информационной безопасности организации. Больше информации на сайте http://nerohelp.info/24457-penetration-testing.html с подробным описанием. В чем заключается указанный метод оценки безопасности, является ли он обязательным, как организовать его с получением максимального эффекта.
Тестирование на проникновение, как правило, является частью аудита информационной безопасности и относится к так называемому активному анализу, дополняющему «пассивный» анализ уязвимостей информационной системы, осуществляемый при помощи инструментальных средств – сканеров безопасности.
Целью тестирования на проникновение является оценка возможности успешного проведения злоумышленником атаки (в т.ч. целевой) на информационную систему и ее последствий, а его задачи следующие:
- выявление недостатков в применяемых в информационной системе мерах
- безопасности и оценка возможности использования их нарушителем;
- получение на основе объективных свидетельств оценки текущего уровня защищенности;
- практическая демонстрация возможности использования уязвимостей;
- выработка рекомендаций по устранению выявленных уязвимостей и
- недостатков для повышения уровня защищенности.
Тестирование на проникновение (Penetration Тest, жаргонно «Пентест») – метод оценки безопасности компьютерных систем или сетей передачи данных посредством моделирования атаки нарушителя.
В ходе тестирования на проникновение моделируется поведение потенциального нарушителя, проводящего активную атаку на систему, посредством эксплуатации выявленных в ходе атаки уязвимостей. Результатом тестирования, как правило, является отчет, содержащий в себе все найденные уязвимости безопасности информационной системы и рекомендации по их устранению.
Возможности
Тестирование на проникновение дает возможность определить существующий уровень защищенности инфраструктуры компании в реальных условиях.
Используя различные технические методы, аудиторы пытаются обойти существующие защитные механизмы с целью выполнения поставленных задач (получение доступа к конфиденциальной информации, модификация данных с СУБД и т.д.).
Тестирование на проникновение позволяет:
- выявить критические уязвимости и недостатки системы информационной безопасности, которые могут привести к утечке информации или взлому системы
- определить спектр наиболее опасных угроз
- выработать план действий по снижению рисков несанкционированного доступа к системе
- Кроме того, получение доступа к конфиденциальной информации может осуществляться посредством методов социальной инженерии. Услуга
- «Социотехнический тест на проникновение» позволяет определить
- возможные внутренние угрозы информационной безопасности и провести
- анализ устойчивости сотрудников компании к различным видам сценариев злоумышленников.
Результаты работы ESET Consulting:
- понимание реального состояния информационной безопасности компании с
- описанием обнаруженных уязвимостей
- независимая экспертная оценка и рекомендации по повышению уровня
- защищенности ИТ-инфраструктуры
