Требования к тесту на проникновение(Penetration Test Requirements)

Владимир Ткаченкодиректор ООО “Агентство активного аудита”

Цели и область применения теста

10.04.23 © ООО «Агентство активного аудита» 2

Основные цели тестирования систем(ы) или приложения (ний) на устойчивость ко взлому:-Снизить потенциальный (финансовый и репутационный) ущерб от реализации угроз;-Определить эффективность принятых мер безопасности для защиты от внешних (из сети Интернет) и внутренних угроз;-Оценить устойчивость систем(ы) или приложения к наиболее распространенным видам внешних атак;-Защитить потенциальных пользователей систем(ы) или приложения от компрометации их данных или других мошеннических действий

Тест на проникновение проводится путем имитации или реализации настоящих хакерских атак !!!

Основные вопросы планирования теста

10.04.23 © ООО «Агентство активного аудита» 3

Основные вопросы на которые следует ответить заказчику при подготовке приложения (ний) или систем на устойчивость ко взлому:-Как проводить пентест?-Когда проводить пентест?-Что нужно от нас для проведения пентеста?-Цены и сроки тестирования?-Критерии выбора поставщика услуг (команды пентестеров)?-Что получим на выходе?

Тест на проникновение проводится в отношении:-Информационной системы (или совокупности систем);-ИТ инфраструктуры;-Персонала компании (в т. ч. ИТ персонала поддерживающего системы).

ПОДХОДЫ К ОРГАНИЗАЦИИ ТЕСТА

10.04.23 4© ООО «Агентство активного аудита»

В зависимости от целей, тест на устойчивость к взлому может проводиться в нескольких формах, которые предусматривают уровень осведомленности аудитора о внутреннем устройстве системы.

Черный ящикВход Выход Белый ящикВход Выход

Серый ящикВход Выход

Извне по отношению к системе Изнутри по отношению к системе

Методологии:-Open Source Security Testing Methodology Manual Open Source Security Testing Methodology Manual (OSSTMM) – Institute for Security and Open Methodologies (ISECOM);-Guideline on Network Security Testing Guideline on Network Security Testing – National Institute of Standards and Technology (NIST) – 800-42;-The Ten Most Critical Web Application Security Vulnerabilities The Ten Most Critical Web Application Security Vulnerabilities – The Open Web Application Security Project (OWASP);-Information Systems Security Assessment Framework Information Systems Security Assessment Framework – Open Information Systems Security Group (OISSG);-A Penetration Testing Model A Penetration Testing Model – Federal Office for Information Security in Germany (BSI)

10.04.23 5

Планирование и подготовка

ЭТАПЫМероприятия Результаты

Оценка защищенности

-Определение ответственных с Определение ответственных с обеих сторон;обеих сторон;- Проведение встречи для Проведение встречи для определения границ, подходов и определения границ, подходов и методов;методов;- Согласование тестов и путей Согласование тестов и путей воздействиявоздействия

- Соглашение о неразглашении Соглашение о неразглашении конфиденциальной информации;конфиденциальной информации;- Договор (предмет, ответственность Договор (предмет, ответственность сторон, оплата, сроки, условия и формат сторон, оплата, сроки, условия и формат результатоврезультатов))

-Сбор информации о целевой Сбор информации о целевой системе;системе;- Идентификация устройств и Идентификация устройств и сервисовсервисов;;- Идентификация уязвимостей;Идентификация уязвимостей;- Проникновение;Проникновение;- Получение привилегий в системе;Получение привилегий в системе;- Развитие атаки;Развитие атаки;- Компрометация пользователей - Компрометация пользователей и/или систем;и/или систем;- Создание каналов доступа к Создание каналов доступа к системе;системе;- Уничтожение следов пребывания в Уничтожение следов пребывания в системесистеме

Список возможных уязвимостей и Список возможных уязвимостей и вариантов их эксплуатациивариантов их эксплуатации

Отчет об анализе защищенностиОтчет об анализе защищенности

Методология OISSG (Open Information Systems Security Group)

© ООО «Агентство активного аудита»

Формирование отчета

10.04.23 6

Когда нужен пентест?

© ООО «Агентство активного аудита»

10.04.23 7

Что нужно для подготовки пентеста?

© ООО «Агентство активного аудита»

10.04.23 8

Цены и сроки

© ООО «Агентство активного аудита»

10.04.23 9

Критерии выбора команды пентестеров

© ООО «Агентство активного аудита»

Отзывы клиентов, примеры отчетов, наличие экспертов (CISA, CISM, CEH …)

Методология должна быть описана, ранее оцененные системы должны быть похожими на те что есть у вас

У поставщика должны быть процедуры обращения с информацией клиентов, и процедуры внутреннего контроля (прием на работу персонала, обработки и хранения данных и т.п., проверка качества работ).Каждый шаг авторизуется и протоколируется!!!

10.04.23 10

Косвенные критерии выбора команды пентестеров

© ООО «Агентство активного аудита»

Маркетинговое исследование компаний предлагающих сканеры уязвимости

(по данным Gartner февраль 2010)

Требования к отчету (что на выходе?)

10.04.23 11© ООО «Агентство активного аудита»

Вопросы

info@auditagency.com.ua

www.auditagency.com.ua

044 228 15 88