ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ (ПЕНТЕСТ)

ПОРЯДОК ПРОВЕДЕНИЯ РАБОТ ПО ТЕСТИРОВАНИЮ НА ПРОНИКНОВЕНИЕ

Методика проведения работ представляет собой последовательность действий, выполняемых Исполнителем для тестирования на проникновение информационных ресурсов Заказчика. В рамках этой методики также используются другие подходы и стандарты, применяемые Исполнителем для анализа защищенности информационных систем, включая:

В процессе тестирования используются как ручные методы проверки уязвимостей, так и автоматизированные инструменты для их обнаружения. Такой подход не гарантирует выявление всех потенциальных проблем безопасности в тестируемых системах, но сосредоточен на выявлении наиболее критичных уязвимостей. Эти уязвимости требуют высокой квалификации и доступа в Интернет для их эксплуатации и могут привести к серьезным негативным последствиям для заказчика.

ИССЛЕДОВАНИЕ ВНЕШНЕГО ПЕРИМЕТРА

При проведении исследования внешнего периметра Исполнитель намеревается имитировать действия потенциального внешнего нарушителя (хакера), знающего название организации Заказчика и наименование информационной системы Заказчика (далее - Системы), защищенность которой необходимо исследовать. Хакер нацелен через Интернет получить доступ к информации, хранимой и обрабатываемой Системой, ее служебным функциям и как можно к большему количеству физических ресурсов Системы на уровне привилегированного пользователя или администратора. Исследования в рамках Услуги Исполнитель предлагает производить методом «Черного Ящика» + «Серого Ящика». В качестве потенциального нарушителя в рамках данной Услуги рассматривается внешний нарушитель – физическое лицо, имеющее ограниченный доступ к ИТ-инфраструктуре Заказчика через публичную сеть «Интернет». При проведении работ предполагается, что нарушитель обладает квалификацией, сравнимой с квалификацией специалистов Исполнителя, имеет доступ к тем же опубликованным методикам выявления и эксплуатации уязвимостей, к которым могут иметь доступ специалисты Исполнителя. На данном этапе производится следующие действия:

• внешнее инструментальное сканирование, направленное на выявление уязвимостей в доступных сетевых службах
• поиск уязвимостей веб-интерфейсов системы с использованием инструментальных методов
• ручная валидация и верификация уязвимостей

ИССЛЕДОВАНИЕ ВНУТРЕННЕГО ПЕРИМЕТРА

При проведении исследования внутреннего периметра Исполнитель намеревается имитировать действия потенциального внутреннего нарушителя (инсайдера), обладающего санкционированным доступом к сети организации и, возможно, штатным доступом к информационной системе Заказчика, защищенность которой необходимо исследовать (далее - Системы), а так же располагающего информацией о диапазоне IP-адресов, физическом месторасположении, идентификаторах беспроводной сетей и другими сведениями аналогичного характера. Потенциальный нарушитель нацелен получить доступ к информации, хранимой и обрабатываемой Системой, ее служебным функциям и как можно к большему количеству физических ресурсов Системы на уровне привилегированного пользователя или администратора.
Исследование осуществляется с использованием информации об архитектуре Системы, и другой релевантной информации, полученной от Заказчика.

В качестве потенциального нарушителя в рамках данной Услуги рассматривается внутренний нарушитель – физическое лицо, имеющее штатный доступ к ИТ-инфраструктуре Заказчика через внутреннюю сеть Заказчика и ограниченный только штатными средствами внутреннего контроля.
Исследования в рамках Услуги Исполнитель предлагает производить методом «Серого Ящика». Исследование (анализ) защищенности Системы производится в следующей последовательности:

• инструментальный анализа защищенности
• ручной поиск и верификации обнаруженных уязвимостей и недостатков, обнаруженных в ходе автоматизированного поиска)

АНАЛИЗ ЗАЩИЩЕННОСТИ ВЕБ-ПРИЛОЖЕНИЙ

Целью анализа защищенности веб=приложений является оценка способности потенциального злоумышленника обойти существующие механизмы защиты информации. В ходе тестирования анализируются возможные пути получения несанкционированного доступа к критичным данным, нарушения работы приложения или атаки на его пользователей. Для выявления и классификации уязвимостей используются общепринятые мировые стандарты, включая OWASP и CVSS. Это позволяет эффективно оценить степень риска и предложить рекомендации для устранения выявленных проблем, тем самым минимизируя угрозы для веб-приложения и его пользователей.
Для идентификации выявленных уязвимостей̆ будут использованы общепринятые классификации, основанные на:

• OWASP TOP 10
• Common Vulnerabilities and Exposure (CVE)
• Common Weakness Enumeration (CWE)
• Open Source Vulnerability Database (OSVDB)

СОЦИОТЕХНИЧЕСКОЕ ТЕСТИРОВАНИЕ

Социотехническое тестирование представляет собой комплекс методов, направленных на эксплуатацию уязвимостей, связанных с человеческим фактором, таких как недостаточная внимательность, нехватка знаний в области информационной безопасности или нелояльность. Основные векторы атак нацелены на получение конфиденциальной информации о компании, а также проникновение в корпоративную сеть путем использования слабых мест в программном обеспечении, установленном на устройствах сотрудников. Тестирование позволяет оценить риск утечек информации и разработать меры для минимизации угроз, связанных с человеческими ошибками и недостаточной подготовкой персонала.
В процессе выполнения работ производятся следующие действия: