ĮSILAUŽIMO GALIMYBĖS
ĮVERTINIMAS (ANGL.
PENETRATION TESTING):
TEORIJA IR PRAKTIKA
A.Spiridenkovas
Kas yra įsilaužimo galimybės
įvertinimas ir kam to reikia?
2
“Įsilaužimo galimybės įvertinimas gali būti apibrėžtas kaip
l...
2013 m.
3
Atsitiktinumas
4
Ką būtina padaryti, prieš atliekant
įsilaužimo galimybės vertinimą
- Vadovybės pritarimas;
- Taikymo srities nustatymas;
-...
6
Dažniausiai pasitaikantys nesusipratimai
- Apimtis yra nuslėpiama nuo testuotojų arba
blogai apibrėžta;
- Trečios šalys nė...
Įsiskverbimo testų tipai
8
„Juodosios dežės“ (black-box (blind))
„Pilkosios dežės“ (gray-box (partial
disclosure))
„Bal...
Įsiskverbimo testų etapai
9
1. Establish goal (tikslo nustatymas)
2. Reconnaissance (žvalgyba, informacijos rinkimas)
3. D...
AČIŪ!
10
Upcoming SlideShare
Loading in …5
×

Penetration_testing a.spiridenkovas

349 views
276 views

Published on

Penetration testing is one of the most usefull authorised and legal tools in discovering security breaches.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
349
On SlideShare
0
From Embeds
0
Number of Embeds
112
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Penetration_testing a.spiridenkovas

  1. 1. ĮSILAUŽIMO GALIMYBĖS ĮVERTINIMAS (ANGL. PENETRATION TESTING): TEORIJA IR PRAKTIKA A.Spiridenkovas
  2. 2. Kas yra įsilaužimo galimybės įvertinimas ir kam to reikia? 2 “Įsilaužimo galimybės įvertinimas gali būti apibrėžtas kaip legalus ir autorizuotas bandymas nustatyti saugumo pažeidžiamumus ir sėkmingas jų panaudojimas įsilaužimui į sistemą tam, kad padarytume ją saugesne.” Kam to reikia? - Saugumo įvertinimas (rizikų valdymas) - Atitiktis (PCI, ISO, SOX, įstatymai) - Kontrolės (IDS, DLP, ugniasienės)
  3. 3. 2013 m. 3
  4. 4. Atsitiktinumas 4
  5. 5. Ką būtina padaryti, prieš atliekant įsilaužimo galimybės vertinimą - Vadovybės pritarimas; - Taikymo srities nustatymas; - Žinojimas, kas yra jautrausia ir kas gali sukelti didžiausią žalą; - Patikrinkite saugumo testuotojus, žinokite jų sugebėjimus; - Žinokite, kokius metodus jie naudoja; - Peržiūrėkite ataskaitų pavyzdžius; - Automatizuotų saugumo spragų nustatymo programų naudojimas nėra įsiskverbties bandymo testas. 5
  6. 6. 6
  7. 7. Dažniausiai pasitaikantys nesusipratimai - Apimtis yra nuslėpiama nuo testuotojų arba blogai apibrėžta; - Trečios šalys nėra informuotos apie testus; - Sistema nėra paruošta; - Blogai suderintas testavimo laikas; - Sistemų administratoriai pradeda šalinti klaidas arba išjunginėti sistemas testo metu; - Pakartotinas patikrinimas nėra numatomas biudžete; - Periodinis testavimas išvis nėra svarstomas; - Apie biudžetą išvis neverta kalbėti... 7
  8. 8. Įsiskverbimo testų tipai 8 „Juodosios dežės“ (black-box (blind)) „Pilkosios dežės“ (gray-box (partial disclosure)) „Baltosios dežės“ (white-box (full disclosure))
  9. 9. Įsiskverbimo testų etapai 9 1. Establish goal (tikslo nustatymas) 2. Reconnaissance (žvalgyba, informacijos rinkimas) 3. Discovery (aptikimas, prievadų skanavimas) 4. Exploitation 5. Brute forcing 6. Social engineering 7. Taking control 8. Pivoting 9. Evidence collection 10. Reporting 11. Remediation
  10. 10. AČIŪ! 10

×