Penetration testing is one of the most usefull authorised and legal tools in discovering security breaches.

1. ĮSILAUŽIMO GALIMYBĖS
ĮVERTINIMAS (ANGL.
PENETRATION TESTING):
TEORIJA IR PRAKTIKA
A.Spiridenkovas

2. Kas yra įsilaužimo galimybės
įvertinimas ir kam to reikia?
2
“Įsilaužimo galimybės įvertinimas gali būti apibrėžtas kaip
legalus ir autorizuotas bandymas nustatyti saugumo
pažeidžiamumus ir sėkmingas jų panaudojimas įsilaužimui į
sistemą tam, kad padarytume ją saugesne.”
Kam to reikia?
- Saugumo įvertinimas (rizikų valdymas)
- Atitiktis (PCI, ISO, SOX, įstatymai)
- Kontrolės (IDS, DLP, ugniasienės)

3. 2013 m.
3

4. Atsitiktinumas
4

5. Ką būtina padaryti, prieš atliekant
įsilaužimo galimybės vertinimą
- Vadovybės pritarimas;
- Taikymo srities nustatymas;
- Žinojimas, kas yra jautrausia ir
kas gali sukelti didžiausią žalą;
- Patikrinkite saugumo
testuotojus, žinokite jų
sugebėjimus;
- Žinokite, kokius metodus jie
naudoja;
- Peržiūrėkite ataskaitų
pavyzdžius;
- Automatizuotų saugumo
spragų nustatymo programų
naudojimas nėra įsiskverbties
bandymo testas.
5

6. 6

7. Dažniausiai pasitaikantys nesusipratimai
- Apimtis yra nuslėpiama nuo testuotojų arba
blogai apibrėžta;
- Trečios šalys nėra informuotos apie testus;
- Sistema nėra paruošta;
- Blogai suderintas testavimo laikas;
- Sistemų administratoriai pradeda šalinti
klaidas arba išjunginėti sistemas testo
metu;
- Pakartotinas patikrinimas nėra
numatomas biudžete;
- Periodinis testavimas išvis nėra
svarstomas;
- Apie biudžetą išvis neverta kalbėti...
7

8. Įsiskverbimo testų tipai
8
„Juodosios dežės“ (black-box (blind))
„Pilkosios dežės“ (gray-box (partial
disclosure))
„Baltosios dežės“ (white-box (full
disclosure))

9. Įsiskverbimo testų etapai
9
1. Establish goal (tikslo nustatymas)
2. Reconnaissance (žvalgyba, informacijos rinkimas)
3. Discovery (aptikimas, prievadų skanavimas)
4. Exploitation
5. Brute forcing
6. Social engineering
7. Taking control
8. Pivoting
9. Evidence collection
10. Reporting
11. Remediation

10. AČIŪ!
10