2. Аудит - систематический,
независимый и
документированный
процесс получения
свидетельств аудита и
объективного их
оценивания с целью
установления степени
выполнения
согласованных критериев
аудита
5. Критерии аудита ИБ
• способность сотрудников противостоять
действиям злоумышленников,
Люди пытающихся с помощью обмана получить
конфиденциальную информацию
• требования корпоративных политик,
Процессы международных стандартов,
законодательства
• уровень защищенности информационных
Технологии систем от внутренних и внешних
злоумышленников
5
7. Подходы к оценке
защищенности
Сканирование на
Классический тест
наличие
на проникновение
уязвимостей
Анализ
Комплексный
конфигурации
подход
системы
7
8. Что такое тестирование на
проникновение?
• Метод оценки защищенности
информационной системы или
сети с помощью имитации
атаки (действий
злоумышленников).
• English: penetration testing,
ethical hacking
8
10. Классический тест на
проникновение
• Имитация действий реального
злоумышленника – поиск
первой уязвимости,
позволяющей получить доступ
к системе
• Больше искусство, чем аудит.
Качество сильно зависит от
уровня специалиста
• Обычный результат: несколько
опасных уязвимостей
• Высокий риск нарушения
доступности систем
10
11. Сканирование
• Использование
исключительно сканеров для
поиска уязвимостей
• Качество сильно зависит от
используемого сканера.
• Результат: множество
уязвимостей различного
уровня опасности
• Средний риск нарушения
работоспособности систем
11
12. Анализ конфигурации
системы
• Проверка настроек систем в
соответствии с
рекомендуемыми вендорами
или сообществами
профессионалов по ИБ (NIST,
Center of Internet Security).
• Результат: множество
уязвимостей различного
уровня опасности
• Низкий риск нарушения
работоспособности систем
12
13. Тестирование
на
проникновение
Анализ
Сканирование
конфигурации
Комплексный
подход
13
14. Комплексное тестирование
идентификация • сбор информации о внешних ресурсах в Интернет
• сканирование сети
целевых • согласование перечня с заказчиком
сетевых узлов
• с помощью сканеров
поиск • вручную (по баннерам, ошибки конфигурации)
уязвимостей
эксплуатация • подбор паролей
• перехват трафика
уязвимостей и • запуск эксплойтов
проведение атак • и т.д.
расширение • запуск локальных эксплойтов
• использование собранной информации для доступа
привилегий и к другим системам
зоны влияния
14
15. Цели оценки защищенности
Классический • Демонстрация незащищенности
тест на систем
проникновение
• Быстрый поиск уязвимостей для
Сканирование их устранения
• Поиск уязвимостей при
Анализ минимальном воздействии на
конфигурации работу систем
• Поиск максимального количества
Комплексный уязвимостей с контролируемыми
подход рисками проекта
15