Downloaded 33 times
![Вопросы [email_address] www.auditagency.com.ua 044 228 15 88](https://image.slidesharecdn.com/pentestrequirements-101205092500-phpapp01/75/Pentest-requirements-12-2048.jpg)
Uploaded byGlib Pakharenko
Pentest requirements
Документ описывает требования и цели теста на проникновение, направленного на оценку устойчивости информационных систем и приложений к внешним и внутренним угрозам. Он освещает процесс планирования тестирования, включая вопросы, которые следует обсудить с заказчиком, а также подходы и методологии, используемые в ходе теста. В конце документа содержатся рекомендации по выбору команд пентестеров и требованиям к отчетам.
More Related Content
![[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ](https://cdn.slidesharecdn.com/ss_thumbnails/s16-00-111213051754-phpapp02-thumbnail.jpg?width=640&height=640&fit=bounds)
Similar to Pentest requirements
Pentest requirements
- 1. Требования к тесту на проникновение ( Penetration Test Requirements ) Владимир Ткаченко директор ООО “Агентство активного аудита”
- 2. Цели и областьприменения теста 05/12/10 © ООО «Агентство активного аудита» Основные цели тестирования систем(ы) или приложения (ний) на устойчивость ко взлому: Снизить потенциальный (финансовый и репутационный) ущерб от реализации угроз; Определить эффективность принятых мер безопасности для защиты от внешних (из сети Интернет) и внутренних угроз; Оценить устойчивость систем(ы) или приложения к наиболее распространенным видам внешних атак; Защитить потенциальных пользователей систем(ы) или приложения от компрометации их данных или других мошеннических действий Тест на проникновение проводится путем имитации или реализации настоящих хакерских атак !!!
- 3. Основные вопросы планированиятеста 05/12/10 © ООО «Агентство активного аудита» Основные вопросы на которые следует ответить заказчику при подготовке приложения (ний) или систем на устойчивость ко взлому: Как проводить пентест? Когда проводить пентест? Что нужно от нас для проведения пентеста? Цены и сроки тестирования? Критерии выбора поставщика услуг (команды пентестеров)? Что получим на выходе? Тест на проникновение проводится в отношении: Информационной системы (или совокупности систем); ИТ инфраструктуры; Персонала компании (в т. ч. ИТ персонала поддерживающего системы).
- 4. ПОДХОДЫ К ОРГАНИЗАЦИИТЕСТА 05/12/10 © ООО «Агентство активного аудита» В зависимости от целей, тест на устойчивость к взлому может проводиться в нескольких формах, которые предусматривают уровень осведомленности аудитора о внутреннем устройстве системы. Извне по отношению к системе Изнутри по отношению к системе Методологии: Open Source Security Testing Methodology Manual (OSSTMM) – Institute for Security and Open Methodologies (ISECOM); Guideline on Network Security Testing – National Institute of Standards and Technology (NIST) – 800-42; The Ten Most Critical Web Application Security Vulnerabilities – The Open Web Application Security Project (OWASP); Information Systems Security Assessment Framework – Open Information Systems Security Group (OISSG); A Penetration Testing Model – Federal Office for Information Security in Germany (BSI)
- 5. 05/12/10 Планирование иподготовка ЭТАПЫ Мероприятия Результаты Оценка защищенности Определение ответственных с обеих сторон; Проведение встречи для определения границ, подходов и методов; Согласование тестов и путей воздействия Соглашение о неразглашении конфиденциальной информации; Договор (предмет, ответственность сторон, оплата, сроки, условия и формат результатов ) Сбор информации о целевой системе; Идентификация устройств и сервисов ; Идентификация уязвимостей; Проникновение; Получение привилегий в системе; Развитие атаки; - Компрометация пользователей и/или систем; Создание каналов доступа к системе; Уничтожение следов пребывания в системе Список возможных уязвимостей и вариантов их эксплуатации Отчет об анализе защищенности Методология OISSG ( Open Information Systems Security Group) © ООО «Агентство активного аудита» Формирование отчета
- 6. 05/12/10 Когда нуженпентест? © ООО «Агентство активного аудита»
- 7. 05/12/10 Что нужнодля подготовки пентеста? © ООО «Агентство активного аудита»
- 8. 05/12/10 Цены исроки © ООО «Агентство активного аудита»
- 9. 05/12/10 Критерии выборакоманды пентестеров © ООО «Агентство активного аудита» Отзывы клиентов, примеры отчетов, наличие экспертов ( CISA, CISM, CEH … ) Методология должна быть описана, ранее оцененные системы должны быть похожими на те что есть у вас У поставщика должны быть процедуры обращения с информацией клиентов, и процедуры внутреннего контроля (прием на работу персонала, обработки и хранения данных и т.п., проверка качества работ ) . Каждый шаг авторизуется и протоколируется!!!
- 10. 05/12/10 Косвенн ыек ритерии выбора команды пентестеров © ООО «Агентство активного аудита» Маркетинговое исследование компаний предлагающих сканеры уязвимости (по данным Gartner февраль 2010)
- 11. Требования к отчету(что на выходе?) 05/12/10 © ООО «Агентство активного аудита»
- 12. Вопросы [email_address] www.auditagency.com.ua044 228 15 88
Editor's Notes
- #5 В начале проведения теста аудитор не располагает информацией о внутреннем устройстве тестируемой системы и не имеет к ней прав доступа. Она представляется ему «черным ящиком». Сбор информации о системе осуществляется через воздействие на вход системы и фиксацию результатов воздействия на ее выходе. Этот метод помогает выявить неизвестные уязвимости, но он не гарантирует, что все возможные уязвимости будут найдены и протестированы. ВАРИАНТ «БЕЛЫЙ ЯЩИК» Владелец системы предварительно предоставляет аудитору информацию о внутреннем устройстве системы и права доступа к необходимым для тестирования ресурсам. Далее тест проводится исходя из этой информации. Этот метод гарантирует, что все возможные векторы атаки будут протестированы. ВАРИАНТ «СЕРЫЙ ЯЩИК» Серый ящик является комбинацией двух методов, описанных выше. В случае проведения теста по варианту «Серый ящик», владелец системы может сообщить аудитору часть информации и(или) частично дать доступ к ресурсам системы.
- #6 Шаг 1 – Приоритезация действий На основе уровней риска ,полученных в рез-те оценки рисков (отчет за основу) – приоритезируем дальнейшие действия. При выделении ресурсов для уменьшения рисков наивысший приоритет дается рискам с неприемлемо высокими рейтингами (т.е. очень высокими (критическими) и высокими уровнями). Эти пары уязвимостей и угроз требуют немедленных коррективных действий для защиты информации банка и его функционирования. Результат – Рейтинг действий от высокого приоритета к низкому Шаг 2 – Оценка рекомендованных мероприятий по защите информации Мероприятия, рекомендованные в отчете по рискам могут не соответствовать параметрам или режимам работы отдельных ИТ систем или функциональных подразделений. На данном этапе анализируется осуществимость (совместимость и испытания реальными пользователями), а также эффективность (степень защиты и уменьшения риска) рекомендованных мероприятий. Результат – Список осуществимых мероприятий Шаг 3 – Анализ затрат и выгод Для оказания помощи менеджерам в процессе принятия ими решений и с целью идентификации экономически эффективных мероприятий проводится анализ затрат и выгод. (более детально об этом в Модуле 3)
- #8 Поддержка - главные мероприятия безопасности и лежат в основе большинства видов деятельности в области информационной безопасности. Превентивные – фокусируются на предотвращении использования брешей в безопасности. Обнаружение и восстановление – мероприятия, которые относятся к обнаружению брешей в системах безопасности и на восстановлении систем до обороноспособного уровня.