Современные методики Пентеста

В современных условиях кризиса компаниями-конкурентами применяются различные методы, которые направленны на дестабилизацию функционирования той или иной организации. Только выстроив комплексную четкую систему информационной сетевой безопасности можно противодействовать этим угрозам.

Процедуру изучения и выявления различного рода уязвимостей в сфере кибербезопасности организации, моделирования действий злоумышленников по взлому и проникновению в ИТ инфраструктуру и сервисы компании называют тестирование на проникновение (пентест).

Популярные методики при проведении пентеста

Пентест включает в себя определенный набор правил, процедур, технологий и рекомендаций. Профессиональные пентестеры при проведении тестирования на проникновение используют международные методики, которые принимались в сфере информационной безопасности, а именно:

• The Open Source Security Testing Methodology Manual (OSSTMM);
• Information System Security Assessment Framework (ISSAF);
• Penetration Testing Execution Standard (PTES);
• NIST Special Publication 800-115 (NIST SP800-115);
• Open Web Application Security Project Testing Guide (OWASP);
• А Penetration Testing Model (BSI);
• Payment Card Industry Data Security Standard (PCI DSS).

Рассмотрим более подробнее основные методики оценки защищенности информационных систем.

Пентест методикой OSSTMM

OSSTMM это универсальный, базовый стандарт при тестирование на проникновение, благодаря которому можно выстроить четкий план, шкалу оценивания уровня безопасности. Благодаря способу The Open Source Security Testing Methodology Manual пентестер имеет возможность индивидуально оценить уровень безопасности учитывая при этом и отраслевые и технологические характеристики компании. Методология OSSTMM предлагает несколько базовых направлений для пентеста, а именно:

• безопасность человека;
• беспроводная связь;
• телекоммуникации;
• сети передачи данных.

Проведенный тест по вышеупомянутому способу будет подробным и комплексным, а результаты — основанными на фактах.

Методика ISSAF

ISSAF — один из самых сложных, но в тоже время популярных способов, в котором четко указаны рекомендации по проведению пентеста, детально описываются утилиты, варианты их использования, а также полученные результаты. Все процессы тестирования при использовании методики Information System Security Assessment Framework документируются.

Методологию Information System Security Assessment Framework адаптируют для проведения комплексной проверки информационной безопасности разных компаний.

Методика оценки защищенности информационных систем PTES

В методологии Penetration Testing Execution Standard предложены рекомендации для проведения базового пентеста, для компаний, которые имеют высокое требование к безопасности информационной. Одним из основных преимуществ методологии PTES, по сравнению с другими методами, является его возможность подробного, четкого определения целей, задач, ожиданий от проведения пентеста. К тому же, в методике Penetration Testing Execution Standard имеется руководство для выполнения повторного проведения тестирования, которое помогает определить эффективность закрытия выявленных уязвимостей.

К основным этапам методологии PTES относятся:

• обследование;
• моделирование угроз;
• анализ уязвимостей;
• эксплуатация уязвимости;
• составление отчета.

NIST SP800-115

Одной из главных методологий, которая используется для проверки уровня информационной безопасности компаний является NIST Special Publication 800-115. В ней описываются:

• методы проверки целевых уязвимостей;
• оценка безопасности;
• действия по итогам проведения тестирования;
• методы обследования.

Сертифицированные специалисты RoundSec company проведут независимое экспертное тестирование ИТ инфраструктуры и сервисов компании заказчика на проникновение. Предоставят детальный отчет, а также рекомендаций по вопросам безопасности.

Поделиться публикацией в социальных сетях: