Во всем мире тест на проникновение считается важной частью комплексного аудита IT-безопасности. Признанные эксперты работают над созданием целых стандартов для его проведения. И сегодня мы поговорим о лучших из них.

Хорошо структурированный стандарт с разработанной картой безопасности. На ней обозначены самые опасные зоны, которые нужно проверить в первую очередь:

информационная безопасность;

физическая безопасность;

интернет-безопасность;

безопасность каналов связи;

безопасность беспроводных технологий;

осведомленность персонала в вопросах безопасности.

Отдельным пунктом стоит тестирование межсетевых экранов (МЭ). В стандарте указано более 30 проверок их безопасности, а также приведены все данные, которые взломщик сможет получить, обойдя их защиту.

Единственный минус – все описания слишком формальны, в них нет детальных пояснений по каждому пункту.

Очень популярный стандарт, разработанный ведущими американскими специалистами в сфере IT-безопасности.

Предлагает 4-фазное тестирование:

Планирование (устанавливаются и документируются правила, объекты и цели проверки).

Исследование (сбор информации и анализ уязвимостей).

Атака (проверка собранных уязвимостей на возможность проникновения).

Отчет (описание уязвимостей, оценка рисков, меры по повышению защищенности системы).

К слову, хоть основной отчет пишется в самом конце, после каждой из 3 предыдущих фаз пентестер составляет промежуточные отчеты.

Известный немецкий стандарт, в котором внимание уделено не только технике пентеста, но и правовым аспектам такого рода проверок.

Предлагает 3 метода воздействия на IT-систему:

атаки через сеть;

обход физических мер безопасности;

воздействия через человеческий фактор.

Любой метод отрабатывается в 5 этапов: сбор информации, сканирование системы на наличие доступных сервисов, идентификация системы и подключенных к ней приложений, исследование и использование уязвимостей.

В приложениях к стандарту содержится также перечень ПО, которое подходит для проведения предложенных методов тестирования.

Идеальный вариант для внутренней проверки крупных компаний. Не ограничивается техническими моментами, а предполагает тестирование по нескольким параметрам:

соответствие политик IT-безопасности признанным стандартам, нормативным требованиям и законам;

степень зависимости бизнеса от IT-инфраструктуры в целом и уровня ее защищенности в частности;

наличие и характер уязвимостей, которые могут нести угрозу безопасности информационных активов и т.д.

Сама методология направлена на оценку состояния межсетевых экранов и включает 4 этапа:

общий анализ МЭ;

обнаружение неправильных конфигураций;

тестирование атак на МЭ;

тестирование системы по специфическим параметрам.

Основная цель теста – подобрать оптимальную модель, которая обеспечит информационную безопасность и непрерывность бизнес-процессов.

Сравнительно новый стандарт, позволяющий не только оценить реальные возможности службы безопасности, но и проанализировать, как поведет себя система при разном размахе атак (так называемые масштабируемые тесты на проникновение). Делает упор не только на технические аспекты IT-безопасности, но и на ее соответствие потребностям конкретного бизнеса.

Тестирование разбито на 6 фаз:

сбор информации;

моделирование угроз;

анализ уязвимостей;

выбор оптимального пути атаки;

проникновение в систему, попытка захвата контроля над важными ресурсами (в идеале – постаравшись как можно дольше скрывать факт взлома и присутствия в системе злоумышленника);

анализ последствий проникновения и составление отчета.

Конечно, пользоваться общепризнанными стандартами пентеста необязательно. Но весьма желательно. Если вы хотите добиться максимальных результатов, стоит взять на вооружение профессиональные разработки, которые уже доказали свою эффективность.