Как организовать и провести тестирование на проникновение и ничего не сломать? Расскажет Швецов Константин, ведущий эксперт Регионального Центра Развития «Казань» Центрального Банка РФ    

PENETRATION TEST VS VULNERABILITY ASSESSMENT    

Тестирование на проникновение ставит своей основной задачей именно проникновение в систему, получение доступа к закрытой информации и «заметание следов».   

ЭТАПЫ ПЕНТЕСТА   

1) планирование   
2) разведка   
3) сканирование   
4) эксплуатация (получение доступа)   
5) пост-эксплуатация (закрепление в системе)   
6) сокрытие следов   
7) анализ   
8) отчёт   

Чем больше внимания уделено первому этапу - тем меньше боли на остальных и выше ценность результата   

Бюджет - это основная движущая сила тестирования. Бюджет во многом определяет область и глубину тестирования, выбор средств и подходов   

ОПРЕДЕЛИТЕ ОБЛАСТЬ ТЕСТИРОВАНИЯ   
Тщательно продуманная и описанная область тестирования – залог более ценного отчёта по итогу   

- Чётко определите, что вы хотите видеть в качестве конечного результата   
- Определитесь со стратегией  
- Обозначьте типы злоумышленников, действия которых вы хотите сымитировать    
- Зафиксируйте модель угроз   
- Обозначьте цели атак и определите их критичность для бизнеса   
- Удостоверьтесь, что ваши средства обеспечения безопасности работают, согласно ваших требований   
- Создайте и следуйте конкретному расписанию   
- Найдите пути, как обезопасить себя от внезапного расширения области тестирования    
- Опишите все необходимые выходные данные, включая протоколы встреч и совещаний    

ВЫ ГОТОВЫ К ТЕСТИРОВАНИЮ ЕСЛИ   

1) Вы понимаете цель проведения пентеста   
2) Чётко определён круг заинтересованных лиц, включая владельцев компании   
3) Зафиксирован план действий, в случае непредвиденных обстоятельств   
4) Определены технические ограничения   
5) Сформирован бюджет   
6) Соглашение о тестировании содержит данные для коммуникаций с обеих сторон