Tinklaraštis

Dokumentų pasirašymo programos „SIGNA“ saugumo analizė (4)

Kęstas Gudinavičius
2010-08-21

Dokumentų pasirašymo programos „DigiDoc“ saugumo analizė (1)

Kęstas Gudinavičius, 2010-08-08

Lietuvos e-sistemų (ne)kokybė: pažeidžiamumai EVV (12)

Kęstas Gudinavičius, 2010-07-10

Vagis != vagiui arba kaip pavogti megabaitą (4)

Miroslav Lučinskij, 2010-04-18

Twitter atnaujinimai

Naujas Twitter XSS pažeidžiamumas http://skeptikal.org/exploits/twitter/twitter_xss.html
Paskelbta: 2010-09-06 20:35:43

Cross-Origin CSS ataka http://bit.ly/dcvc9F, IE8 pažeidžiamumo demontracija http://bit.ly/aKLxfC
Paskelbta: 2010-09-04 12:12:32

Naujas žurnalo (IN)SECURE Magazine numeris http://bit.ly/9AqxNd
Paskelbta: 2010-09-01 15:51:51

Naujas žurnalo Hakin9 numeris http://bit.ly/a2Tsxi
Paskelbta: 2010-08-31 17:48:18

"use-after-free" tipo pažeidžiamumų išnaudojimas http://bit.ly/dglFi3
Paskelbta: 2010-08-31 09:38:12

Sekite mus Twitter – Archyvas

Technologinis įsibrovimo testas

Šiandien, kai informacinių kompanijos resursų apsauga jau yra būtinas verslo reikalavimas, technologinis įsibrovimo testas leidžia klientui išsiaiškinti egzistuojančias pažeidžiamas vietas IT infrastruktūroje, praktiškai pademonstruoti galimybę pasinaudoti aptiktomis spragomis ir suformuoti rekomendacijas kaip pašalinti spragas. Įsibrovimo testas leidžia sumodeliuoti realaus įsilaužėlio veiksmus ir nustatyti trumpiausią kelią į jūsų organizacijos informacines sistemas.

Kaip atliekama įsibrovimo testo (įsilaužimo galimybės patikrinimo) paslauga?

Testavimo režimo suderinimas su klientu

Testavimo režimas - tai visų pirma vykdytojo turimos informacijos lygis apie nagrinėjamą objektą ar jų visumą bei kliento noras platinti ar neplatinti informacijos apie atliekamą testavimą organizacijos viduje. Jeigu apie įsibrovimo testo atlikimą nežino niekas, išskyrus organziacjos IT vadovus ar saugumo skyriaus darbuotojus, tuomet sieksime visiškai imituoti realaus įsilaužėlio veiksmus, dirbdami maksimaliai nepastebimai, nepalikdami pėdsakų: taip galima nustatyti ne tik infrastruktūroje egzistuojančias saugumo spragas, bet ir už informacijos apsaugą atsakingų asmenų budrumo lygį bei pasiruošimą atremti informacijos saugumo incidentus. Jeigu klientas informuoja organizacijos IT bei informacijos saugumo specialistus apie vykdomą testavimą, tuomet įsibrovimo testas vyksta greičiau, kadangi pagrindinis uždavinys yra aptikti pažeidžiamumus ir įvertinti įsilaužimo į sistemas galimybę. Suderinus šias sąlygas pasirašomi reikalingi konfidencialumo susitarimai bei sutartys.

Įsibrovimo testo atlikimas

Įsibrovimo testo trukmė tiesiogiai priklauso nuo testo apibrėžimo srities. Tarkime, įsilaužimas į konkretų serverį gali būti atliktas per vieną dieną, o įsibrovimui į organizaciją kaip integralią visumą gali prireikti ir kelių mėnesių kruopštaus darbo, todėl nustatomas testavimo laikas yra apibrėžiamas kaip "protingas": tarkime įsilaužėlis nori įsibrauti į pašto serverį ir protingas terminas tokiam reikalui yra savaitė, daugiau laiko tam skirti neberacionalu. Šis terminas pasirenkamas abipusiu susitarimu.

Automatiniai pažeidžiamumų skenavimo/paieškos įrankiai yra naudojami tik epizodiškai, tam, kad būtų automatizuoti rutininiai veiksmai, o pagrindinis dėmesys yra skiriamas analitiniam darbui. Įsibrovimo testo paslauga nekenkia sistemų stabilumui, o prieš atliekant rizikingus veiksmus, galinčius turėti neprognozuojamas pasėkmes sistemų nepertraukiamam darbui, yra susitariama su atsakingais asmenimis.

Ši informacijos saugumo paslauga gali būti išorinė (pvz. įsilaužimas per iš interneto pasiekiamus resursus) ir vidinė (pvz. kompanijos vidinės infrastruktūros analizė iš darbuotojo perspektyvos). Rezultatas yra įsibrovimo testo ataskaita, kurią sudaro detalūs atliktų darbų aprašymai, visos išaiškintos spragos, įsilaužimo vektoriai bei praktiniai realizacijos aspektai. Kita svarbi ataskaitos dalis yra detalios rekomendacijos kaip pašalinti aptiktas problemas.

Apibendrinta informacijos saugumo paslaugos (įsibrovimo testo) darbų atlikimo seka yra maždaug tokia:

Išankstinės informacijos apie kliento tinklą gavimas. Naudojami tie informacijos šaltiniai, kurie prieinami įsilaužėliams. (Internetas, naujienos, konferencijos)
Tinklo žemėlapio sudarymas, įrenginių tipų nustatymas, programinės įrangos reakcijos į išorinį poveikį analizė.
Pažeidžiamumų ir tinklo tarnybų pažeidžiamumų identifikacija.
Kliento WEB svetainės scenarijų analizė ir pažeidžiamumų paieška.
Pažeidžiamumų išnaudojimas panaudojant tiek viešus, tiek ir privačius kompanijos ekspertų sukurtus įrankius.
Susitarus su klientu galimi bevielių tinklų saugos kontrolės darbai.
Klientui pageidaujant galimas išorinio perimetro ir atvirų resursų atsparumo prieš atsisakymo aptarnauti (DoS) atakas patikrinimas. Įvertinamas atsparumo laipsnis, taip pat ir galimi nuostoliai įvykdant labiausiai tikėtinus šių atakų scenarijus.
Konfidencialios informacijos apsaugos ir teisių paskirstymo kliento sistemose valdymo patikrinimas. Patikrinamas priėjimas prie duomenų su privilegijomis, gautomis įvairiuose testavimo etapuose.
Analizės metu gauta informacija apdorojama, dokumentuojama, susitarus su klientu parengiamos rekomendacijos kaip pagerinti tinklo bei konfidencialios informacijos apsaugą: parengiama detali įsibrovimo testo ataskaita apie atliktus darbus ir patikrinimų rezultatus, aptariamas bendras įmonės IT saugumas, duomenų apsauga ir naudojamos saugumo technologijos. Rekomenduojamos papildomos informacijos saugumo paslaugos.

Technologinis įsibrovimo testas

Klauskite mūsų

Vardas:
El. paštas:
Klausimas: