Testy penetracyjne


Program badania bezpieczeństwa informatycznego

   (plan przeprowadzania testów penetracyjnych)

Programy badania określane przez SecureDyne Systems dopasowane są do indywidualnych potrzeb naszych klientów, specyfiki sieci informatycznej, jej zasobów, zastosowanych urządzeń aktywnych, wyników analizy ryzyka oraz stopnia kontroli wewnętrznej. Prezentujemy poniżej część wspólną wszystkich programów badania, który może okazać się pomocny w określaniu ścieżki badania bezpieczeństwa informatycznego w Państwa firmie.

1. Etap przygotowawczy - na tym etapie powstaje wstępny harmonogram zawierający zakres prac:

  • przygotowanie i analiza dokumentacji,
  • wstępne testy penetracyjne zasobów (serwery oraz transmisja danych), skanowanie sieci i identyfikacja zasobów,
  • szczegółowe skanowanie systemów,
  • przygotowanie raportu z wykonanych testów.

2. Uzyskanie dostępu do dokumentacji systemu oraz zapoznanie się z testowanym systemem - na tym etapie zostają również zidentyfikowane istniejące ryzyka, mechanizmy je ograniczające oraz następuje określenie narzędzi niezbędnych do przeprowadzenia skanowania. Dostarczona dokumentacja powinna zawierać:

  • protokoły oraz procedury instalacyjne poszczególnych serwerów,
  • adresację IP i schemat komunikacji sieciowej w systemie - przepływ danych,
  • informację dotyczącą otwartych portów TCP/UDP z informacją o procesach nasłuchujących,
  • konfigurację istotnych procesów i parametrów systemu,
  • reguły programowe urządzeń filtrujących.

3. Testy penetracyjne środowiska - (wewnętrzne i zewnętrzne) proces ten ma na celu inwentaryzację systemów i aplikacji widocznych z sieci zewnętrznej i wewnętrznej, oraz identyfikację zasobów systemu. W skład testów penetracyjnych wchodzi:

  • Rekonesans sieci:
    • badanie odpowiedzi DNS,
    • badanie sieci metodami typu traceroute,
    • poszukiwanie wycieków w architekturze sieci (np. w źródłach serwisów WWW i w nagłówkach e-mail),
    • bierny podsłuch i analiza ruchu sieciowego.
    • Skanowanie sieci:
      • badanie ścieżki dostępu do atakowanego obiektu (traceroute, pakiety ICMP, inne),
      • próby obejścia zapory firewall,
      • odnalezienie aktywnych systemów,
      • skanowanie w poszukiwaniu otwartych portów.
    • Identyfikacja usług
      • identyfikacja wg numeru portu,
      • analiza nagłówków serwisu,
      • wykrycie i analiza potencjalnie niebezpiecznych serwisów (np. ftp, telnet),
      • wykrycie i analiza zbędnych komponentów serwisów.
    • Identyfikacja systemów
      • stack fingerprinting,
      • passive fingerprinting,
      • wyciągnięcie wniosków z rezultatów identyfikowanych usług.
    • Badania zidentyfikowanych uprzednio ryzyk oraz wykrywanie potencjalnych nowych zagrożeń i ich weryfikacja,
      • weryfikacja zaimplementowanych metod kontroli przepływu danych oraz ochrony serwerów,
      • zidentyfikowanie potencjalnych możliwości eskalacji przywilejów, pozyskania danych oraz ataków Dos,
      • próby wykorzystania potencjalnie niebezpiecznych konfiguracji usług,
      • analiza bezpieczeństwa skanerami automatycznymi.

4. Skanowanie serwerów - proces ten ma na celu wykrycie luk i podatności związanych z działaniem aplikacji internetowych, serwerów MYSQL, i innych usług, oraz uzyskanie nieautoryzowanego dostępu, identyfikację systemu w szczególności identyfikacja usług i uruchomionych aplikacji co prowadzi do wykrycia w nich luk lub też oczekiwanie na wykrycie podatności. W trakcie testów serwera przeprowadzane są ataki typu:

  • Denial of Service,
  • Man-In-The-Middle,
  • Cross Site Scripting,
  • SQL Injection,
  • i inne.

5. Analiza wyników - ma na celu zebranie informacji, analizę wykonanych czynności audytorskich oraz określenie rekomendacji i przygotowanie raportu z badania.

  • Zebrany raport zawiera:
    • całościową ocenę bezpieczeństwa informatycznego,
    • analizę ryzyka związanego z bezpieczeństwem oraz wykrytymi lukami,
    • rekomendacje i zalecenia służące zwiększeniu bezpieczeństwa,
    • wnioski i wytyczne do wykorzystania podczas kolejnych testów.

 


Poprzednia strona: Utrzymanie infrastruktury IT
Następna strona: Partnerzy