Добавить новость

Антонов: Россия ставит перед США вопрос возврата захваченной дипсобственности

Собственник здания не может выгнать мигрантов: О хостеле в Балашихе узнали в СК. Бастрыкин требует отчёт

У спальных районов проснулся аппетит // Жители московских окраин стали чаще ходить в рестораны

Geo: мимо Запада благодаря Путину проходят тонны золота



Новости сегодня

Новости от TheMoneytizer

Задраить люки: как найти уязвимости в системе информационной безопасности

Подготовительный этап тестирования

SAST — статистический анализ кода. «Береги код смолоду» — так можно описать задачу этой методики тестирования, применяемой еще на этапе разработки системы безопасности. SAST производится во время написания кода или параллельно с первым тестовым запуском уже готовой сборки. Плюс этого метода заключается в возможности обнаружить наиболее простые баги на самом раннем этапе, а значит, сэкономить время и другие ресурсы на их устранение. На рынке существуют готовые программные решения для проведения SAST, среди которых можно выбрать наиболее подходящее. Приступая к статистическому анализу кода, следует помнить о его главном минусе — достаточно большом количестве ложноположительных результатов. Речь идет об уязвимостях, которые не требуют устранения, так как их «закрывают» другие части архитектуры самого решения.

DAST — динамический анализ приложения. Полностью автоматическое подобие пентеста уже готового приложения, призванное выявить специфические уязвимости. Чаще всего DAST используют для поиска SQL-инъекций — классического метода взлома баз данных, в ходе которого вредоносный код «встраивается» в запросы приложения к базе данных. Это позволяет злоумышленникам получить доступ к конфиденциальной информации, хранящейся на серверах компании. Для DAST зачастую используют тот же пакет специализированного софта, что и для SAST, — обычно решения позволяют проводить оба вида тестирования.

Основной этап тестирования

Penetration test — он же тест на проникновение, он же пентест. Как отмечают эксперты компании «Информзащита», пентест является ключевым этапом оценки системы информационной безопасности организации. Он заключается в моделировании атаки злоумышленников, будь то попытки внедрения извне через подключенные к интернету рабочие станции или же киберсаботаж инсайдера с доступом к тем или иным частям системы (корпоративного пользователя).

Правильно настроенный пентест имитирует все виды попыток проникновения в систему. Фото: downloaded from Freepik

Для того, чтобы избежать ситуации «пранк вышел из-под контроля», когда пентест приносит серьезные проблемы ИТ-инфраструктуре компании, следует помнить о некоторых предосторожностях. Прежде всего специалисты советуют не использовать недостаточно проверенные, потенциально нестабильные эксплоиты. Это легко может привести к ситуации, когда информационные ресурсы компании становятся недоступными части пользователей на все то время, пока пентестер судорожно вычищает сбрендивший вредоносный код из системы.

Вторая ошибка при пентесте — это гонка. Нередко из-за чрезмерно сжатых сроков у специалистов по безопасности не остается достаточно времени на анализ полученных в ходе различных этапов пентеста данных. В итоге качество всего аудита снижается, а затраты на него выглядят все менее оправданными.

В крупных компаниях с большим количеством работников применяют «физический пентест» на основе технологий социальной инженерии. По существу это тестирование роли человеческого фактора в уязвимости корпоративной системы информационной безопасности. Задача физического пентеста — при помощи манипуляций заставить пользователей совершить действия, дающие потенциальным злоумышленникам доступ к системе. Например, вставить в USB-порт рабочего компьютера незнакомую флешку, найденную на офисном столе, или назвать свой пароль  от рабочей станции «специалистам» по телефону.

BAS — моделирование взломов и атак. Самый простой, можно сказать, «ленивый» вид пентеста, когда проверка на уязвимости проводится полностью автоматически при помощи специализированного программного обеспечения. Для крупной организации с обширной многоуровневой ИТ-инфраструктурой этот метод подходит скорее в качестве дополнения к полноценному пентесту силами команды специалистов.

Продвинутый уровень тестирования

Red Teaming — они же киберучения. Эксперты компании «Информзащита» отмечают, что эта методика наиболее приближена к реальным условиям, так как представляет собой полную имитацию целевых хакерских атак на инфраструктуру компании. В ходе киберучений «красная команда» использует все самые современные приемы взлома, действуя по двум направлениям сразу — внешнему (через интернет) и внутреннему (через интранет). По большому счету red teaming представляет собой испытание не только для самой инфраструктуры и программного кода, но и для команды системных администраторов. Идеальная работа «красной команды» — получить доступ к информационной системе компании незаметно для сисадминов и пользователей.

«Красная команда» в ходе киберучений осуществляет контролируемый взлом системы. Фото: downloaded from Freepik

Purple Teaming. Более интенсивный вариант киберучений, в ходе которого задействованы уже две команды высококлассных профессионалов: атакующая (Red Team) и защитная (Blue Team). Отличие от классического варианта заключается в возможности координировать действия двух команд и на ходу формулировать наиболее репрезентативные и валидные для конкретной системы задачи взлома.

Bug bounty. Настоящий «хардкор» аудита кибербезопасности, на который решаются далеко не все компании. Если предыдущие «игры во взлом» проходят под чутким контролем руководства ИТ-подразделения компании как заказчика услуг, то здесь все по-настоящему: организация попросту открывает частичный доступ к своей системе для неограниченного круга хакеров и заявляет о денежном вознаграждении за взлом. Риски подобного привлечения «белых хакеров» очевидны: взломщик может скрыть свой успех, отказаться от награды и продать доступ к системе на черном рынке за большую сумму.

Рискованный метод Bug bounty подходит для компаний, на 99% уверенных в своей системе. Фото: downloaded from Freepik

Дополнительные меры

Некоторые компании используют более широкую палитру мер обеспечения кибербезопасности. Среди них:

Yellow Team —  команда разработчиков, которая непрерывно работает над улучшением стандартов и политик безопасности в компании. Эти специалисты отличаются от упомянутой выше Blue Team тем, что не занимаются непосредственно отражением атак, мониторингом системы и оперативным реагированием. Yellow Team — это своеобразные «труженики тыла» кибербезопасности.

Orange Team — это методика, подразумевающая прямое взаимодействие атакующей команды (Red Team) и архитекторов системы безопасности (Yellow Team).

Green Team — соотвественно, совместная работа двух «защитных» команд: «оперативников» (Blue Team) и «архитекторов» (Yellow Team).

Все описанные выше методики эффективны лишь при системном аналитическом подходе и последовательном применении. В этом случае они способны обеспечить высокую репрезентативность тестирования корпоративной системы информационной безопасности и сохранить бизнес от крупных цифровых неприятностей.

Обложка — downloaded from Freepik.

The post Задраить люки: как найти уязвимости в системе информационной безопасности appeared first on Хайтек.

Читайте на 123ru.net


Новости 24/7 DirectAdvert - доход для вашего сайта



Частные объявления в Вашем городе, в Вашем регионе и в России



Smi24.net — ежеминутные новости с ежедневным архивом. Только у нас — все главные новости дня без политической цензуры. "123 Новости" — абсолютно все точки зрения, трезвая аналитика, цивилизованные споры и обсуждения без взаимных обвинений и оскорблений. Помните, что не у всех точка зрения совпадает с Вашей. Уважайте мнение других, даже если Вы отстаиваете свой взгляд и свою позицию. Smi24.net — облегчённая версия старейшего обозревателя новостей 123ru.net. Мы не навязываем Вам своё видение, мы даём Вам срез событий дня без цензуры и без купюр. Новости, какие они есть —онлайн с поминутным архивом по всем городам и регионам России, Украины, Белоруссии и Абхазии. Smi24.net — живые новости в живом эфире! Быстрый поиск от Smi24.net — это не только возможность первым узнать, но и преимущество сообщить срочные новости мгновенно на любом языке мира и быть услышанным тут же. В любую минуту Вы можете добавить свою новость - здесь.




Новости от наших партнёров в Вашем городе

Ria.city

Планы на выходные 31 августа – 1 сентября: последняя суббота лета и генеральная репетиция Нового года

Детский хоспис в Московской области отпраздновал первый юбилей

Нападающий Соболев перешел из "Спартака" в "Зенит"

Антонов: Россия ставит перед США вопрос возврата захваченной дипсобственности

Музыкальные новости

Выставка «Вехи истории» в Можайске вошла в топ-100 лучших музеев Победы

«Пятёрочка» занимает 10% рынка электрозаправок в Петербурге

Поражением 3:4 по буллитам завершился для СКА предсезонный турнир имени Пучкова, с таким же счётом «Спартак» обыграл «Динамо» на Кубке мэра Москвы

Росгвардейцы обеспечили безопасность на футбольных матчах РПЛ в Москве

Новости России

Geo: мимо Запада благодаря Путину проходят тонны золота

Родные барханы. Топ-3 лучших пляжей в Москве

"Ин Русия перфекто": Мигрантов из Средней Азии сменили "загадочные" рабочие

Подмосковный мастер показал уникальный станок для СВО

Экология в России и мире

Радио Romantika рекомендует open-air «Легенды мирового рока»

Мегадискотека Детского радио «Дети как звезды!» пройдет 1 сентября в Москве и Санкт-Петербурге

Прекрасной игры участникам теннисного турнира памяти Ю. М. Лужкова пожелала Елена Батурина

Beauty новинки осени: SIBERINA и Agenda

Спорт в России и мире

Дарья Касаткина завершила участие на US Open

Хуберт Хуркач одолел Тимофея Скатова на старте Открытого чемпионата США — 2024

Теннисист Рублев вышел в четвертый круг Открытого чемпионата США

Анна Блинкова проиграла Эмме Наварро на старте Открытого чемпионата США

Moscow.media

3 региона Северного Кавказа лидируют по частоте страховых случаев и рисков мошеннических действий по ОСАГО

Радио Romantika рекомендует open-air «Легенды мирового рока»

Прощальный вечер...

МВД: Количество нелегалов в России превысило 630 тысяч человек











Топ новостей на этот час

Rss.plus






У спальных районов проснулся аппетит // Жители московских окраин стали чаще ходить в рестораны

Собственник здания не может выгнать мигрантов: О хостеле в Балашихе узнали в СК. Бастрыкин требует отчёт

Родные барханы. Топ-3 лучших пляжей в Москве

Прекрасной игры участникам теннисного турнира памяти Ю. М. Лужкова пожелала Елена Батурина