Тестване на информационните системи – Пенетрейшън тест, тестване за уязвимости, социално инженерство, превенция от DOS атаки

Какво е пенетрейшън тест?

Тест за проникване или така наречения Пененетрейшън тест /Pen-test/ е опит да се изпита сигурността на ИТ инфраструктурата, като се проникне безопасно в нея. Пробиви в сигурността може да се осъществят в операционните системи, в услуги и приложения, неправилни конфигурации или рисково поведение на крайни потребители. Такива оценки са полезни както при потвърждаване на ефикасността на защитните механизми, така и с цел спазване на политиките за сигурност от крайните потребители.

Пен тестът обикновено се извършва с помощта на ръчни или автоматизирани технологии за систематично компрометиране на сървъри, защитни стени, уеб приложения, безжични мрежи, мрежови устройства, мобилни устройства и други потенциални точки. След като тестовете са били успешно приложени в определена система, тестерите могат да се опитат да използват компрометираната система, за да стартират изпитвания на други вътрешни ресурси – по-специално като се опитват постепенно да пробият по-високи нива на сигурност и да осъществят по-дълбок достъп до електронни активи и информация чрез повишаване на привилегиите.

Основната цел на тестовете за проникване е да се измери уязвимостта на системите или грешките на крайния потребител и да се оценят всички свързани последствия, които такива инциденти могат да имат върху свързаните ресурси или операции.


Мрежови пенетрейшън тест

Глобъл мениджмънт консултинг /GMC/ може да предотврати евентуални пробиви, като идентифицира потенциални заплахи и предложи контролни мерки за управление на уязвимостите, преди злонамерени хакери да успеят да ги експлоатират. Пенетрейшън тестът може да се извърши както отвън, така и отвътре, анализирайки Вашите локална и глобална мрежи. Анализираме степента на защита на Вашата вътрешна и публично достъпна мрежа. Способни сме да създадем виртуална топология на Вашите сървъри, рутери, суичове, точки за достъп, защитни стени, IPS/IDS устройства и други. След проучване на наличните устройства във Вашата мрежа, проверяваме доколко те са ъпдейтнати и тестваме всички възможни уязвимости за намерените услуги и протоколи. Тестваме дали Вашата конфиденциална информация е криптирана с достатъчно силни алгоритми, така че неоторизирано лице да не може да я прочете.

Мрежовите тестове също така включват тестване на фърмуеъра и стоковия софтуер, който е инсталиран върху различните устройства.
В резултат на пенетрейшън теста ще можете да видите системите си от гледна точка на хакер и на опитен професионалист по мрежова сигурност, за да откриете къде можете да подобрите сигурността си. Нашите експерти изготвят писмен доклад с необходимите насоки за ефективно отстраняване на всички открити проблеми.
Подходът на GMC се състои от около 80% ръчно тестване и 20% автоматизирано тестване. Въпреки че автоматизираното тестване позволява ефективност и бързина на теста, то е удачно по време на началните фази на теста за проникване.


Пенетрейшън тестове на уеб приложения

Уеб приложение е всяка апликация, която е достъпна чрез уеб сървър (напр. Apache, IIS и др.). Пример за уеб приложение са порталите за онлайн разплащания или банкиране, уеб сайтове, които се управляват от системи за управление на съдържанието (като WordPress, Joomla, Mambo и др.), сайтовете за електронна търговия, софтуерната система за контрол на версиите (известна още като SVN), уеб услуги и т.н.

Според статистиката, над 80% от всички пробиви са резултат от уязвимости на уеб приложения. В много случаи слабите места, които водят след себе си до сериозни пробиви, са напълно игнорирани и от автоматизираните, и от конвенционалните методи за тестване. В други случаи дупките в сигурността са идентифицирани, но неправилно приети за непробиваеми, заради наличието на защитни технологии.

Често срещано погрешно схващане е, че могат да се използват параметризирани заявки за премахването на възможностите от инжектиране на зловреден код в базата данни. Истината е, че ако параметризираните заявки не са изградени правилно, тогава често експлоатацията е все още възможна.
Друго погрешно разбиране е, че защитните стени на уеб приложенията ги защитават от атака. Всъщност техните защитни стени ги предпазват само срещу атаки, за които са конфигурирани, но са изцяло неефективни срещу нови методи за атака.
Практиката показва, че организацията трябва да извършва проверка на уеб приложенията в допълнение към редовните оценки на сигурността, за да се гарантира тяхната защитеност.


Тестове за социално инженерство

Социалното инженерство е метод за проникване в ИТ система, който разчита на човешки слабости, а не на хардуерни, софтуерни или мрежови уязвимости.
GMC предлага четири основни области на социално инженерство, в които може да бъде тествана човешката податливост на убеждаване, внушение и манипулация:

Имейл фишинг

Имейл фишингът, който GMC ще извърши, провокира персонала да посети непознати уеб сайтове, да разкрие чувствителна информация, или казано накратко – да извърши действие, което служителите не биха направили в просто така.

Телефон/SMS

Използвайки телефонна комуникация GMC ще провери доколко Вашите служители са склонни да разкрият чувствителна за Вашата организация информация, или са податливи да извършат друго действие, с което биха могли да накърнят Вашите интереси – умишлено, или не.

Физическо социално инженерство

Тестът протича в реална физическа среда, като нашите експерти ангажират персонала пряко (явно) или непряко (скрито). Целта на този вид тест е да разкрие евентуални слабости в начина на контрол на физическия достъп до сгради и информация.
Като част от извършваната проверка, нашите експерти се представят за служители на доставчици, бизнес партньори и дори за членове на семействата, за да провокират персонала да разкрие конфиденциална фирмена информация или да разреши достъп до зони в сградата Ви, забранени за външни посетители.


Защита от DOS атаки

Този тип атаки се осъществяват чрез генериране на огромно количество трафик, което запълва капацитета на мрежовите канали. Стартират се процеси, които се изпълняват до безкрай и консумират ресурсите на хардуерните устройства.

DoS атаките се наблюдават все по-често, което ги превръща в трайни, сложни и непреодолими предизвикателства към сигурността на организации от най-различен мащаб.

Експертите на GMC могат да Ви помогнат да изградите сигурна защита от DoS атака за намаляването на подобни заплахи от всякакви форми, размери и мащаб, включително и тези, които са насочени към масовите мрежови протоколи.


Ползи от тестването за сигурност на информационни системи

Тестът за сигурност има много предимства, които ще Ви позволят:

  • да управлявате интелигентно уязвимостите;
  • да избегнете разходите от престой в мрежата;
  • да отговорите на законовите изисквания и да избегнете евентуални глоби;
  • да съхраните имиджа на компанията и лоялността на клиентите си.

Наемането на специалисти, които да извършат тест за проверка на сигурността на информационните системи е проактивно усилие да защитите Вашата мрежа и бизнес от рискове, преди да се появят атаки или нарушения на сигурността.