Главная » Блоги Экспертов И ИТ-Компаний » Пентестинг: очень ценный инструмент для вашей компании

Пентестинг: очень ценный инструмент для вашей компании

Этот инструмент, хоть и распространен намного меньше, чем следовало бы, является достаточно важным и необходимым для того, чтобы знать риски, с которыми сталкивается ваша компания. Чтобы иметь реальное представление об опасностях, которым подвергается ваша компания, существуют определенные инструменты, которые вам необходимо понимать и оценивать по достоинству. В противном случае, вы можете недооценивать бреши безопасности, которые могут поставить под угрозу вашу компанию. К счастью, есть хорошие новости: благодаря пентестинг (pentesting) или тестам на проникновение, можно точно определять такие дыры безопасности.

Что такое пентестинг?

Пентестинг включает в себя серию тестов на проникновение, основанных на атаках ИТ-систем для выявления их слабых мест или уязвимостей. Они предназначены для классификации и определения масштабов брешей безопасности, а также их степени влияния. В результате таких тестов вы можете получить достаточно четкое представление об опасностях для вашей системы и эффективности вашей защиты.

Пентесты помогают определить вероятность успеха атаки, а также выявить дыры безопасности, которые являются следствием уязвимостей с низким уровнем риска, но использующихся определенным образом. Они также позволяют выявлять другие уязвимости, которые невозможно обнаружить с помощью автоматизированного сетевого ПО или специальных программ, а также могут использоваться для оценки того, способны ли менеджеры по безопасности успешно обнаруживать атаки и эффективно реагировать на них.

Как выполняется пентестинг

Существует несколько типов пентестов, классифицированных в соответствии с типом информации о системе. В whitebox-пентестах известно все о системе, приложениях или архитектуре, а в blackbox-пентестах нет никакой информации о цели. Имейте в виду, что такой тип классификации, - это практическая необходимость, т.к. часто условия тестирования основаны на критериях пользователя.

После этого необходимо выбрать один из различных методов пентестинга. Выбор будет обусловлен характеристиками системы или даже осуществляться в соответствии с внешними требованиями в компании. В любом случае доступные методы, среди прочего, включают ISSAF, PCI, PTF, PTES, OWASP и OSSTMM. У каждого метода достаточно много своих нюансов, но их глубокое знание необходимо при реализации пентестов.

Какой метод выбрать?

По мнению ряда экспертов, достаточно хорошими типами пентестов являются PTES и OWASP, благодаря тому, как эти методы структурированы. По их словам, Penetration Testing Execution Standard (или PTES) в дополнение к тому, что он принят многими авторитетными специалистами, уже является моделью, используемой в учебных пособиях для таких систем пентестинга, как Rapid7 Metasploit.

С другой стороны, Open Source Security Testing Methodology Manual (OSSTMM) сейчас стал стандартом. Хотя эти тесты не особо новаторские, он является одним из первых подходов к универсальной структуре концепции безопасности. Сегодня он стал ориентиром не только для организаций, которые хотят разрабатывать качественный, организованный и эффективный пентестинг, но и для целого ряда компаний.

В качестве альтернативы, Information Systems Security Assessment Framework (ISSAF) организует данные вокруг так называемых «критериев оценки», каждый из которых был составлен и рассмотрен экспертами в каждой сфере применения решений безопасности. Payment Card Industry Data Security Standard (PCI DSS) был разработан советом ведущих компаний-эмитентов кредитных и дебетовых карт и он служит в качестве руководства для организаций, которые обрабатывают, хранят и передают данные о владельцах карт. Именно под этот стандарт был разработан PCI-пентестинг.

Количество методов и фреймворков достаточно большое, они обширны и разнообразны. Как уже было сказано, выбор между ними будет зависеть от понимания потребностей вашей компании и знания требуемых стандартов безопасности. Но делая все правильно, вы сможете защищать свои системы намного более эффективно, заранее зная, где и как они могут выйти из строя. Бесценная информация для тех, кто умеет ею пользоваться.

 

Оригинал статьи: Pentesting: a highly valuable tool for your company

 

Panda Security в России

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 https://www.cloudav.ru


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

Panda Security – это лидирующая испанская мультинациональная компания, предлагающая решения с функциями расширенной информационной безопасности, а также инструменты управления и мониторинга. С момента своего создания в 1990 году, Panda неизменно выделяется своим новаторским подходом, позволившим компании создать ряд наиболее важных разработок в сфере информационной безопасности.

В настоящий момент компания сосредоточена на развитии стратегий и технологий расширенной защиты. Panda Security имеет офисы в более чем 80 странах мира, ее продукты переведены на 23 языка и используются свыше 30 миллионами пользователей во всем мире.

https://www.cloudav.ru

 

 




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>