+7 (800) 333-17-63

Международные стандарты и методики тестирования при анализе защищенности

Вопросы информационной безопасности актуальны для бизнеса любого масштаба. Сбои критически важных объектов цифровой инфраструктуры могут привести к серьезным последствиям — нанести репутационный ущерб, вызвать крупные финансовые потери, в некоторых случаях может быть административная ответственность за несоблюдение законодательства. В статье рассмотрим основные методики и стандарты, на которые опираются ведущие организации и эксперты по информационной безопасности, когда проводят тестирование защищенности компании.

Обложка статьи: Cтандарты и методики пентеста

Что такое тестирование в анализе защищенности

Впервые о необходимости проведения пентеста специалисты задумались еще в 1960 году. Тогда активно развивалась сфера компьютерных систем с разделением времени, которая давала доступ к ресурсам по линиям связи. Вместе с новыми технологиями возникли и новые проблемы с безопасностью, которые требовали эффективных методов борьбы. Одним из них стало тестирование на проникновение — пентест. За годы своего существования метод трансформировался и обретал стандарты, на которые в итоге стали опираться специалисты со всего мира. Так сформировались международные правила тестирования на проникновение — OSSTMM,  OWASP, ISSAF, PTES и другие.

Тестирование на проникновение или пентест в услуге анализа защищенности — важная часть комплексного аудита информационной безопасности. Это процесс внешней проверки информационной системы, сети, приложения или другой цифровой инфраструктуры на уязвимости, которые могут эксплуатировать злоумышленниками для несанкционированного доступа или кибератак.

Цель пентеста — выявить уязвимости в системе, моделируя различные действия злоумышленника, в том числе проникновение. Все действия направлены на исследование эффективности существующих мер защиты проверяемой компании. Это позволяет организациям улучшать свои системы и процессы безопасности, закрывая обнаруженные уязвимости и предотвращая потенциальные атаки.

Основные этапы тестирования на проникновение — DDoS-Guard

Для чего нужно проводить тестирование на проникновение

  • Выявление уязвимостей
    Пентест помогает обнаруживать уязвимости в информационных системах. Это дает возможность организациям принять меры для устранения слабых мест до того, как злоумышленники смогут использовать их.
  • Проверка механизмов защиты
    С помощью тестирования специалисты могут оценить эффективность существующих механизмов безопасности.
  • Подтверждение соответствия стандартам
    Множество отраслевых и государственных стандартов требуют от организаций обеспечения определенного уровня безопасности. Например, ГОСТ Р 50922-2006, Указ Президента №250 «О мерах ИБ» и другие. Тестирование на проникновение может помочь подтвердить соответствие этим и другим требованиям.
  • Повышение осведомленности
    Пентест способствует повышению осведомленности среди сотрудников об угрозах безопасности и принципах защиты. Рекомендуется регулярно проводить обучения сотрудников по мерам предотвращения киберугроз и реагированию на киберинциденты.
  • Тестирование кризисной готовности
    Моделирование атак злоумышленников позволяет оценить, как быстро и эффективно организация реагирует на инциденты безопасности и сколько времени потребуется на восстановление работоспособности после атаки.

 

Какие есть международные методики и стандарты тестирования

OWASP — руководство, разработанное Открытым проектом по безопасности веб-приложений (Open Web Application Security Project), охватывает методы тестирования на проникновение для веб-приложений. Стандарт включает в себя обширное описание техник и подходов для выявления уязвимостей веб-приложений, а также описывает тестирование для каждого этапа разработки — от проектирования до внедрения и поддержки. Руководство будет полезно не только для специалистов-пентестеров, но и для разработчиков.

NIST SP 800-115 — стандарт Национального института стандартов и технологий США (National Institute of Standards and Technology), описывающий методику тестирования на проникновение. Представляет собой техническое руководство по выполнению пентеста в информационных системах. Содержит описание порядка проведения тестирования, рекомендации по анализу результатов и составлению итогового отчета и мер по снижению угроз.  

ISO/IEC 27001 — стандарт Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC) для систем управления информационной безопасностью. Описывает требования по проведению тестирования на проникновение как часть процесса управления рисками. Стандарт адаптивен под организацию любого размера и отрасли. Соответствие ISO/IEC 27001 подтверждает, что компания внедрила международную систему управления рисками ИБ, а также соблюдает все рекомендации и практики, которые описаны в стандарте.

OSSTMM — методика, разработанная Open Information Security Foundation (OISF), описывает широкий набор методов и подходов для тестирования на проникновение. Это комплексная методика, которая включает в себя описание тестирования и поддержания безопасности по пяти направлениям:

  1. Безопасность коммуникации сотрудников.
  2. Физическая безопасность материальных объектов.
  3. Безопасность конфигураций беспроводной связи. 
  4. Безопасность телекоммуникаций и сетевых линий.
  5. Безопасность сетей передачи данных.

WASC — некоммерческая организация, которая занималась содействием безопасности веб-приложений и веб-сайтов. Эксперты-аудиторы используют проект как справочное руководство. В нем собраны недостатки и классы атак, которые представляют угрозу для веб-приложений и пользователей. Руководство содержит классификацию 34 типов атак и 15 типов недостатков, с примерами и полезными ссылками. Информационная база создавалась и разрабатывалась большой командой специалистов по информационной безопасности. Проект прекратил обновляться в 2010 году, однако до сих пор остается востребованным и актуальным.

CREST — профессиональная ассоциация, которая разработала стандарты и методику для этического тестирования на проникновение. CREST также выдает сертификаты тестерам, которые прошли их программы обучения и сдали экзамены.

PTES — открытое руководство, охватывающее все этапы выполнения тестирования на проникновение, начиная от сбора информации и заканчивая подготовкой отчета.  Основные разделы, определенные стандартом в качестве основы для выполнения тестирования на проникновение:

  • получение предварительной информации от заказчика;
  • сбор данных;
  • моделирование угроз;
  • анализ уязвимостей;
  • эксплуатация уязвимостей;
  • документация найденных уязвимостей;
  • отчет.

Эти методики и стандарты предоставляют общие ориентиры и лучшие практики для проведения пентеста. Однако важно учитывать, что выбор конкретной методики может зависеть от типа системы, приложения или сети, которые подвергаются тестированию, а также от целей и требований организации.

 

Как DDoS-Guard использует международные стандарты тестирования

Проверяя состояние защиты веб-ресурса, эксперты DDoS-Guard опираются на стандарты OWASP, WASC, PTES и OSSTMM. Услуга внешнего анализа защищенности включает в себя не только тестирование на проникновение, но и глубокую диагностику информационных систем. Все действия, которые выполняют эксперты, абсолютно безопасны и не приведут к поломке систем. Каждый этап проверки разработан в соответствии с международными стандартами.

На этапе сбора информации о проверяемой системе, специалисты согласуют все шаги с заказчиком и выполнят только те действия, которые ранее были одобрены. DDoS-Guard соблюдает международные стандарты и этические принципы, которые построены на честности и конфиденциальности. Все данные, связанные с проведением пентестинга, остаются абсолютно конфиденциальными и не раскрываются третьим лицам. Эксперты разрабатывают индивидуальный план пентестинга для каждого клиента, учитывая его потребности и характеристики системы.

После проведения тестирования на проникновение, аудиторы DDoS-Guard предоставят подробный отчет о найденных уязвимостях, а также рекомендации по их устранению. Таким образом заказчик будет точно понимать, какие шаги следует предпринять для повышения безопасности своей системы.

Чтобы заказать комплексный аудит безопасности DDoS-Guard, оставьте заявку на сайте. Стоимость услуги рассчитывается исходя из количества проверяемых IP-адресов, информационных систем и сроков выполнения исследования.


Чтобы минимизировать негативное влияние злоумышленников и обезопасить информационную инфраструктуру от киберугроз, следует регулярно тестировать систему защищенности. Зачастую компании ограничиваются проверкой, которая строится на внутренних требованиях по ИБ, без привлечения сторонних экспертов. Однако такой подход не дает гарантий на устойчивость проверяемых объектов к реальным атакам хакеров. Для комплексной проверки информационной безопасности организации следует использовать международные стандарты, а также привлекать профессиональных аудиторов, которые смогут провести независимую оценку защищенности.

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться