• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Инструментальный анализ защищенности системы

    Последним, рассмотренным нами видом сбора и оценки информации при проведении аудита безопасности сайта будет являться инструментальный анализ защищенности системы.

    Любое программное обеспечение имеет ряд уязвимостей, которые возникают на самых разных этапах его «жизненного цикла»: проектировании, реализации, внедрении. Как следствие злоумышленники и хакеры создают программы, которые позволяют обнаруживать и использовать данные "дыры" в автоматическом или ручном режиме.

    На сегодняшний день большинство атак на ресурсы, использующие подобные виды уязвимости ведётся в автоматическом режиме. Даже если на ресурсе нет никаких конфиденциальных данных, он всё равно может представлять интерес для злоумышленников как база для осуществления дальнейших атак.

    пентест картинка

    При помощи инструментальной системы анализа защищённости, возможно, определить уязвимости ресурса, степень их критичности.

    Сам по себе инструментальный анализ защищённости представляет собой автоматизированное тестирование на проникновение согласно той или иной модели нарушителя.

    В данном методе аудита безопасности ресурса используются сканеры уязвимостей и специальные программы, осуществляющие автоматизированный поиск и анализ уязвимостей на ресурсе.

    Основной плюс инструментального анализа состоит в том, что он не требует значительных временных и человеческих затрат. Т.е. он проводится достаточно быстро и не очень трудоёмко. Но при этом у данного метода есть и недостаток, который выражается в том, что инструментальные средства поиска уязвимостей не могут обнаружить ряд специфических уязвимостей (например, для инструментального анализа защищённости не доступные логические ошибки). В связи с этим, рекомендуется дополнять его другими методами и видами проведения аудита информационной безопасности (например, тестом на проникновение).

    пентест картинка

    Поскольку для проведения инструментального анализа защищённости может быть использовано различное программное обеспечение, то и этапы проведения анализа также рознятся от программы к программе. Однако все они имеют четыре обязательных этапа:

    1. Определение предмета исследования. На этом этапе записываются параметры типа организации, состав исследуемого ресурса, базовые требования к системе безопасности;

    2. Ввод данных характеризующих основные параметры системы и классы инцидентов. На этом же этапе задаются частота возникновения угроз, степень уязвимости web-ресурса и ценность расположенной на нём информации.

    3. Расчёт профиля рисков. Фактический риск оценивается с помощью математического ожидания потерь за год;

    4. Генерация отчётов.

    Этапы могут дополнятся, разделятся на более мелкие в зависимости от задач поставленных перед группой тестировщиков, однако, все они будут так или иначе входить в состав вышеуказанных этапов.