PenTest — как сделать «по-научному»

2 комментария

PentestВсе чаще можно замечать, что интерес молодых специалистов ИБ направлен на то, чтобы научиться мыслить как хакер и уметь проводить аудит информационной безопасности своими руками. В арсенале УЦ «Эшелон» есть замечательный курс Тестирование на проникновение: технологии хакеров для аудита информационной безопасности, где специалисты-практики познакомят Вас со всеми этапами пентеста.

Если исходить из формального подхода к проведению пентеста, то на данный момент существует ряд международных методик проведения тестирования на проникновение, ориентированных в основном на моделирование атак, направленных на сетевую инфраструктуру организации:

  • Open Source Security Testing Methodology Manual (OSSTMM) – на наш взгляд, единственная методика, акцентирующая внимание не только на технических тестах, но и на атаках связанных с социальной инженерией и направленных на пользователей корпоративной сети.
  • NIST SP800-115 – документ, описывающий общие аспекты проведения тестов на проникновение.
  • The Information Systems Security Assessment Framework (ISSAF) – фреймворк (framework), ориентированный на инструментальный поиск уязвимостей.
  • PCI DSS (раздел 11.3 стандарта) –  был выпущен документ Information Supplement Requirement 11.3 Penetration Testing в очень общих чертах описывающий последовательность проведения инструментальной проверки внешнего периметра сетевой инфраструктуры тестируемой компании.

 

P.S. Учебный центр «Эшелон» уже зарекомендовал себя хорошим партнером в изучении азов ИБ с помощью серии бесплатных вебинаров.

Possibly Related Posts:


Эксперт сообщества Вадим Голованов

Рубрика: Cтандарты, Аудит информационной безопасности, информационная безопасность, Новости, Обучение, Тестирование, Эшелон. Метки: , . Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

2 Отзывов на «PenTest — как сделать «по-научному»»


  1. Александр

    А проводится ли pentest в рамках аудита по ISO 27001?

  2. Рисерчер

    ну что же вы про owasp ничего не написали?