PentestВсе чаще можно замечать, что интерес молодых специалистов ИБ направлен на то, чтобы научиться мыслить как хакер и уметь проводить аудит информационной безопасности своими руками. В арсенале УЦ «Эшелон» есть замечательный курс Тестирование на проникновение: технологии хакеров для аудита информационной безопасности, где специалисты-практики познакомят Вас со всеми этапами пентеста.

Если исходить из формального подхода к проведению пентеста, то на данный момент существует ряд международных методик проведения тестирования на проникновение, ориентированных в основном на моделирование атак, направленных на сетевую инфраструктуру организации:

  • Open Source Security Testing Methodology Manual (OSSTMM) – на наш взгляд, единственная методика, акцентирующая внимание не только на технических тестах, но и на атаках связанных с социальной инженерией и направленных на пользователей корпоративной сети.
  • NIST SP800-115 – документ, описывающий общие аспекты проведения тестов на проникновение.
  • The Information Systems Security Assessment Framework (ISSAF) – фреймворк (framework), ориентированный на инструментальный поиск уязвимостей.
  • PCI DSS (раздел 11.3 стандарта) –  был выпущен документ Information Supplement Requirement 11.3 Penetration Testing в очень общих чертах описывающий последовательность проведения инструментальной проверки внешнего периметра сетевой инфраструктуры тестируемой компании.

 

P.S. Учебный центр «Эшелон» уже зарекомендовал себя хорошим партнером в изучении азов ИБ с помощью серии бесплатных вебинаров.

2 комментария для “PenTest — как сделать «по-научному»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *