PenTest — как сделать «по-научному»
Все чаще можно замечать, что интерес молодых специалистов ИБ направлен на то, чтобы научиться мыслить как хакер и уметь проводить аудит информационной безопасности своими руками. В арсенале УЦ «Эшелон» есть замечательный курс Тестирование на проникновение: технологии хакеров для аудита информационной безопасности, где специалисты-практики познакомят Вас со всеми этапами пентеста.
Если исходить из формального подхода к проведению пентеста, то на данный момент существует ряд международных методик проведения тестирования на проникновение, ориентированных в основном на моделирование атак, направленных на сетевую инфраструктуру организации:
- Open Source Security Testing Methodology Manual (OSSTMM) – на наш взгляд, единственная методика, акцентирующая внимание не только на технических тестах, но и на атаках связанных с социальной инженерией и направленных на пользователей корпоративной сети.
- NIST SP800-115 – документ, описывающий общие аспекты проведения тестов на проникновение.
- The Information Systems Security Assessment Framework (ISSAF) – фреймворк (framework), ориентированный на инструментальный поиск уязвимостей.
- PCI DSS (раздел 11.3 стандарта) – был выпущен документ Information Supplement Requirement 11.3 Penetration Testing в очень общих чертах описывающий последовательность проведения инструментальной проверки внешнего периметра сетевой инфраструктуры тестируемой компании.
P.S. Учебный центр «Эшелон» уже зарекомендовал себя хорошим партнером в изучении азов ИБ с помощью серии бесплатных вебинаров.
А проводится ли pentest в рамках аудита по ISO 27001?
ну что же вы про owasp ничего не написали?