Тестване на информационните системи - Пенетрейшън тест, Тестване за уязвимости, Социално инженерство, превенция от DoS атаки

Тестване за сигурност на информационни системи


МРЕЖОВИ ПЕНЕТРЕЙШЪН ТЕСТ (Netowork penetration test)
Пенетрейшън тестът (penetration test) е тест за получаване на достъп до ИТ система. Основната му цел е да се идентифицират уязвими точки, позволяващи на злонамерени лица да установят достъп до информационните ви системи и/или друга конфиденциална информация.
CONSEJO може да предотврати евентуални пробиви, като идентифицира потенциални заплахи и предложи контролни мерки за управление на уязвимостите, преди злонамерени хакери да успеят да ги експлоатират. Пенетрейшън тестът може да се извърши както отвън, така и отвътре, анализирайки вашите локална и глобална мрежи. Анализираме степента на защита на вашата вътрешна и публично достъпна мрежа. Способни сме да създадем виртуална топология на вашите сървъри, рутери, суичове, точки за достъп, защитни стени, IPS/IDS устройства и други. След проучване на наличните устройства във вашата мрежа, проверяваме доколко те са ъпдейтнати и тестваме всички възможни уязвимости за намерените услуги и протоколи. Тестваме дали вашата конфиденциална информация е криптирана с достатъчно силни алгоритми, така че неоторизирано лице да не може да я прочете.

Мрежовите тестове също така включват тестване на фърмуеъра и стоковия софтуер който е инсталиран върху различните устройства.
В резултат на пенетрейшън тестът ще можете да видите системите си от гледна точка на хакер и на опитен професионалист по мрежова сигурност, за да откриете къде можете да подобрите сигурността си. Нашите експерти изготвят писмен доклад с необходимите насоки за ефективно отстраняване на всички открити проблеми.
Подходът на CONSEJO се състои от около 80% ръчно тестване и 20% автоматизирано тестване. Въпреки че автоматизираното тестване позволява ефективност и бързина на теста, то е удачно по време на началните фази на теста за проникване.

 
ПЕНЕТРЕЙШЪН ТЕСТОВЕ НА УЕБ ПРИЛОЖЕНИЯ
Уеб приложение е всяка апликация, която е достъпна чрез уеб сървър (напр. Apache, IIS и др.). Пример за уеб приложение са порталите за онлайн разплащания или банкиране, уеб сайтове, които се управляват от системи за управление на съдържанието (като WordPress, Joomla, Mambo и др.), сайтовете за електронна търговия, софтуерната система за контрол на версиите (известна още като SVN), уеб услуги и т.н.
Уеб приложенията са също сред любимите цели на хакерите, които използвайки относително прости уязвимости, могат да получат достъп до конфиденциална информация.
Според статистиката, над 80% от всички пробиви са резултат от уязвимости на уеб приложения. В много случаи слабите места, които водят след себе си до сериозни пробиви, са напълно игнорирани и от автоматизираните, и от конвенционалните методи за тестване. В други случаи дупките в сигурността са идентифицирани, но неправилно приети за непробиваеми, заради наличието на защитни технологии.

Често срещано погрешно схващане е, че могат да се използват параметризирани заявки за премахването на възможностите от инжектиране на зловреден код в базата данни. Истината е, че ако параметризираните заявки не са изградени правилно, тогава често експлоатацията е все още възможна.
Друго погрешно разбиране е, че защитните стени на уеб приложенията ги защитават от атака. Всъщност техните защитни стени ги предпазват само срещу атаки, за които са конфигурирани, но са изцяло неефективни срещу нови методи за атака.
Практиката показва, че организацията трябва да извършва проверка на уеб приложенията в допълнение към редовните оценки на сигурността, за да се гарантира тяхната защитеност.
Най-големият риск за една организация, е да приеме, че е защитена, без да провери и тества използваните защитни механизми.

ТЕСТОВЕ ЗА СОЦИАЛНО ИНЖЕНЕРСТВО
Социалното инженерство е метод за проникване в ИТ система, който разчита на човешки слабости, а не на хардуерни, софтуерни или мрежови уязвимости.
CONSEJO предлага четири основни области на социално инженерство, в които може да бъде тествана човешката податливост на убеждаване, внушение и манипулация:
 
Имейл фишинг
Имейл фишинг е похват при който се изпраща имейл от фалшив източник с подлъгваща или невярна информация, която подтиква получателя на имейла да извърши определени действия, целящи извличане на чувствителна информация или инсталиране на зловреден код.

Чувствителна информация се обменя чрез имейли почти непрекъснато. Въпреки това голяма част от този обмен не преминава през подходящи защитени канали. 
Имейл фишингът, който CONSEJO ще извърши, провокира персонала да посети непознати уеб сайтове, да разкрие чувствителна информация, или казано накратко - да извърши действие, което служителите не биха направили в просто така.
 

Телефон/SMS
Обменът на поверителна информация по телефона се случва почти постоянно, както и при останалите канали за комуникация. Внушението, че да чуеш гласа на даден човек по телефона е достатъчно потвърждение на неговата самоличност, е често срещано. По тази причина злонамерените лица вече пренасочват усилия все по-често от социалното инженерство по имейл към такова чрез телефон.
Използвайки телефонна комуникация CONSEJO ще провери доколко вашите служители са склонни да разкрият чувствителна за вашата организация информация, или са податливи да извършат друго действие, с което биха могли да накърнят вашите интереси – умишлено, или не.
 
Физическо социално инженерство
CONSEJO е специализирано и в извършването на тестове за социално инженерство физически на място – във вашата фирма. Тестът протича в реална физическа среда, като нашите експерти ангажират персонала пряко (явно) или непряко (скрито). Целта на този вид тест е да разкрие евентуални слабости в начина на контрол на физическия достъп до сгради и информация.
Като част от извършваната проверка, нашите експерти се представят за служители на доставчици, бизнес партньори и дори за членове на семействата, за да провокират персонала да разкрие конфиденциална фирмена информация или да разреши достъп до зони в сградата ви, забранени за външни посетители.

 
ЗАЩИТА ОТ DOS АТАКИ
Актуална хакерска атака е и тези от типа "Отказ на услуга" (DoS). DoS атаката цели да срине инфраструктурата на клиента и в частност предлаганата услуга, като изразходи ресурсите на системите в инфраструктурата му. Този тип атаки се осъществяват чрез генериране на огромно количество трафик, което запълва капацитета на мрежовите канали. Стар
тират се процеси, които се изпълняват до безкрай и консумират ресурсите на хардуерните устройства.
DoS атаките се наблюдават все по-често, което ги превръща в трайни, сложни и непреодолими предизвикателства към сигурността на организации от най-различен мащаб.
DoS атаките не са новост, но наличните методи и ресурси за провеждането и маскирането им са драстично еволюирали и включват дистрибутирани (DDoS), а отскоро и дистрибутирани рефлекторни (DRDoS) атаки, които не могат да бъдат преодолени с традиционните решения.
Експертите на CONSEJO могат да ви помогнат да изградите сигурна защита от DoS атака за намаляването на подобни заплахи от всякакви форми, размери и мащаб, включително и тези, които са насочени към масовите мрежови протоколи.
 
 

Тестване на информационните системи - Пенетрейшън тест, Тестване за уязвимости, Социално инженерство, превенция от DoS атаки



ЕТИКЕТИ

Новини

25 Септември 2018
ISO 50001:2018 "Системи за управление на енергията - изисквания с насоки ...
19 Септември 2018
Публикувана е новата версия на ISO / IEC 20000-1:2018 "Информацио...

Акценти

20 Август 2018
Защитата на сигурността на фирмената информация, независимо дали е чувствителна ...
02 Август 2018
Редица големи международни корпорации като Майкрософт са сертифицирали своите об...