Вашата оценка 4.00 от 3 гласа
Тестване на информационните системи - Пенетрейшън тест, тестване за уязвимости, социално инженерство, превенция от DoS атаки
Тест за уязвимости и пенетрйшен тест
МРЕЖОВИ ПЕНЕТРЕЙШЪН ТЕСТ (Netowork penetration test)
Пенетрейшън тестът (penetration test) е тест за получаване на достъп до ИТ система. Основната му цел е да се идентифицират уязвими точки, позволяващи на злонамерени лица да установят достъп до информационните ви системи и/или друга конфиденциална информация.
CONSEJO може да предотврати евентуални пробиви, като идентифицира потенциални заплахи и предложи контролни мерки за управление на уязвимостите, преди злонамерени хакери да успеят да ги експлоатират. Пенетрейшън тестът може да се извърши както отвън, така и отвътре, анализирайки вашите локална и глобална мрежи. Анализираме степента на защита на вашата вътрешна и публично достъпна мрежа. Способни сме да създадем виртуална топология на вашите сървъри, рутери, суичове, точки за достъп, защитни стени, IPS/IDS устройства и други. След проучване на наличните устройства във вашата мрежа, проверяваме доколко те са ъпдейтнати и тестваме всички възможни уязвимости за намерените услуги и протоколи. Тестваме дали вашата конфиденциална информация е криптирана с достатъчно силни алгоритми, така че неоторизирано лице да не може да я прочете.
Мрежовите тестове също така включват тестване на фърмуеъра и стоковия софтуер който е инсталиран върху различните устройства.В резултат на пенетрейшън тестът ще можете да видите системите си от гледна точка на хакер и на опитен професионалист по мрежова сигурност, за да откриете къде можете да подобрите сигурността си. Нашите експерти изготвят писмен доклад с необходимите насоки за ефективно отстраняване на всички открити проблеми.
Подходът на CONSEJO се състои от около 80% ръчно тестване и 20% автоматизирано тестване. Въпреки че автоматизираното тестване позволява ефективност и бързина на теста, то е удачно по време на началните фази на теста за проникване.
ПЕНЕТРЕЙШЪН ТЕСТОВЕ НА УЕБ ПРИЛОЖЕНИЯ
Уеб приложение е всяка апликация, която е достъпна чрез уеб сървър (напр. Apache, IIS и др.). Пример за уеб приложение са порталите за онлайн разплащания или банкиране, уеб сайтове, които се управляват от системи за управление на съдържанието (като WordPress, Joomla, Mambo и др.), сайтовете за електронна търговия, софтуерната система за контрол на версиите (известна още като SVN), уеб услуги и т.н.
Уеб приложенията са също сред любимите цели на хакерите, които използвайки относително прости уязвимости, могат да получат достъп до конфиденциална информация.
Според статистиката, над 80% от всички пробиви са резултат от уязвимости на уеб приложения. В много случаи слабите места, които водят след себе си до сериозни пробиви, са напълно игнорирани и от автоматизираните, и от конвенционалните методи за тестване. В други случаи дупките в сигурността са идентифицирани, но неправилно приети за непробиваеми, заради наличието на защитни технологии.
Често срещано погрешно схващане е, че могат да се използват параметризирани заявки за премахването на възможностите от инжектиране на зловреден код в базата данни. Истината е, че ако параметризираните заявки не са изградени правилно, тогава често експлоатацията е все още възможна.
Друго погрешно разбиране е, че защитните стени на уеб приложенията ги защитават от атака. Всъщност техните защитни стени ги предпазват само срещу атаки, за които са конфигурирани, но са изцяло неефективни срещу нови методи за атака.
Практиката показва, че организацията трябва да извършва проверка на уеб приложенията в допълнение към редовните оценки на сигурността, за да се гарантира тяхната защитеност.
Най-големият риск за една организация, е да приеме, че е защитена, без да провери и тества използваните защитни механизми.
ТЕСТОВЕ ЗА СОЦИАЛНО ИНЖЕНЕРСТВО
Социалното инженерство е метод за проникване в ИТ система, който разчита на човешки слабости, а не на хардуерни, софтуерни или мрежови уязвимости.
CONSEJO предлага четири основни области на социално инженерство, в които може да бъде тествана човешката податливост на убеждаване, внушение и манипулация:
Имейл фишинг
Имейл фишинг е похват при който се изпраща имейл от фалшив източник с подлъгваща или невярна информация, която подтиква получателя на имейла да извърши определени действия, целящи извличане на чувствителна информация или инсталиране на зловреден код.
Уеб приложение е всяка апликация, която е достъпна чрез уеб сървър (напр. Apache, IIS и др.). Пример за уеб приложение са порталите за онлайн разплащания или банкиране, уеб сайтове, които се управляват от системи за управление на съдържанието (като WordPress, Joomla, Mambo и др.), сайтовете за електронна търговия, софтуерната система за контрол на версиите (известна още като SVN), уеб услуги и т.н.
Уеб приложенията са също сред любимите цели на хакерите, които използвайки относително прости уязвимости, могат да получат достъп до конфиденциална информация.
Според статистиката, над 80% от всички пробиви са резултат от уязвимости на уеб приложения. В много случаи слабите места, които водят след себе си до сериозни пробиви, са напълно игнорирани и от автоматизираните, и от конвенционалните методи за тестване. В други случаи дупките в сигурността са идентифицирани, но неправилно приети за непробиваеми, заради наличието на защитни технологии.
Често срещано погрешно схващане е, че могат да се използват параметризирани заявки за премахването на възможностите от инжектиране на зловреден код в базата данни. Истината е, че ако параметризираните заявки не са изградени правилно, тогава често експлоатацията е все още възможна.Друго погрешно разбиране е, че защитните стени на уеб приложенията ги защитават от атака. Всъщност техните защитни стени ги предпазват само срещу атаки, за които са конфигурирани, но са изцяло неефективни срещу нови методи за атака.
Практиката показва, че организацията трябва да извършва проверка на уеб приложенията в допълнение към редовните оценки на сигурността, за да се гарантира тяхната защитеност.
Най-големият риск за една организация, е да приеме, че е защитена, без да провери и тества използваните защитни механизми.
ТЕСТОВЕ ЗА СОЦИАЛНО ИНЖЕНЕРСТВО
Социалното инженерство е метод за проникване в ИТ система, който разчита на човешки слабости, а не на хардуерни, софтуерни или мрежови уязвимости.
CONSEJO предлага четири основни области на социално инженерство, в които може да бъде тествана човешката податливост на убеждаване, внушение и манипулация:
Имейл фишинг
Имейл фишинг е похват при който се изпраща имейл от фалшив източник с подлъгваща или невярна информация, която подтиква получателя на имейла да извърши определени действия, целящи извличане на чувствителна информация или инсталиране на зловреден код.
Чувствителна информация се обменя чрез имейли почти непрекъснато. Въпреки това голяма част от този обмен не преминава през подходящи защитени канали.
Имейл фишингът, който CONSEJO ще извърши, провокира персонала да посети непознати уеб сайтове, да разкрие чувствителна информация, или казано накратко - да извърши действие, което служителите не биха направили в просто така.
Телефон/SMS
Обменът на поверителна информация по телефона се случва почти постоянно, както и при останалите канали за комуникация. Внушението, че да чуеш гласа на даден човек по телефона е достатъчно потвърждение на неговата самоличност, е често срещано. По тази причина злонамерените лица вече пренасочват усилия все по-често от социалното инженерство по имейл към такова чрез телефон.
Използвайки телефонна комуникация CONSEJO ще провери доколко вашите служители са склонни да разкрият чувствителна за вашата организация информация, или са податливи да извършат друго действие, с което биха могли да накърнят вашите интереси – умишлено, или не.
Физическо социално инженерство
CONSEJO е специализирано и в извършването на тестове за социално инженерство физически на място – във вашата фирма. Тестът протича в реална физическа среда, като нашите експерти ангажират персонала пряко (явно) или непряко (скрито). Целта на този вид тест е да разкрие евентуални слабости в начина на контрол на физическия достъп до сгради и информация.
Като част от извършваната проверка, нашите експерти се представят за служители на доставчици, бизнес партньори и дори за членове на семействата, за да провокират персонала да разкрие конфиденциална фирмена информация или да разреши достъп до зони в сградата ви, забранени за външни посетители.
ЗАЩИТА ОТ DOS АТАКИАктуална хакерска атака е и тези от типа "Отказ на услуга" (DoS). DoS атаката цели да срине инфраструктурата на клиента и в частност предлаганата услуга, като изразходи ресурсите на системите в инфраструктурата му. Този тип атаки се осъществяват чрез генериране на огромно количество трафик, което запълва капацитета на мрежовите канали. Стартират се процеси, които се изпълняват до безкрай и консумират ресурсите на хардуерните устройства.
DoS атаките се наблюдават все по-често, което ги превръща в трайни, сложни и непреодолими предизвикателства към сигурността на организации от най-различен мащаб.
DoS атаките не са новост, но наличните методи и ресурси за провеждането и маскирането им са драстично еволюирали и включват дистрибутирани (DDoS), а отскоро и дистрибутирани рефлекторни (DRDoS) атаки, които не могат да бъдат преодолени с традиционните решения.
Експертите на CONSEJO могат да ви помогнат да изградите сигурна защита от DoS атака за намаляването на подобни заплахи от всякакви форми, размери и мащаб, включително и тези, които са насочени към масовите мрежови протоколи.
Тестване на информационните системи - Пенетрейшън тест, тестване за уязвимости, социално инженерство, превенция от DoS атаки
ЕТИКЕТИ
Новини
27
02.24
ISO и климатичните промени
Изменение 1: Действия, свързани с изменението на климата
В края на миналата с...
05
02.24
ISO/IEC 27001:2023 на български език
Българският институт по стандартизация публикува БДС EN ISO/IEC 27001:2023 "...
Полезно
18
10.23
EMAS – Схема за управление по околна среда и одит
Европейската Схема за управление по околна среда и одит (Eco-management and Audi...
10
08.23
Стандарти за защита на автомобилната сигурност
През последните няколко години автомобилната индустрия претърпя бързи промен...
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.
Партньори
