Практический аудит информационной безопасности включает в себя процессы:
- Сканирование уязвимостей.
- Анализ настроек сетевого оборудования и программного обеспечения.
- Тестирование на проникновение.
В зависимости от условий проведения аудита, сканированию уязвимостей может предшествовать этап сбора информации об объектах сканирования из открытых источников.
Сканирование уязвимостей осуществляется с применением средств автоматизированного сканирования. Для обеспечения достоверных результатов сканирования может использоваться сразу несколько сканеров уязвимостей. Вместе с тем, что автоматизированные средства обеспечивают сбор достаточно большого объема информации об объектах сканирования, они предоставляют «сырые» данные о возможном наличии уязвимостей и возможных способах их эксплуатации. Поэтому для обеспечения уверенности в возможности использования найденных уязвимостей в реальных атаках необходимо проведение дальнейших работ.
Анализ настроек средств защиты производится на предмет наличия в их конфигурации некорректных или недостаточных для обеспечения безопасности параметров.
Этап тестирования на проникновение направлен на подтверждение обнаруженных ранее уязвимостей. Тестирование позволяет реализовать сценарии проникновения, которые на практике могут быть использованы злоумышленниками.
Гарантии проведения качественного аудита обязательно включают такие составляющие, как:
- аудит проводится только в отношении четко обозначенных объектов аудита;
- четкое определение возможных последствий проводимого тестирования;
- соблюдение аудиторской этики;
- следование установленной методологии тестирования при проведении работ (OSSTMM и OWASP).
По вопросам сотрудничества обращайтесь на электронный адрес mail@prsec.ru