Главная  »  Законный Взлом. Что такое нагрузочное тестирование и для чего они нужны?

Законный Взлом. Что такое нагрузочное тестирование и для чего они нужны?


Опубликованно 09.01.2020 00:18

Законный Взлом. Что такое нагрузочное тестирование и для чего они нужны?

Масштабных атак на информационные системы крупных компаний ежегодно Multi принести миллионы долларов убытков, и для некоторых компаний это может стоить всей компании. Замалчивать подобные инциденты стараются, что, как правило, создает атмосферу беззаботности. Однако, согласно статистике, не менее четверти предприятий в мире имеют критическую уязвимость на своих внешних ресурсов (сайт, Интернет-шлюз доступа, и т. д.), которые позволяют производить незаметное проникновение в вашу сеть. Предупрежден — значит вооружен

Тестирование на проникновение (penetration test, сокращенно — pinterest) осуществляется с целью санкционирования выявление уязвимостей в информационной системе. Даже pinterest является законный хакерской атаки, при которой специалист находит уязвимости, которые можно использовать, чтобы получить доступ к нужной информации или проникновения в сеть. Соответственно, чтобы исправить это по итогам пентеста обнаруженные уязвимости и рисков для настоящих хакеров значительно уменьшить.

Необходимо также отметить, что уязвимости в операционных системах и другом программном обеспечении обнаружены и публикуются постоянно. Соответственно, pinterest также не однократное действие может быть — он должен стать частью процесса поддержания должного уровня безопасности ИТ-инфраструктуры организации.

Все самое главное в Telegram

В 2015 году компания WhiteHat Security вел изучение: из 118 опрошенных компаний, 92, по крайней мере, один раз тестирование проводят в рамках своей программы безопасности. В то же время выяснилось, что только 21% опрошенных организаций Penetration Testing вести регулярно, как минимум ежегодно.

Обычно нагрузочное тестирование на три части можно разделить условных класса:

?? Blackbox — о тестируемом объекте не дают вообще никакой информации, только ip-адрес или имя веб-ресурса.

?? Greybox – мало информации дано, чтобы сократить время, окна должны тратить на сбор предварительных данных об объекте.

?? Whitebox – дано много информации, вплоть до исходного кода, о тестируемом объекте.

Специфика проведения пентеста по модели Black Box-это то, что в ходе расследования значительная часть времени идет на всю необходимую информацию для проведения более глубоких исследований по поиску уязвимостей в информационной системе. В то же время, очевидно, что злоумышленник не ограничен во времени и всегда сможете получить информацию, подпадающую под понятие модели Grey Box. Учитывая ограниченность времени, отводимого на проведение пентеста, с практической точки зрения Черный ящик модель является наименее эффективным по соотношению затраченного времени и средств к полученным результатам.

Проведение пентеста для моделей Grey-Box и White Box позволит вам сосредоточиться на прямой поиск уязвимостей информационной системы, благодаря возможности сразу же с проведением более глубоких исследований. Это вероятность нахождения увеличивается в полном объеме широкий спектр уязвимостей в отведенное время для выполнения работ.

В общем случае последовательность является проведение пентеста это:

?? Подписания договора о конфиденциальности и предоставлении заказчику письменное разрешение на проведение пентеста — обязательный этап, поскольку в ходе пентеста "белых хакеров" практически всегда доступ к конфиденциальной информации, и они должны иметь юридическое обоснование;

?? Все исходные данные в соответствии с выбранной моделью. Если вы все еще модель Black Box — это информационная разведка с помощью доступных источников (Интернет, информационные бюллетени, конференции и т. д.);

?? Внешнее сканирование с выявлением уязвимостей сетевых служб и приложений, как с помощью автоматизированных средств и ручными методами;

?? Попытки эксплуатации обнаруженных уязвимостей для доступа на информационные активы комитента. Методы и инструменты подбираются всегда индивидуально.

По отдельному соглашению с заказчиком может быть проведена проверка быть, фигурирует ли его организация как объект дискуссии/готовящихся терактах на любых специализированных форумах в так называемом теневом Интернете.

В результате проведения пентеста способы и методы их использования нарушителем (практической или теоретической), а также рекомендации по их устранению (минимизации) всегда будет подробный отчет с подробным описанием всех выявленных уязвимостей,.

"Для понимания важности pinterest вы можете назвать пример: в одном из онлайн-магазинов было слабое место — если в личном кабинете в корзину определенное количество товаров, а затем отменил все покупки — Web-App генерал очень большая нагрузка на серверы, в результате чего реальные клиенты в обслуживании. Проблема в том, что эта уязвимость обнаружена, не являются владельцами Интернет-магазина, а злоумышленники, в итоге работа всего сайта была парализована", — делится своим опытом, технический директор компании "Октава Обзор" Алекс Слабость. По его словам, именно pinterest может послезавтра помочь предотвратить.

Даже тем следует учитывать, что если вы платите достаточно внимания безопасности своего бизнеса, это значит, что не взломать кто-то из ваших партнеров может, а потом через вас и вашу компанию на самом деле.



Категория: Бизнес