Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

 

Intro

Ты наверняка знаешь, что работа пентестера как минимум на 30% состоит из документирования активностей, которые имели место в рамках тестирования на проникновение. Мнения о качестве этого документирования у исполнителя и заказчика часто не совпадают, и каждый начинает крепко задумываться о компетенции другого. Чтобы такой ситуации не возникло, перед началом работ необходимо основательно обсудить с заказчиком те результаты, которые он рассчитывает получить.

 

Консалтинг Inc.

Некоторое время назад в колонке я поднимал тему о том, что популяризация бизнеса в сфере ИБ может стать причиной спада качества оказания консалтинговых услуг: нет общепринятых локальных стандартов, которые можно было бы применить к упомянутым работам.

Я пришел к выводу, что проще всего это можно предотвратить, предъявив адекватные требования к единственному осязаемому результату работ — отчету. Напомню, отчет по результатам тестирования на проникновение обычно состоит из двух частей: аналитической и технической. Аналитическая часть представляет собой осмысление технических результатов тестирования в рамках конкретной организации. Чтобы ты понимал, хороший аналитический отчет можно подготовить даже на основе результатов одних только автоматизированных проверок. В этом случае качество будет напрямую зависеть от человека, который готовил отчет, и его способности адекватно расставлять приоритеты и интерпретировать результат скана Nessus.

В глазах технического специалиста такой отчет выглядит достаточно высокоуровневым. Заказчик в лице руководителя отдела ИБ организации прекрасно понимает, на какие вопросы должен отвечать аналитический отчет. Это помогает в тех случаях, когда качество аналитической части никуда не годится. К сожалению, этого нельзя сказать о технической части — нередко в отделе ИБ мало кто разбирается в вопросе, что не позволяет установить адекватные требования к этой части документа. А ведь она является задокументированным результатом оказания консалтинговой услуги.

Вот здесь и кроется проблема. Результат оказания консалтинговых услуг не должен выглядеть только как ответы на вопросы «могут ли меня взломать?» и «как меня могут взломать?».

Технический отчет, который отвечает на вопросы «как и что исправлять?», — это аналог хак стори вроде тех, что публиковали в Х лет пять назад. Сегодня я расскажу об основных требованиях, которые исполнитель должен предъявлять к техническому отчету.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


1 комментарий

  1. readxakep

    20.11.2015 at 14:41

    Ппц, не статья а медуза — так же состоит на 98% из воды.
    Зачем тебе вообще колонка, одно и тоже словно дорогенератор пишешь.

    Особенно иронично вот это прозвучало, на фоне той воды что ты тут пишешь:
    «Некоторое время назад в колонке я поднимал тему о том, что популяризация бизнеса в сфере ИБ может стать причиной спада качества оказания консалтинговых услуг».

Оставить мнение

Check Also

Я у мамы инженер! Как перестать бояться паяльника и начать творить

Ты наверняка встречал в интернете потрясающие проекты вроде оркестра из дисководов, макета…