Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

 

Intro

Ты наверняка знаешь, что работа пентестера как минимум на 30% состоит из документирования активностей, которые имели место в рамках тестирования на проникновение. Мнения о качестве этого документирования у исполнителя и заказчика часто не совпадают, и каждый начинает крепко задумываться о компетенции другого. Чтобы такой ситуации не возникло, перед началом работ необходимо основательно обсудить с заказчиком те результаты, которые он рассчитывает получить.

 

Консалтинг Inc.

Некоторое время назад в колонке я поднимал тему о том, что популяризация бизнеса в сфере ИБ может стать причиной спада качества оказания консалтинговых услуг: нет общепринятых локальных стандартов, которые можно было бы применить к упомянутым работам.

Я пришел к выводу, что проще всего это можно предотвратить, предъявив адекватные требования к единственному осязаемому результату работ — отчету. Напомню, отчет по результатам тестирования на проникновение обычно состоит из двух частей: аналитической и технической. Аналитическая часть представляет собой осмысление технических результатов тестирования в рамках конкретной организации. Чтобы ты понимал, хороший аналитический отчет можно подготовить даже на основе результатов одних только автоматизированных проверок. В этом случае качество будет напрямую зависеть от человека, который готовил отчет, и его способности адекватно расставлять приоритеты и интерпретировать результат скана Nessus.

В глазах технического специалиста такой отчет выглядит достаточно высокоуровневым. Заказчик в лице руководителя отдела ИБ организации прекрасно понимает, на какие вопросы должен отвечать аналитический отчет. Это помогает в тех случаях, когда качество аналитической части никуда не годится. К сожалению, этого нельзя сказать о технической части — нередко в отделе ИБ мало кто разбирается в вопросе, что не позволяет установить адекватные требования к этой части документа. А ведь она является задокументированным результатом оказания консалтинговой услуги.

Вот здесь и кроется проблема. Результат оказания консалтинговых услуг не должен выглядеть только как ответы на вопросы «могут ли меня взломать?» и «как меня могут взломать?».

Технический отчет, который отвечает на вопросы «как и что исправлять?», — это аналог хак стори вроде тех, что публиковали в Х лет пять назад. Сегодня я расскажу об основных требованиях, которые исполнитель должен предъявлять к техническому отчету.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Аватар

Юрий Гольцев

Профессиональный white hat, специалист по ИБ, еженедельно проводящий множество этичных взломов крупных организаций, редактор рубрики Взлом, почетный член команды ][

Check Also

Через уязвимость в F5 BIG-IP распространяется DDoS-малварь

Атаки на уязвимые устройства BIG-IP продолжаются, и специалисты предупреждают, что таким с…

1 комментарий

  1. Аватар

    readxakep

    20.11.2015 в 14:41

    Ппц, не статья а медуза — так же состоит на 98% из воды.
    Зачем тебе вообще колонка, одно и тоже словно дорогенератор пишешь.

    Особенно иронично вот это прозвучало, на фоне той воды что ты тут пишешь:
    «Некоторое время назад в колонке я поднимал тему о том, что популяризация бизнеса в сфере ИБ может стать причиной спада качества оказания консалтинговых услуг».

Оставить мнение