Внешний тест на проникновение

Цель: Выполнение заказчиком требования 11.3 PCI DSS в части внешних тестов на проникновение.

В соответствии с данным требованием, организация обязана проводить внешний тест на проникновение не реже одного раза в год или после существенных изменений или обновлений инфраструктуры и/или приложений. Стандарт уточняет, что под существенным изменением следует понимать обновление операционной системы, добавление подсети, ввод в эксплуатацию нового сервера и т.п., но окончательное решение, какие изменения считать существенными, принимает сама организация.

Внешний тест на проникновение моделирует атаку злоумышленника, пытающегося проникнуть в сеть организации через Интернет. Обычно различают следующие уровни теста:

  • Уровень 1. Случайные атаки, исходящие от хакеров-любителей, вирусов и червей;
  • Уровень 2. Направленная атака, исходящая от профессионального хакера;
  • Уровень 3. Направленная атака, исходящая от профессионального хакера, обладающего инсайдерской информацией.

Для успешного прохождения аудита PCI DSS обычно достаточно выполнения тестов на проникновение 1-го и 2-го уровней. Какой-либо единой методики выполнения тестов, одобренной и утвержденной PCI, в настоящее время не существует. Также не существует четких требований к исполнителям теста – кроме общего требования, что тест должен выполняться опытным специалистом по безопасности, обладающим соответствующей квалификацией и не зависимым от проверяемой организации.

Как правило, внешний тест на проникновение включает следующие этапы:

  • Определение наиболее уязвимых мест и стратегии тестирования – что будут атаковать хакеры, основываясь на собранной ими информации;
  • Выявление активных хостов, открытых портов, сопоставление границ тестирования с информацией, полученной от Заказчика;
  • Автоматическое сканирование с ручной проверкой и удалением ошибочных результатов;
  • Тестирование вручную и тесты для конкретных ситуаций;
  • Документирование результатов, согласование итогов теста и отчета с Заказчиком.

Следует отметить, что в ходе выполнения теста квалифицированные специалисты по безопасности никогда не пытаются взломать систему, не инсталлируют что-либо на хосты организации, но лишь выявляют уязвимые места, которые могут быть использованы хакерами, и всегда останавливаются в шаге от реального взлома. Поэтому наши тесты на проникновение абсолютно безопасны для систем и данных Заказчика.

Продолжительность теста зависит от объема тестируемой инфраструктуры, обычно это 2-5 рабочих дней без учета времени подготовки отчета. Для выполнения тестов мы привлекаем специалистов, входящих в число наиболее опытных консультантов Европы, членов международных команд, применяющих передовые методики тестирования, имеющих доступ к базам знаний и возможность объединить свой личный опыт и хакерские способности с разнообразием методов взлома, что позволяет охватить методы, которые могли бы быть применены большинством хакеров. Следствием этого является более основательный и эффективный тест, т.к. консультант, используя весь предыдущий накопленный опыт, получает возможность сфокусироваться на креативной части теста, в отличие от временно нанятого специалиста, который может располагать только собственным опытом, полученным в процессе выполнения данного задания.