Тестирование на проникновение
Тестирование на проникновение может быть различным, но основано на двух основных вариантах, один из которых подразумевает имитацию действий настоящего взломщика, который пытается незаконно проникнуть в закрытую информационную систему. Другой вариант – это инструментальный анализ уязвимости сайтов и веб-приложений. Указанные подходы существенно различаются по качеству и способам воздействия на тестируемый объект.
Любое направление воздействия со стороны злоумышленника на защищенный объект, делится на три вектора: физический, технологический и интерактивный.
Любое проводится квалифицированными специалистами веб-студий.
Технологический вектор – это воздействие на технологические и эксплуатационные уязвимости системы. Оно может быть локальным и удаленным.
Необходимым условием возможности удаленного вектора атаки для злоумышленника, является свободная доступность объекта. Локальный вектор атаки может реализоваться под учетной записью пользователя с ограниченным доступом.
Объектом атаки по интерактивному вектору могут стать люди, управляющие неавтоматизированными вычислительными системами. Главным условием для реализации этих действий является прямая доступность объектов атаки. Ими являются сотрудники организаций. Например, сотруднику компании звонит человек, представившийся представителем администратора безопасности, и просит его сообщить личный код доступа к системе.
Физический вектор направлен на прямой контакт с объектом тестирования. Здесь просматриваются попытки физического проникновения хакера внутрь тестируемого объекта. Это может быть флешка со специальной программой, которая устанавливает контроль над информационной системой.
Комментарии закрыты.