Тестирование на проникновение (Penetration Testing) – метод оценки безопасности систем или сетей средствами моделирования атак.
Тест на проникновение – это возможность взломать ИС не только техническим путем, эксплуатируя найденные уязвимости, но и при помощи методов социальной инженерии.
Подобный анализ уязвимостей позволит убедиться не только в том, что оборудование настроено правильно, но и в том, что сотрудники правильно понимают цели и задачи ИБ. Также анализ уязвимостей дает возможность установить, каким образом сеть могут атаковать после разглашения конфиденциальной информации.
Тест на проникновение позволит сделать анализ уязвимостей и выявить слабые места системы обеспечения ИБ.
Решаемые задачи Тестирование на проникновение применяется для решения следующих задач:
получение актуальной и независимой оценки, дающей понятие о текущем состоянии информационной безопасности Ваших систем;
определение необходимых шагов для повышения текущего уровня информационной защиты.
Рис. 4. Этапы аудита ИБ.
Рис. 5. Объекты тестирования. Таблица 1: ПО для оценки основных функций безопасности сети
Средство
Функции
Dude
Средство построения карты сети и обзора сети
Nmap
Cканер сетевых портов, средство идентификации операционных систем и сервисов
OpenVAS
Cредство поиска уязвимостей в сетевых приложениях
Nikto2, Skipfish
Cканер уязвимостей интернет-приложений
Metasploit Framework
Среда отладки эксплойтов и оценки уязвимостей приложений, в том числе Web-приложений