19 октября, пятница 18:03
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Тест на проникновение

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Тест на проникновение

    Добрый день, коллеги!
    «тест на проникновение» предназначен для обнаружения уязвимостей в сети и предоставления количественной оценки внешней угрозы при помощи имитации скрытой злонамеренной деятельности, типичной для сетевых вторжений, в рамках безопасных и управляемых испытаний.

    Наша компания хочет заказать данную услугу для анализа сети. Хочу поднять данную тему, так как есть некие вопросы, например, насколько легитимна данная услуга?, какие методологии либо методики используются при тесте?, типы соглашений о неразглашении? какие лицензии должны быть (или их остутствие) у Исполнителя ? есть ли люди, у которых проводились подобные тесты?

  • #2
    Сообщение от sotorelo Посмотреть сообщение
    Наша компания хочет заказать данную услугу для анализа сети. Хочу поднять данную тему, так как есть некие вопросы, например, насколько легитимна данная услуга?, какие методологии либо методики используются при тесте?, типы соглашений о неразглашении? какие лицензии должны быть (или их остутствие) у Исполнителя ? есть ли люди, у которых проводились подобные тесты?
    думаю,что у контор предоставляющих такие услуги - методы почти одинаковые. методологии и методики используются все возможные вплоть до социальной инженерии. про не разглашение нужно все смотреть в договорах (выбери ско-нить фирм, запроси типовой договор..сравни).
    а вааще хрень очень полезная. документ, который они выкатывают после - можно брать и по ниму прямо и работать. причем они должны давать рекомендации и как это лечить. короче вещь очч нужная, и вождям потом можно его показывать и выбивать денажку на железки и софт необходимый.

    Комментарий


    • #3
      Сообщение от xell Посмотреть сообщение
      а вааще хрень очень полезная. документ, который они выкатывают после - можно брать и по ниму прямо и работать.
      Вам делали такой тест?
      Какая контора?

      Комментарий


      • #4
        Berrimor xell Собственно говоря, коллеги, интересны именно отзывы компаний, у которых проводились подобные тесты. Посмотреть примеры отчетов, договоров (естественно обезличенных).

        Насколько я понимаю, при проведению подобных тестов Исполнителю необходимо поставить в известность обоих телекоммуникационных провайдеров связи.

        Комментарий


        • #5
          Вот методики - http://www.isecom.org/osstmm/, http://csrc.nist.gov/publications/ni...T-SP800-42.pdf

          Результаты теста на проникновение - позволят проще обосновать бюджет на латание кого-либо недостатка, но полной картины бедствия на мой взгляд не дадут.

          Комментарий


          • #6
            Сообщение от sotorelo Посмотреть сообщение
            Добрый день, коллеги!
            «тест на проникновение» предназначен для обнаружения уязвимостей в сети и предоставления количественной оценки внешней угрозы при помощи имитации скрытой злонамеренной деятельности, типичной для сетевых вторжений, в рамках безопасных и управляемых испытаний.

            Наша компания хочет заказать данную услугу для анализа сети. Хочу поднять данную тему, так как есть некие вопросы, например, насколько легитимна данная услуга?, какие методологии либо методики используются при тесте?, типы соглашений о неразглашении? какие лицензии должны быть (или их остутствие) у Исполнителя ? есть ли люди, у которых проводились подобные тесты?
            1. Вполне легитимна.
            2. Используется комбинация методоыв. В простейшем случае пользуются сканером уязвимостей (XSpider, Nessus) плюс сравнением настроек оборудование с некоторым бэйзлайном. Результатом является список уязвимостей, которые сканер или бейзлайн считают критическими и exploitable. В более сложном (дорогом и долгом ) случае после такого сканирования проводятся попытки эксплуатации найденных уязвимостей (тот же Metasploit Framework, например, или SAINTexploit).

            Дальше возможны нюансы. Можно проводить проникновение извне (более реальные условия, но результаты имеют для вас меньшую ценность), из DMZ и из внутреннего сегмента. Можно ограничиваться техническими уязвимостями, можно использовать весь спектр уязвимостей. Все зависит от того. что вы хотите получить.

            Есть более или менее стандартизованные методологии (OSSTMM, NIST SP-800-42), но не думаю, что российские специалисты настолько формализованно подходят к этому вопросу.

            3. Стандартное для исполнителя соглашение о конфиденциальности, по которому он обязуется ничего не разглашать Обычно при согласовании договора согласовывается и текст соглашения.

            4. Формально у исполнителя должна быть лицензия на ТЗКИ, но вам от ее наличия или отсутствия ни холодно, ни жарко. Наличие лицензии у компании ровным счетом ничего не говорит вам о компетентности ее специалистов именно в этой услуге.
            Последний раз редактировалось malotavr; 26.08.2008, 15:14.

            Комментарий


            • #7
              Сообщение от sotorelo Посмотреть сообщение
              Berrimor xell Собственно говоря, коллеги, интересны именно отзывы компаний, у которых проводились подобные тесты. Посмотреть примеры отчетов, договоров (естественно обезличенных).

              Насколько я понимаю, при проведению подобных тестов Исполнителю необходимо поставить в известность обоих телекоммуникационных провайдеров связи.
              Мы проводим такие тесты самостоятельно, без привлечения сторонних компаний, поэтому отзывов дать не могу.

              Необходимости ставить в известность провайдера нет. Во-первых, провайдера такое тестирование никак не затрагивает (если по договору он не оказывает вам услуг по защите вашей сети и если имитируемые атаки не направлены на оборудование провайдера). Во-вторых, это всего лишь имитация. Обычно вы подключаете атакующий узел непосредственно перед или за вашим граничным файрволом, и весь трафик остается в пределах вашей сети.

              Комментарий


              • #8
                malotavr Спасибо за столь исчерпывающий ответ. xell "социальной инженерии" - как то я упустил этот момент

                Комментарий


                • #9
                  Сообщение от xell Посмотреть сообщение
                  думаю,что у контор предоставляющих такие услуги - методы почти одинаковые. методологии и методики используются все возможные вплоть до социальной инженерии.

                  ...

                  а вааще хрень очень полезная. документ, который они выкатывают после - можно брать и по ниму прямо и работать. причем они должны давать рекомендации и как это лечить. короче вещь очч нужная, и вождям потом можно его показывать и выбивать денажку на железки и софт необходимый.
                  Зависит от конторы и ТЗ. Могут ограничиться тупым сканированием открытых портов, а в качестве рекомендаций перевести Prompt'ом странички из хелпа, прилагающегося к сканеру. Лет девять назад одно ныне очень уважаемая контора мне такую работу сдавала. Сдала, что характерно - ТЗ было написано общими словами, и формальных причин не принять эту "работу" у нас не было.

                  Комментарий


                  • #10
                    malotavr Мы проводим такие тесты самостоятельно, без привлечения сторонних компаний, поэтому отзывов дать не могу. Уважаемый, а разве это "правильно"? Я имею ввиду проводить подобные тесты, привлекая сотрудников IT подразделений ? По опыту работы, могу сказать, что мало того, что бдительность специалистов падает, но и проведение аудита "изнутри" своими спецами не даст объективную картину происходящего, из за "перископного" мышления этих специалистов. Если я неправ, прошу поправить меня.

                    Комментарий


                    • #11
                      Сообщение от malotavr Посмотреть сообщение
                      Зависит от конторы и ТЗ. Могут ограничиться тупым сканированием открытых портов, а в качестве рекомендаций перевести Prompt'ом странички из хелпа, прилагающегося к сканеру.
                      По-моему, большинство работает так до сих пор
                      Всё же для полноценного пен-теста нужна квалификация намного выше умения запустить сканер и нарезать из него отчёт.

                      Комментарий


                      • #12
                        Сообщение от sotorelo Посмотреть сообщение
                        Уважаемый, а разве это "правильно"? Я имею ввиду проводить подобные тесты, привлекая сотрудников IT подразделений ?
                        Я не вхожу ни в ИТ, ни в СБ, поэтому заинтересован в максимальной объективности тестирования. Само тестирование проводят специалисты из штаб-квартиры, поэтому мне не нужно обращаться к россиским компаниям.

                        Комментарий


                        • #13
                          Сообщение от nremezov Посмотреть сообщение
                          Всё же для полноценного пен-теста нужна квалификация намного выше умения запустить сканер и нарезать из него отчёт.
                          Есть коллеги, которые обладают необходимой квалификацией и опытом.

                          Для оценки стоимости работ необходимо знать: количество систем (серверов), сколько систем опубликовано наружу, сколько пользователей, сколько провайдеров, сколько филиалов проверяются, нужна или нет социальная инженерия.

                          Без социальной инженерии тестирование снаружи и изнутри, если меньше 15 систем - грубо порядка 20k$.

                          В отчет входит подробное описание: что делали, что обнаружили, что может произойти, как избавиться.

                          Чтобы не рекламировать, координаты могу кинуть по B-mail.

                          Комментарий


                          • #14
                            griboff "Чтобы не рекламировать, координаты могу кинуть по B-mail." sotorelo [#] yahoo.com

                            Комментарий


                            • #15
                              Сообщение от griboff Посмотреть сообщение
                              Есть коллеги, которые обладают необходимой квалификацией и опытом.
                              .....
                              Чтобы не рекламировать, координаты могу кинуть по B-mail.
                              Ну давайте.
                              Я знаю лишь пару наших организаций, которые без привлечения сторонних специалистов могут проводить это на должном уровне.

                              Киньте тоже координаты. Если ещё есть пример отчёта, или список выполняемых работ - то вообще будет здорово.

                              Комментарий


                              • #16
                                nremezov "Если ещё есть пример отчёта, или список выполняемых работ - то вообще будет здорово." - присоединяюсь к просьбе, так как выбрать достойного партнера по проведению этой услуги очень сложно, опираясь исключительно на красивые презентации/сайты.

                                Комментарий


                                • #17
                                  Сообщение от nremezov Посмотреть сообщение
                                  nremezov "Если ещё есть пример отчёта, или список выполняемых работ - то вообще будет здорово." .
                                  ) дядь, а ты понимаешь, что в этом отчете написато как сетку твою поставить раком? ) хотел бы я посмареть на безапастнега или ИТ-шнега, который таким отчетом поделитсо ))

                                  Комментарий


                                  • #18
                                    даже если уязвимостей будет не найдено...нет скажем по другому...даже если квалификация позволяет только запустить сканеры...все равно информация о системе и прочее систематизирует все сведения о ней. А вообще важно же не то. что человек запустит например сканер, а как затем проанализирует все опираясь на глубокие знания протокола и собственные приемы вскрытия...
                                    Мое мнение.

                                    Комментарий


                                    • #19
                                      xell на сайте http://www.dsec.ru/consult/audit/test/ в открытом доступе лежат примеры отчетов...

                                      Комментарий


                                      • #20
                                        Сообщение от Conspy Посмотреть сообщение
                                        даже если уязвимостей будет не найдено...нет скажем по другому...даже если квалификация позволяет только запустить сканеры...все равно информация о системе и прочее систематизирует все сведения о ней. А вообще важно же не то. что человек запустит например сканер, а как затем проанализирует все опираясь на глубокие знания протокола и собственные приемы вскрытия...
                                        Мое мнение.
                                        Как мне кажется, без знания, как действует злоумышленик, как он думает, трудно будет обычному специалисту из IT (да даже из СБ) что либо предпринять. Но это уже выходит за рамки данного поста.

                                        Комментарий


                                        • #21
                                          Сообщение от xell Посмотреть сообщение
                                          ) дядь, а ты понимаешь, что в этом отчете написато как сетку твою поставить раком? ) хотел бы я посмареть на безапастнега или ИТ-шнега, который таким отчетом поделитсо ))
                                          Это ведь пример отчёта, а не полный отчёт - оттуда может быть вырезано всё упоминание о клиенте.
                                          Для оценки "качества" подрядчика - меня прежде всего интересовало бы какие работы проводились и с использованием какого инструментария.
                                          А так ещё можно пойти стандартным путём - отзывы клиентов.

                                          Комментарий


                                          • #22
                                            Сообщение от sotorelo Посмотреть сообщение
                                            Как мне кажется, без знания, как действует злоумышленик, как он думает, трудно будет обычному специалисту из IT (да даже из СБ) что либо предпринять. Но это уже выходит за рамки данного поста.
                                            Справедливо. Специализация. знаете ли Но, с другой стороны, вам не обязательно уметь разрабатывать эксплойты под конкретное переполнение буфера, вполне достаточно знать, что эта уязвимость закрывается вот таким патчем

                                            Комментарий


                                            • #23
                                              Все правильно коллега griboff говорит

                                              Есть коллеги, которые обладают необходимой квалификацией и опытом.
                                              Для оценки стоимости работ необходимо знать: количество систем (серверов), сколько систем опубликовано наружу, сколько пользователей, сколько провайдеров, сколько филиалов проверяются, нужна или нет социальная инженерия.
                                              Без социальной инженерии тестирование снаружи и изнутри, если меньше 15 систем - грубо порядка 20k$.
                                              В отчет входит подробное описание: что делали, что обнаружили, что может произойти, как избавиться.
                                              Чтобы не рекламировать, координаты могу кинуть по B-mail.
                                              Мы предоставляем подобную услугу украинским компаниям. Есть и примеры отчетов и обобщенная методология (для предоставления всем желающим). Кстати, IMHO, наличие формальной методологии тестирования - большое подспорье в работе консультанта и доп. уверенность в качестве услуги для заказчика.

                                              Комментарий


                                              • #24
                                                Сообщение от sotorelo Посмотреть сообщение
                                                xell на сайте http://www.dsec.ru/consult/audit/test/ в открытом доступе лежат примеры отчетов...

                                                согласен, нормальный отчод ) просто прикинув сколько нужно выкинуть из того который я видел....стало грустно. )

                                                Комментарий


                                                • #25
                                                  Сообщение от xell Посмотреть сообщение
                                                  согласен, нормальный отчод ) просто прикинув сколько нужно выкинуть из того который я видел....стало грустно. )
                                                  А мне становится грустно от туманных намёков без предоставления какой либо информации
                                                  Сообщение от dlipper Посмотреть сообщение
                                                  Мы предоставляем подобную услугу украинским компаниям. Есть и примеры отчетов и обобщенная методология (для предоставления всем желающим).
                                                  Если возможно - адрес сайта, методологию и пример отчётов пришлите в личку.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от griboff Посмотреть сообщение
                                                    Без социальной инженерии тестирование снаружи и изнутри, если меньше 15 систем - грубо порядка 20k$.
                                                    Интересное у вас ценообразование

                                                    Заказ настоящего взлома на порядок дешевле стоит.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от box_roller Посмотреть сообщение
                                                      Интересное у вас ценообразование

                                                      Заказ настоящего взлома на порядок дешевле стоит.
                                                      на античате или злой.орг?

                                                      Комментарий


                                                      • #28
                                                        Сообщение от box_roller Посмотреть сообщение
                                                        Интересное у вас ценообразование

                                                        Заказ настоящего взлома на порядок дешевле стоит.
                                                        Коллега, не у меня (нас), а у них.

                                                        Вопрос ценообразования, это вопрос целей проведения работ.
                                                        Если цель: просто (тупо) взломать что-то - это одно.
                                                        Если цель: выяснить как можно больше возможных (известных) способов взлома, описать их и предложить пути решения - это уже другое, не находите?
                                                        ИМХО, во втором случае работа сложнее, кропотливее и трудозатратнее, поэтому и стоит дороже.

                                                        Комментарий


                                                        • #29
                                                          +1

                                                          Комментарий


                                                          • #30
                                                            Сообщение от griboff Посмотреть сообщение
                                                            Коллега, не у меня (нас), а у них.

                                                            Вопрос ценообразования, это вопрос целей проведения работ.
                                                            Если цель: просто (тупо) взломать что-то - это одно.
                                                            Если цель: выяснить как можно больше возможных (известных) способов взлома, описать их и предложить пути решения - это уже другое, не находите?
                                                            ИМХО, во втором случае работа сложнее, кропотливее и трудозатратнее, поэтому и стоит дороже.
                                                            Моя цель - защитить информацию. Узнать количество гипотетических возможностей взлома - это определенно не моя цель. Я не коллекционер )))

                                                            Цель тестового взлома - проверить системы защиты на предмет недопущения и обнаружения реального взлома.
                                                            Лучшие специалисты по тестовому взлому, это те кто занимается реальными взломами

                                                            Поэтому я считаю "Тестовый взлом", что предлагают некие компании - пустая трата денег. Гарантий никаких нет. За что деньги? За "воздух" + куча макулатуры (отчетов). Исполнение всех рекомендаций из отчетов, так же ни о чем не говорит.

                                                            Вот Вы пишите " (известных) способов взлома". Кому известных? Вам или тем кто будет реально ломать?
                                                            Лучший отчет – это шэлл с админскими правами и CD вашей базы, что якобы было не возможно скопировать.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X