Пен-тест: взгляд изнутри банка. Как самим прочувствовать слабые места
Размещено на сайте 09.03.2023
Как грамотно подойти к тестированию на проникновение и провести его с максимальным результатом без существенных негативных эффектов? Какие цели поставить перед исполнителем, что включить в зону тестирования и что входит в официальную и неофициальную «уборку» после пен-теста? Отвечаем на эти и другие вопросы, основываясь на опыте рядового классического регионального банка.
Евгений КАРПОВ, АО КБ «Хлынов», начальник отдела информационной безопасности
Приводятся извлечения из статьи.
Полную версию материала читайте в журнале.
Подписаться
Наиболее грамотный подход строится от типичного поведения внешнего нарушителя. Потенциальные цели нарушителя по убыванию приоритета: (1) несанкционированный перевод денежных средств клиентов или самого банка; (2) хищение значительных объемов клиентских данных; (3) шантаж прерыванием внутренних процессов.
|
Самое ценное, что пен-тест может дать организации и ее службе ИБ, — это опыт взаимодействия в условиях, максимально приближенных к «боевым», опыт работы в «боевых» условиях, опыт принятия решений и поиска компромиссов «за секунды».
|
Объекты внутри вашей инфраструктуры дадут вам понимание способности обнаружить вторжение за внешним периметром и общего реального качества работы служб ИТ и ИБ: своевременные обновления, защищенные стандарты работы, обнаружение аномалий и т.д.
|
Крайне желательно оповестить подрядчиков, чья инфраструктура может быть задета в ходе тестирования, о проведении теста на проникновение с запросом об отсутствии возражений с их стороны.
|
На этапе подготовки к пен-тесту неплохо «навести порядок» в информационной инфраструктуре, проверить/сменить пароли и доступы к информационным системам, убрать лишнее, проверить ведение протоколов.
|