На кафедре безопасности информационных технологий открыто новое направление научных и экспериментальных исследований: «Тестирование на проникновение и анализ защищенности корпоративных информационных систем и сетей»
На кафедре безопасности информационных технологий открыто новое направление научных и экспериментальных исследований: «Тестирование на проникновение и анализ защищенности корпоративных информационных систем и сетей» (Лаборатория пентестинга).
Исполнители: Проф. Халимов Г.З., проф. Руженцев В.И., доц. Федюшин А.И., доц. Северинов А.В., студенты:
Лыско В., Ахтырцев И., Поддубный В..
Проведение пентестинга является трудоемкой задачей, требования к компетенции специалистов очень высокие. Пентестер должен владеть навыками использования огромного числа техник, понимать все нюансы технической и организационной составляющей информационной безопасности, применять творческий подход, владеть навыками социальной инженерии и придерживаться определенных стандартов, например: Penetration Testing Execution Standard (PTES), OSSTMM 3.0. — The Open Source Security Testing Methodology Manual, Open Web Application Security Project (OWASP) Testing Project, Penetration Testing Model (BSI), ISACA IS auditing procedure «Security assessment-penetration testing and vulnerability analysis», Payment Card Industry Data Security Standard (PCI DSS), v.3.0, ASV Security Scanning Procedures, PCI SSC и Information Supplement: Requirement 11.3 Penetration Testing, PCI SSC.
Создание «Лаборатории пентестинга» на кафедре безопасности информационных технологий позволит в процессе обучения студентам специальности 125 Кибербезопасность получать навыки проведения анализа защищенности информационных ресурсов компьютерных систем и сетей в рамках учебного процесса, ведь сама организация и проведение тестирования на проникновение ограничиваются украинским законодательством ( Уголовный кодекс Украины. Раздел XVI Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей и сетей электросвязи. Статья 361. Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи и Статья 361-1. Создание с целью использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт.)
Таким образом студентам самостоятельно довольно тяжело получать практические умения и навыки.
Выходом в данном случае является создание тестовой площадки для получения навыков поиска и анализа уязвимостей по аналогии с программами Bug Bounty от известных компаний разработчиков в сфере IT, например, Microsoft, Cisco, Google и других.
Таким образом основной целью исследования является проведение анализа защищенности корпоративной информационной системы Заказчика, который включает внешнее и внутреннее тестирования на проникновение, и разработка методических рекомендаций по его проведению.
Основная цель анализа защищенности – исследование нарушений одного или нескольких свойств информационных активов, которые защищаются: конфиденциальности, целостности, доступности.
По результатам анализа предполагается разработка рекомендаций по повышению уровня защищенности корпоративной информационной системы тестирование которой проводится.
При проведении работ должны быть решены следующие задачи:
— экспертное исследование организационных и технических механизмов защиты, применяемых в корпоративной информационной системе;
— внешнее тестирование на проникновение;
— внутреннее тестирование на проникновение, включая тестирование на повышение привилегий и возможность получения закрытой информации, не предназначенной для авторизованных пользователей IT-сервисов (список сервисов определяется дополнительно). Критерии отнесения информации к закрытой ( местоположение, признаки, другие критерии) определяются Заказчиком дополнительно, уровень детализации критериев определяет Исполнитель;
— описание выполненных работ, анализ результатов и разработка рекомендаций;
— повторное тестирование для проверки устранения выявленных уязвимостей.
Решение подобных задач позволит студентам значительно повысить свой уровень осведомленности в вопросах тестирования сетевых и корпоративных ресурсов на наличие уязвимостей безопасности и научит находить пути по их устранению. При этом они познакомятся с современными программными и программно-аппаратными средствами проведения анализа.
В результате они смогут:
— узнать о возможностях осуществления угроз безопасности информации;
— оценить последствия направленной хакерской атаки;
— определить уязвимости в защите информационной системы;
— оценить эффективность средств защиты информации;
— оценить эффективность менеджмента информационной безопасности;
— оценить возможный уровень квалификации нарушителя для успешной реализации атаки;
— получить аргументы для обоснования дальнейшего вложения ресурсов в ИБ;
— выработать список контрмер, для того чтобы снизить возможность реализации атак.
Приглашаем всех желающих присоединиться к нашей инициативе!
