На кафедрі безпеки інформаційних технологій відкритий новий напрямок наукових і експериментальних досліджень: «Тестування на проникнення та аналіз захищеності корпоративних інформаційних систем та мереж»
На кафедрі безпеки інформаційних технологій відкритий новий напрямок наукових і експериментальних досліджень: «Тестування на проникнення та аналіз захищеності корпоративних інформаційних систем та мереж» (Лабораторія пентестінгу).
Виконавці: Проф. Халімов Г.З., проф. Руженцев В.І., доц. Федюшин О.І., доц. Сєвєрінов О.В., студенти:
Лиско В., Ахтирцев І., , Поддубний В..
Проведення пентестінгу є трудомістким завданням, вимоги до компетенції фахівців дуже високі. Пентестер повинен володіти навичками використання величезного числа технік, розуміти всі нюанси технічної та організаційної складової інформаційної безпеки, застосовувати творчий підхід, володіти навичками соціальної інженерії та дотримуватись певних стандартів накшталт: Penetration Testing Execution Standard (PTES), OSSTMM 3.0. – The Open Source Security Testing Methodology Manual, Open Web Application Security Project (OWASP) Testing Project, Penetration Testing Model (BSI), ISACA IS auditing procedure «Security assessment-penetration testing and vulnerability analysis», Payment Card Industry Data Security Standard (PCI DSS), v.3.0, ASV Security Scanning Procedures, PCI SSC і Information Supplement: Requirement 11.3 Penetration Testing, PCI SSC.
Створення «Лабораторії пентестінгу» на кафедрі безпеки інформаційних технологій дозволить в процесі навчання студентам спеціальності 125 Кібербезпека отримувати навички проведення аналізу захищеності інформаційних ресурсів комп’ютерних систем та мереж в межах навчального процесу, адже сама організація і проведення тестування на проникнення обмежуються українським законодавством (Кримінальний кодекс України. Розділ XVI Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку. Стаття 361. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку та Стаття 361-1. Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут.)
Таким чином студентам самостійно досить важко отримувати практичні уміння та навички.
Виходом в даному випадку є створення тестового майданчика для отримання навичок пошуку та аналізу уразливостей по аналогії з програмами Bug Bounty від відомих компаній розробників в сфері IT, наприклад, Microsoft, Cisco, Google та інш.
Таким чином основною метою дослідження є проведення аналізу захищеності корпоративної інформаційної системи Замовника, що включає зовнішнє й внутрішнє тестування на проникнення, та розробка методичних рекомендацій з його проведення.
Основна мета аналізу захищеності – порушення однієї або декількох властивостей інформаційних активів, що захищаються: конфіденційності, цілісності, доступності.
За результатами аналізу передбачається розробка рекомендацій з підвищення рівня захищеності корпоративної інформаційної системи тестування якої проводиться.
При проведенні робіт повинні бути вирішені наступні завдання:
– експертне обстеження організаційних і технічних механізмів захисту, застосовуваних у корпоративній інформаційній системі;
– зовнішнє тестування на проникнення;
– внутрішнє тестування на проникнення, включаючи тестування на підвищення привілеїв і можливість одержання закритої інформації, не призначеної для авторизованих користувачів IT-cервісів (список сервісів визначається додатково). Критерії віднесення інформації до закритої ( місце розташування, ознаки, інші критерії) визначаються Замовником додатково, рівень деталізації критеріїв визначає Виконавець;
– опис виконаних робіт, аналіз результатів і розробка рекомендацій;
– повторне тестування для перевірки усунення виявлених уразливостей.
Вирішення подібних завдань дозволить студентам значно підвищити свій рівень обізнаності в питаннях тестування мережевих та корпоративних ресурсів на наявність уразливостей безпеки та навчить знаходити шляхи для їх усунення. При цьому вони познайомляться з сучасними програмними та програмно-апаратними засобами проведення аналізу.
В результаті вони зможуть:
– довідатися про можливості здійснення погроз безпеці інформації;
– оцінити наслідки спрямованої хакерської атаки;
– визначити уразливості в захисті інформаційної системи;
– оцінити ефективність засобів захисту інформації;
– оцінити ефективність менеджменту інформаційної безпеки;
– оцінити імовірний рівень кваліфікації порушника для успішної реалізації атаки;
– одержати аргументи для обґрунтування подальшого вкладення ресурсів в ІБ;
– виробити список контрзаходів, для того щоб знизити можливість реалізації атак.
Запрошуємо всіх бажаючих приєднатися до нашої ініціативи!