Этим постом я бы хотел открыть серию публикаций, посвященную вопросам проведения технического аудита информационной безопасности. Под техническим аудитом я при этом НЕ подразумеваю тест на проникновение, т.к это более сложная работа, требующая серьезной экспертизы в программировании, понимании деталей работы операционных и прикладных систем и других навыков. Я буду говорить о более простых вещах, которые сможет выполнить практически любой специалист по информационной безопасности для того, чтобы оценить степень уязвимости вверенной ИТ-инфраструктуры.
Прежде чем бросится качать из интернета Metasploit или запускать хакерский livecd-дистрибутив полезно все же определить некоторую систему проведения технического аудита (методологию, алгоритм, как угодно). В этом нет ничего сложного, можно взять как уже готовую так и составить свою. Иначе без конкретной методологии все действия будут носить хаотичный характер, что в свою очередь скажется на качестве полученного результата.
Итак, если мы говорим про готовые методологии проведения технического аудита то тут могу порекомендовать:
Information systems security assessment framework (ISSAF) - методология проведения оценки состояния информационной безопасности. Хороша с теоретической точки зрения, т.к. уже много лет не обновляется, но все же систему проверок разработчики заложили неплохую (рассматривается оценка различных технологий - прикладных систем, сетевого оборудования, различных сервисов). Скачать материалы можно тут.
Penetration Testing Framework - довольно детальный фреймворк, содержащий описание конкретных программ/скриптов, которые могут использоваться для проверки тех или иных сервисов/систем. Фреймворк очень хорошо структурирован (можно кстати скачать его в виде майнд-карты в формате FreeMind) и я очень рекомендую с ним ознакомится. Лично я использовал данный фреймворк в качестве основы для разработки собственной системы проведения технического аудита.
The Open Source Security Testing Methodology Manual (OSSTMM) - интересная методология, предполагающая принципиально иной, экспериментальный подход к проведению оценки состояния информационной безопасности. В ней не упоминаются конкретные приемы, программы или скрипты, которые могут использоваться для оценки состояния ИБ, а дается именно общее описание того, какие проверки необходимо провести и как интерпретировать результаты.
На этом пока на сегодня все. В следующем посте уже подробнее поговорим о конкретном инструментарии для проведения технического аудита.
Facebook
Ещё несколько примеров:
ОтветитьУдалитьNIST Technical Guide to Information Security Testing and Assessment.
Руководство по планированию и проведению технического аудита, анализа полученных данных, определения необходимых контрмер.
http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
OWASP Testing guide.
Узкоспециализированное руководство по техническому аудиту web приложений.
https://www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf