Prin intermediul acestui serviciu, ne propunem s verificm gradul de protecie a
sistemelor i aplicaiilor clientului mpotriva atacurilor din internet, dar i a celor din interior. Spre deosebire de un audit general al sistemelor informatice, care are ca scop obinerea unui grad rezonabil de asigurare privind managementul securitii, testele de penetrare presupun verificarea posibilitii de a ocoli msurile tehnice de securitate implementate folosind scenarii realiste.
Testele se realizeaz att din postura black box atacator extern fr acces la informaii despre sistem ct i din postura gray/white box folosind informaii la care are n mod normal acces un angajat. Spre deosebire de scanrile de vulnerabiliti, testele de penetrare merg dincolo de a identifica porturi deschise, patch-uri lipsa i eventuale riscuri teoretice, ajungnd pn la a trece efectiv de barierele de securitate prin tentative de a exploata vulnerabilitile sistemului, inclusiv prin intermediul tehnicilor de social engineering.
Obiectivul urmrit n timpul activitilor de testare a securitii este de a identifica i documenta brese ale sistemului n ceea ce privete:
Autentificarea mecanismele prin intermediul crora utilizatorii sunt identificai, autentificai i autorizai s foloseasc funciile sistemului
Validarea tranzaciilor mecanismele prin intermediul crora tranzaciile introduse de ctre utilizatori sunt acceptate i procesate de ctre sistem
Confidenialitatea tranzaciilor msurile implementate pentru prevenirea accesului la detaliile tranzaciilor efectuate de ctre persoane neautorizate
Confidenialitatea datelor clienilor msurile implementate pentru a preveni accesarea datelor privind clienii (nume, adrese, date de contact, nume utilizator etc) de ctre persoane neautorizate
Diponibilitatea serviciului aspecte ce privesc furnizarea nentrerupt a sistemului
Respectarea politicilor i practicilor de securitate modul n care angajaii companiei se comport n diverse situaii poate duce la compromiterea securitii sistemului informaional (social engineering).
Identificarea oricarei bree, incluznd documentarea i susinerea aspectelor identificate prin dovezi obiective, care se ncadreaz n categoriile de mai sus reprezint succesul activitii noastre. n timpul urmririi atingerii scopului vor fi identificate o serie de informaii i eventual vulnerabiliti care vor fi categorisite (risc sczut, risc mediu, risc ridicat) i vor fi raportate. Pe baza acestor vulnerabiliti se pot exploata arii aflate n afara listei de mai sus.
Activitile de evaluare a securitii sunt realizate de persoane care dein certificri n domeniul securitii, printre care menionm CISA (Certified Information Systems Auditor emis de ctre ISACA), CEH (Certified Ethical Hacker emis de ctre EC-Council), LPT (Licenced Penetration Tester emis de ctre EC-Council).
Metodologia general utilizat n prestarea serviciilor de evaluare i testare a securitii sistemelor informatice este sumarizat n urmtoarea diagram:
n cadrul procesului, se efectueaz urmatoarele activiti:
Definirea domeniului de evaluare La iniierea proiectului, mpreun cu beneficiarul, se va delimita aria de acoperire a domeniului de evaluare; Stabilirea modalitii de simulare a atacurilor: blackbox (fr a avea nici un fel de date despre obiectul auditat), whitebox/greybox (avnd la dispoziie unele informaii despre sistemul int); Stabilirea nivelului de agresivitate al atacului: ct de departe se va merge cu tentativele de exploatare a unei vulnerabiliti.
Colectare informaii publice disponibile despre sistemul informatic al Companiei Informaiile coninute pe site-ul companiei, informaii coninute n nregistrrile Whois, DNS, RNC; Informaii despre sistemul informatic al companiei ce se pot obine din alte surse.
Colectare informaii privind conexiunea la Internet Numrul de adrese IP vizibile n Internet, topologia reelei, echipamentele utilizate, sisteme de operare, servicii deschise cu sprijinul specialistilor companiei.
Colectare informaii privind reeaua intern Numrul de adrese IP vizibile, topologia reelei, echipamente utilizate, sisteme de operare, servicii deschise cu sprijinul specialitilor companiei.
Colectare informaii privind conexiunile cu alti parteneri Numrul de adrese IP vizibile, topologia reelei, echipamente utilizate, sisteme de operare, servicii deschise cu sprijinul specialitilor companiei.
Colectare informaii privind accesul de la distan la reeaua intern prin dial-up sau alte metode similare Modalitile prin care se realizeaz accesul de la distan n reeaua intern, metodele de securizare utilizate, adrese IP vizibile n exterior, servicii disponibile cu sprijinul specialitilor companiei.
Detecie vulnerabiliti Utiliznd produse software i metode specializate, recunoscute n industrie, pe baza informaiilor colectate la fazele anterioare se vor identifica sistemele care sunt active n reea, serviciile pornite; Se vor identifica sistemele de operare i versiunile serviciilor active.
Analiz rezultate i raportare Informaiile rezultate din faza de detecie de vulnerabiliti vor fi analizate; Existena vulnerabilitilor majore va fi confirmat prin analiza individual a sistemelor n cauz. Analiz i identificare mijloace de mbunatire, formulare recomandri Pe baza constatrilor de la punctele anterioare se vor formula recomandri concrete pentru remedierea tuturor vulnerabilitilor. Se vor include referine directe ctre documentaia producatorului sau ctre alte surse disponibile pentru remedierea vulnerabilitilor.
Documentare operaii efectuate i rezultate Metodologia utilizat, constatrile, vulnerabilitile identificate, precum i recomandrile vor fi documentate.