Перейти к содержанию

проверка своего сервера


Рекомендуемые сообщения

Сколько может стоить проверка сервера компании на возможность проникновения извне. Есть подозрения....

К кому обратится. Буду благодарен...

Ссылка на комментарий
Поделиться на другие сайты

Если привлекать профи -от 5000 вечнозеленых, если аутсайдеров - от 1000... На количество нулей оказывает значение что за компания нуждается в проверке. Например за проверку сервера ФСБ возьмутся далеко не все даже за хорошие деньги.

Ссылка на комментарий
Поделиться на другие сайты

Все еще зависит от того, что это за сервер!?

Это веб сервер где находится сайт компании, либо это сервер баз данных на которых держится весь бизнес, либо это внутрикорпоративный сервер который не имеет выделенного IP, но сеть к которой он опдключен имеет выход в интернет, в общем здесь уйма вопросов! Пишите на мыло, возможно поможем!

Ссылка на комментарий
Поделиться на другие сайты

Смотря что - и на что - проверять.

"Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется.

Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент.

А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов.

 

Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы.

И здесь чисто технический аудит не даст полной картины.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 недели спустя...
Смотря что - и на что - проверять.

"Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется.

Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент.

А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов.

 

Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы.

И здесь чисто технический аудит не даст полной картины.

2471[/snapback]

 

К сожалению, часто уровень защиты публичного ресурса определяется хост-провайдером. Именно от него больше всего зависит безопасность хоста. К сожалению, в этом плане часто царит полное раздолбайство. Имеет смысл при подписании договора прописать основные требования к безопасности - хотя бы по резервному копированию. Если порушат базу или скрипты - можно будет как минимум их быстро восстановить. Кроме того, нужно договориться о хранении и резервном копировании логов, которые относятся к работе хоста и их получении в случае проблем.

Второй вопрос - безопасная реализация скриптов сервера (ПХП или CGI например). Это уже вопрос культуры разработки. На рабочей версии должны быть выкусаны все отладочные входы, пароли по умолчанию или пустые пароли, в исходниках должны быть проверки переменных (хотя бы для предотвращения переполнения буфера).

 

При наличии узкой задачи ("простучать" хост) - есть онлайн сервисы для тестов на уязвимости. Есть даже бесплатные сканеры. Адресов не дам, давно было дело, не помню уже. На худой конец берется физический сервер (если он стоит прямо в офисе), к внешнему шнурку втыкается сканер типа ISS (их много разной степени платности) и пробивается по всем уязвимостям стандартными эксплоитами.

 

КАТЕГОРИЧЕСКИ не стоит вешать на физический сервер какие-либо функции кроме веб-сервера и размещать его внутри периметра сети. Пусть стоит на отлете, по крайней мере в ДМЗ.

 

Что касается внутренних угроз - это более характерно для автоматизированной информационной системы организации (ЛВС, файловые хранилища, почта, БД) и непроизводственного использования ресурсов информационной системы (например, платные справки по телефону, закачка больших объемов через выделенку в обоих направлениях) в личных целях.

Ссылка на комментарий
Поделиться на другие сайты

К сожалению, часто уровень защиты публичного ресурса определяется хост-провайдером. Именно от него больше всего зависит безопасность хоста. К сожалению, в этом плане часто царит полное раздолбайство.

2623[/snapback]

 

Воистину.

Но серьезная компания не будет размещать даже веб-ресурс на дешевом хостинге. Для этого есть (далеко не дешевые) ЦОД-ы - датацентры. Пусть мало, но есть. Там и резерное копирование по регламентам, и антивирусы, и детекторы вторжений - и нормальные договора с SLA.

Бардак там, конечно, тоже есть :)

 

Все остальное, кроме хостинга - внутри периметра, и вот тут встанут задачи серьезного мониторинга и анализа уязвимостей...

Ссылка на комментарий
Поделиться на другие сайты

Есть 2 вида тестирования - whitebox/blackbox.

 

отличаются методиками и исходными данными предоставляемыми заказчиком.

 

Цена пентеста в среднем - 5000

 

Если сумма меньше - некомпетентность.

Выше - накрутка за брэндовость.

 

Сроки от 2х недель до 3х месяцев. В зависимости от того что является целью пентеста.

 

Оговариваются моменты применения социнженерии и нарушения заданного режима работы ИС.

 

Ссылка на комментарий
Поделиться на другие сайты

Смотря что - и на что - проверять.

"Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется.

Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент.

А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов.

 

Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы.

И здесь чисто технический аудит не даст полной картины.

2471[/snapback]

 

Компании специализирующиеся на пентестах применяют зачастую непубличные (неизвестные) методики и уязвимости (0day).

 

Пентест - это не проверка защищенности. Это показатель эффективности СЗИ на различных периметрах.

 

При пентесте устраиваются и проникновения из нутри. У нас была практика когда для пентеста устраивались на работу к заказчику )))

Ссылка на комментарий
Поделиться на другие сайты

Кстати, технологию пентестов (точнее, общие принципы) вполне можно использовать и для контроля защищенности объекта в целом (это на тему оценки эффективности СБ в другой ветке форума)

Ссылка на комментарий
Поделиться на другие сайты

Кстати, технологию пентестов (точнее, общие принципы)  вполне можно использовать и для контроля защищенности объекта в целом (это на тему оценки эффективности СБ в другой ветке форума)

2639[/snapback]

 

Сами пентесты нельзя. Пентест - это реализация одного из уязвимых векторов. И реализованный 1 вектор не говорит о том что не существует других направлений проникновения.

 

Именно данные пентестов по разным векторам используются в методиках анализа риска для создания моделей нарушителей. Может получится ситуация что инсайдеры не представляют такую угрозу для бизнеса как вторжение из внешних (сопредельных сетей филиалов и тп).

 

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...