Перейти к содержанию

проверка своего сервера

Оценить эту тему:


Рекомендуемые сообщения

Сколько может стоить проверка сервера компании на возможность проникновения извне. Есть подозрения....

К кому обратится. Буду благодарен...

Ссылка на сообщение
Поделиться на другие сайты

Если привлекать профи -от 5000 вечнозеленых, если аутсайдеров - от 1000... На количество нулей оказывает значение что за компания нуждается в проверке. Например за проверку сервера ФСБ возьмутся далеко не все даже за хорошие деньги.

Ссылка на сообщение
Поделиться на другие сайты

Все еще зависит от того, что это за сервер!?

Это веб сервер где находится сайт компании, либо это сервер баз данных на которых держится весь бизнес, либо это внутрикорпоративный сервер который не имеет выделенного IP, но сеть к которой он опдключен имеет выход в интернет, в общем здесь уйма вопросов! Пишите на мыло, возможно поможем!

Ссылка на сообщение
Поделиться на другие сайты

Смотря что - и на что - проверять.

"Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется.

Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент.

А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов.

 

Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы.

И здесь чисто технический аудит не даст полной картины.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 недели спустя...
Смотря что - и на что - проверять.

"Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется.

Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент.

А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов.

 

Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы.

И здесь чисто технический аудит не даст полной картины.

2471[/snapback]

 

К сожалению, часто уровень защиты публичного ресурса определяется хост-провайдером. Именно от него больше всего зависит безопасность хоста. К сожалению, в этом плане часто царит полное раздолбайство. Имеет смысл при подписании договора прописать основные требования к безопасности - хотя бы по резервному копированию. Если порушат базу или скрипты - можно будет как минимум их быстро восстановить. Кроме того, нужно договориться о хранении и резервном копировании логов, которые относятся к работе хоста и их получении в случае проблем.

Второй вопрос - безопасная реализация скриптов сервера (ПХП или CGI например). Это уже вопрос культуры разработки. На рабочей версии должны быть выкусаны все отладочные входы, пароли по умолчанию или пустые пароли, в исходниках должны быть проверки переменных (хотя бы для предотвращения переполнения буфера).

 

При наличии узкой задачи ("простучать" хост) - есть онлайн сервисы для тестов на уязвимости. Есть даже бесплатные сканеры. Адресов не дам, давно было дело, не помню уже. На худой конец берется физический сервер (если он стоит прямо в офисе), к внешнему шнурку втыкается сканер типа ISS (их много разной степени платности) и пробивается по всем уязвимостям стандартными эксплоитами.

 

КАТЕГОРИЧЕСКИ не стоит вешать на физический сервер какие-либо функции кроме веб-сервера и размещать его внутри периметра сети. Пусть стоит на отлете, по крайней мере в ДМЗ.

 

Что касается внутренних угроз - это более характерно для автоматизированной информационной системы организации (ЛВС, файловые хранилища, почта, БД) и непроизводственного использования ресурсов информационной системы (например, платные справки по телефону, закачка больших объемов через выделенку в обоих направлениях) в личных целях.

Ссылка на сообщение
Поделиться на другие сайты
К сожалению, часто уровень защиты публичного ресурса определяется хост-провайдером. Именно от него больше всего зависит безопасность хоста. К сожалению, в этом плане часто царит полное раздолбайство.

2623[/snapback]

 

Воистину.

Но серьезная компания не будет размещать даже веб-ресурс на дешевом хостинге. Для этого есть (далеко не дешевые) ЦОД-ы - датацентры. Пусть мало, но есть. Там и резерное копирование по регламентам, и антивирусы, и детекторы вторжений - и нормальные договора с SLA.

Бардак там, конечно, тоже есть :)

 

Все остальное, кроме хостинга - внутри периметра, и вот тут встанут задачи серьезного мониторинга и анализа уязвимостей...

Ссылка на сообщение
Поделиться на другие сайты

Есть 2 вида тестирования - whitebox/blackbox.

 

отличаются методиками и исходными данными предоставляемыми заказчиком.

 

Цена пентеста в среднем - 5000

 

Если сумма меньше - некомпетентность.

Выше - накрутка за брэндовость.

 

Сроки от 2х недель до 3х месяцев. В зависимости от того что является целью пентеста.

 

Оговариваются моменты применения социнженерии и нарушения заданного режима работы ИС.

 

Ссылка на сообщение
Поделиться на другие сайты
Смотря что - и на что - проверять.

"Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется.

Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент.

А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов.

 

Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы.

И здесь чисто технический аудит не даст полной картины.

2471[/snapback]

 

Компании специализирующиеся на пентестах применяют зачастую непубличные (неизвестные) методики и уязвимости (0day).

 

Пентест - это не проверка защищенности. Это показатель эффективности СЗИ на различных периметрах.

 

При пентесте устраиваются и проникновения из нутри. У нас была практика когда для пентеста устраивались на работу к заказчику )))

Ссылка на сообщение
Поделиться на другие сайты

Кстати, технологию пентестов (точнее, общие принципы) вполне можно использовать и для контроля защищенности объекта в целом (это на тему оценки эффективности СБ в другой ветке форума)

Ссылка на сообщение
Поделиться на другие сайты
Кстати, технологию пентестов (точнее, общие принципы)  вполне можно использовать и для контроля защищенности объекта в целом (это на тему оценки эффективности СБ в другой ветке форума)

2639[/snapback]

 

Сами пентесты нельзя. Пентест - это реализация одного из уязвимых векторов. И реализованный 1 вектор не говорит о том что не существует других направлений проникновения.

 

Именно данные пентестов по разным векторам используются в методиках анализа риска для создания моделей нарушителей. Может получится ситуация что инсайдеры не представляют такую угрозу для бизнеса как вторжение из внешних (сопредельных сетей филиалов и тп).

 

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...