Опубликовано 22 апреля, 200521 г К сожалению, часто уровень защиты публичного ресурса определяется хост-провайдером. Именно от него больше всего зависит безопасность хоста. К сожалению, в этом плане часто царит полное раздолбайство. 2623[/snapback] Воистину. Но серьезная компания не будет размещать даже веб-ресурс на дешевом хостинге. Для этого есть (далеко не дешевые) ЦОД-ы - датацентры. Пусть мало, но есть. Там и резерное копирование по регламентам, и антивирусы, и детекторы вторжений - и нормальные договора с SLA. Бардак там, конечно, тоже есть :) Все остальное, кроме хостинга - внутри периметра, и вот тут встанут задачи серьезного мониторинга и анализа уязвимостей...
Опубликовано 22 апреля, 200521 г Есть 2 вида тестирования - whitebox/blackbox. отличаются методиками и исходными данными предоставляемыми заказчиком. Цена пентеста в среднем - 5000 Если сумма меньше - некомпетентность. Выше - накрутка за брэндовость. Сроки от 2х недель до 3х месяцев. В зависимости от того что является целью пентеста. Оговариваются моменты применения социнженерии и нарушения заданного режима работы ИС.
Опубликовано 22 апреля, 200521 г Смотря что - и на что - проверять. "Лобовая" проверка защищенности открытого в public Internet ресурса - на основные известные уязвимости - не так дорого обойдется. Элементарная защита должна быть изначально реализована вашим администратором. Если это, конечно, не подрабатывающей студент. А руководство конторы должно изначально озаботиться вопросами информационной безопасности - если не на уровне политики, то хотя бы на уровне регламентов. Кстати, основную опасность представляют все-таки не внешние "хакерские" атаки, а собственный персонал, внутренние угрозы. И здесь чисто технический аудит не даст полной картины. 2471[/snapback] Компании специализирующиеся на пентестах применяют зачастую непубличные (неизвестные) методики и уязвимости (0day). Пентест - это не проверка защищенности. Это показатель эффективности СЗИ на различных периметрах. При пентесте устраиваются и проникновения из нутри. У нас была практика когда для пентеста устраивались на работу к заказчику )))
Опубликовано 22 апреля, 200521 г Кстати, технологию пентестов (точнее, общие принципы) вполне можно использовать и для контроля защищенности объекта в целом (это на тему оценки эффективности СБ в другой ветке форума)
Опубликовано 22 апреля, 200521 г Кстати, технологию пентестов (точнее, общие принципы) вполне можно использовать и для контроля защищенности объекта в целом (это на тему оценки эффективности СБ в другой ветке форума) 2639[/snapback] Сами пентесты нельзя. Пентест - это реализация одного из уязвимых векторов. И реализованный 1 вектор не говорит о том что не существует других направлений проникновения. Именно данные пентестов по разным векторам используются в методиках анализа риска для создания моделей нарушителей. Может получится ситуация что инсайдеры не представляют такую угрозу для бизнеса как вторжение из внешних (сопредельных сетей филиалов и тп).
Для публикации сообщений создайте учётную запись или авторизуйтесь