Научная статья на тему 'Pentest как основа обеспечения безопаности на средних и крупных предприятиях'

Pentest как основа обеспечения безопаности на средних и крупных предприятиях Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
701
115
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / PENTEST / УЯЗВИМОСТЬ / ЗЛОУМЫШЛЕННИК

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Казыханов Артем Азаматович, Байрушин Фёдор Тимофеевич

Статья представляет собой исследование вопроса обеспечения безопасности информации на средних и крупных предприятиях с помощью pentestа. Благодаря применению данного метода можно выяснить уязвимости своей компании, а также определить методы для улучшения ИБ на предприятии.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Pentest как основа обеспечения безопаности на средних и крупных предприятиях»

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» №10-2/2016 ISSN 2410-700Х_

УДК 004

Казыханов Артем Азаматович

Студент 3 курса ИУБП БашГУ, г. Уфа, РФ E-mail: [email protected] Байрушин Фёдор Тимофеевич к.б.н.,доцент кафедры информационной безопасности БашГУ,г. Уфа, РФ

E-mail: [email protected]

PENTEST КАК ОСНОВА ОБЕСПЕЧЕНИЯ БЕЗОПАНОСТИ НА СРЕДНИХ И КРУПНЫХ

ПРЕДПРИЯТИЯХ

Аннотация

Статья представляет собой исследование вопроса обеспечения безопасности информации на средних и крупных предприятиях с помощью pentestа. Благодаря применению данного метода можно выяснить уязвимости своей компании, а также определить методы для улучшения ИБ на предприятии.

Ключевые слова Информационная безопасность, Pentest,уязвимость, злоумышленник

Компании и предприятия непрерывно развиваются, они закупают новое оборудование, осваивают новые технологии, несомненно, для бизнеса наличие новых технологий является основополагающим фактором, который позволяет держаться не только на плаву, но и увеличивать прибыль. Таким образом, мы понимаем, что в нашем информационном обществе всё большее значение приобретает информация, которая передаётся, продаётся, обрабатывается и т. д. Исходя из этого, мы можем понимать, что в современном обществе огромное значение придают и защите информации.

За последние годы отрасль ИБ получила огромное развитие, специалисты ИБ востребованы во всех крупных компаниях, без ИБ невозможно представить развитие современных технологий. Благодаря специалистам данной отрасли конкуренция между некоторыми предприятиями приняла более честный характер.

Говоря о конкуренции необходимо понимать, что в нашем информационном обществе, если владеешь информацией, особенное конфиденциального характера, касающейся другой компанией ты можешь принести другой компании колоссальный ущерб. Именно поэтому специалисты службы безопасности стараются обеспечить максимально защиту структуре своей компании, при этом не забывая про IT отрасль компании. В поисках лучшей защиты специалисты информационной безопасности идут на некоторые хитрости. Например, практикуется методика принятия на работу человека, который ранее занимался деятельностью, связанной с хакерством. Иными словами, самый лучший способ построить надежную систему безопасности - это думать, как злоумышленник, то есть привлекая злоумышленника, и использовав его мышление, мы понимаем на какие аспекты прежде всего необходимо обратить внимание. Постепенно вместо данной методики придумали другую - более совершенную.

Pentest - Тест на проникновение («пентест», сокр. от англ. «penetrationtesting») - вид аудита информационной безопасности, позволяющий выявить за ограниченное время максимально возможное число уязвимостей информационной системы предприятия.

Существует несколько видов пентеста - внутренний, внешний и специальный (социотехнический). В ходе аудита производится обследование серверов, подключенных к сети.

Основная задача - поиск уязвимостей, эксплуатация которых позволит проникнуть на сервер извне, получить несанкционированный доступ к критичной информации, нарушить ее целостность и доступность.

Цели: Обеспечение информационной безопасности любого предприятия является процессом, который не может прийти в некое конечное состояние. Этот процесс развивается вместе с ИТ-

МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» №10-2/2016 ISSN 2410-700Х

инфраструктурой организации: появляются новые решения, новые ИТ-продукты, а значит, и новые информационные угрозы.

Даже при использовании передовых решений мировых разработчиков по информационной безопасности невозможно дать 100 % гарантию защиты ИТ-системы по следующим причинам:

Разработчики часто оставляют уязвимости в своем продукте, будь то «железо» или «софт». Причем делают это часто неосознанно, из-за банальных ошибок, которые в дальнейшем возможно эксплуатировать. А иногда закладки в коде - результат целенаправленных действий самих разработчиков.

Используя лишь средства защиты без их аудита, невозможно по-настоящему контролировать информационную безопасность ИТ-системы.

Поэтому для реальной проверки вашей системы - насколько она уязвима и насколько легко ее можно взломать - требуется практический тест на проникновение.

Таким образом, мы понимаем, что на данный момент PentestoTO замечательная возможность для крупных и средних предприятий проверить свою систему защиты информации, а тем самым проверить и эффективность работы отдела по ЗИ либо специалистов службы ИБ. Список использованной литературы:

1. Хабрахабр[Электронный ресурс] Режим доступа: https://habrahabr.ru/sandbox/60077/.

2. Аудит ИБ[Электронный ресурс] Режим доступа: http://auditib.ru/penetration-testing/ (Дата обращения: 14.10.2016)

3. Стандарт IS027000

©Казыханов А.А., Байрушин Ф.Т., 2016

УДК 004

Казыханов Артём Азаматович

Студент 3 курса ИУБП БашГУ, г. Уфа, РФ E-mail: [email protected] Байрушин Фёдор Тимофеевич к.б.н.,доцент кафедры информационной безопасности БашГУ,г. Уфа, РФ

E-mail: [email protected]

АНАЛИЗ ПРОДУКЦИИ КОД БЕЗОПАСНОСТИ Аннотация

В данной статье рассматривается продукция компании "Код Безопасности", её особенности применения, а также положительные и отрицательные стороны того или иного продукта из выбранной линейки для анализа. Анализируется целесообразность применения различными компаниями решений от этой компании. Так, в качестве рекомендаций будут сформулированы и аргументированы те или иные решения.

Ключевые слова

Код Безопасности, решения, продукты, информационная безопасность, уязвимости

Для обеспечения информационной безопасности на различных предприятиях необходимо использовать аппаратно-технические средства защиты информации. Так, для Российских компаний одним из главных поставщиков данных услуг является компания "Код Безопасности". Её специалисты занимаются разработкой программного обеспечения, цель которого защита информации на предприятии,

i Надоели баннеры? Вы всегда можете отключить рекламу.