В этом разделе мы разберем процесс общего тестирования на проникновение, который вы можете адаптировать под нужды своей компании. Это трехэтапный процесс, включающий подготовку, тестирование и устранение любых уязвимостей, которые вы найдете.
Подготовка к тестированию на проникновение
Прежде чем начать тестирование на проникновение, необходимо понимать глубину и широту вашего проекта - это “подготовительный” этап. Вы захотите начать с определения объема и заложения фундамента. Теперь давайте рассмотрим некоторые ключевые шаги в этом.
1. Определите объем тестирования на проникновение
Первый шаг в подготовке к тестированию на проникновение - определить его объем. Это включает идентификацию систем, сетей и / или приложений, которые будут включены в тест. Объем должен быть согласован всеми заинтересованными сторонами. Кроме того, важно убедиться, что тест не намеренно влияет на системы или данные, которые выходят за пределы теста.
Вот некоторые основные соображения, которые следует учитывать при определении объема вашего проекта:
- Каковы цели теста? Например, вы ищете любые и все проблемы безопасности, или вы сосредоточены на конкретных областях, таких как соответствие определенным стандартам?
- Какие системы, сети или приложения будут протестированы? Не каждый тест должен охватывать всю сеть вашей организации. Вы можете, например, хотеть провести тестирование функциональности электронной коммерции вашего сайта, не вдаваясь в другие его части.
- Какие типы атак будут включены? Например, вы будете выполнять только технические атаки, или также будете включать атаки социальной инженерии? Эта часть процесса является важной, потому что она помогает установить ожидания и предотвращает сбои в процессе тестирования. Чем лучше определен объем, тем больше вероятность того, что тестирование вернет
