Документация<Предыдущая | Содержание: | Следующая>
11.2.2. Тест на проникновение на соответствие
Следующий тип оценки по степени сложности - это проверка на проникновение на соответствие требованиям. Это наиболее распространенные тесты на проникновение, поскольку они являются требованиями правительства и отрасли, основанными на системе соответствия, в соответствии с которой работает вся организация.
Хотя существует множество отраслевых структур соответствия, наиболее распространенной, вероятно, будет Стандарт безопасности данных индустрии платежных карт.16 (PCI DSS), структура, продиктованная компаниями, производящими платежные карты, которой розничные торговцы, обрабатывающие платежи с помощью карт, должны соблюдать. Однако существует ряд других стандартов, таких как Техническое руководство по внедрению безопасности Агентства оборонных информационных систем.17 (DISA STIG), Федеральная программа управления рисками и авторизацией18 (FedRAMP), Федеральный закон об управлении информационной безопасностью19 (FISMA) и другие. В некоторых случаях корпоративный клиент может запросить оценку или попросить показать результаты последней оценки по разным причинам. Независимо от того, являются ли они специальными или обязательными, такого рода оценки проводятся коллективно.
13http://tools.kali.org/tools-listing 14 http://docs.kali.org
15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17 http://iase.disa.mil/stigs/Pages/index.aspx
18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/
так называемые тесты на проникновение, основанные на соответствии, или просто «оценки соответствия» или «проверки соответствия».
Тест на соответствие часто начинается с оценки уязвимости. В случае аудита соответствия PCI20, оценка уязвимости при правильном выполнении может удовлетворить несколько базовых требований, в том числе: «2. Не используйте для системных паролей и других параметров безопасности значения по умолчанию, предоставленные поставщиком »(например, с инструментами из Атаки паролем категория меню), «11. Регулярно тестируйте системы и процессы безопасности »(с помощью инструментов от Оценка базы данных категория) и другие. Некоторые требования, например «9. Ограничить физический доступ к данным держателей карт »и« 12. «Поддерживать политику, направленную на обеспечение информационной безопасности для всего персонала», похоже, не поддаются традиционной инструментальной оценке уязвимостей и требуют дополнительного творчества и тестирования.
Несмотря на то, что использование Kali Linux для некоторых элементов теста на соответствие может показаться непростым делом, дело в том, что Kali идеально подходит для этой среды не только из-за широкого набора инструментов, связанных с безопасностью, но и из-за среды Debian с открытым исходным кодом, на которой он построен, что позволяет устанавливать широкий спектр инструментов. Поиск в диспетчере пакетов по тщательно подобранным ключевым словам из любой используемой среды соответствия почти наверняка даст несколько результатов. В настоящее время многие организации используют Kali Linux в качестве стандартной платформы для такого рода оценок.