документація<Попередній | зміст | Наступна>
11.2.2. Тест на проникнення на відповідність
Наступним типом оцінки в порядку складності є тест на проникнення на основі відповідності. Це найпоширеніші тести на проникнення, оскільки вони є вимогами, встановленими урядом і галуззю, заснованими на системі відповідності, згідно з якою працює вся організація.
Незважаючи на те, що існує багато галузевих систем відповідності, найпоширенішим, ймовірно, буде стандарт безпеки даних індустрії платіжних карт16 (PCI DSS), система, продиктована компаніями платіжних карток, якої повинні дотримуватися роздрібні продавці, які обробляють платежі за допомогою карток. Однак існує ряд інших стандартів, наприклад, технічні посібники з впровадження безпеки Агентства оборонних інформаційних систем.17 (DISA STIG), Федеральна програма управління ризиками та авторизацією18 (FedRAMP), Федеральний закон про управління інформаційною безпекою19 (FISMA) та інші. У деяких випадках корпоративний клієнт може попросити оцінку або попросити переглянути результати останньої оцінки з різних причин. Незалежно від того, випадкові чи обов’язкові, ці види оцінок є колективними
13http://tools.kali.org/tools-listing 14http://docs.kali.org
15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17http://iase.disa.mil/stigs/Pages/index.aspx
18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/
називають тестами на проникнення на основі відповідності, або просто «оцінкою відповідності» або «перевіркою відповідності».
Перевірка відповідності часто починається з оцінки вразливості. У разі аудиту відповідності PCI20, оцінка вразливості, якщо вона виконана належним чином, може задовольнити декілька базових вимог, зокрема: «2. Не використовуйте параметри за замовчуванням, надані постачальником, для системних паролів та інших параметрів безпеки» (наприклад, з інструментами від Атаки паролем категорія меню), «11. Регулярно тестуйте системи та процеси безпеки» (за допомогою інструментів від Оцінка бази даних категорія) та інші. Деякі вимоги, наприклад «9. Обмежити фізичний доступ до даних власника картки» та «12. Підтримуйте політику, яка стосується інформаційної безпеки для всього персоналу», здається, не підходять для традиційної оцінки вразливості на основі інструментів і вимагають додаткової творчості та тестування.
Незважаючи на те, що використання Kali Linux для деяких елементів тесту на відповідність може здатися непростим, фактом є те, що Kali ідеально підходить для цього середовища не лише завдяки широкому спектру інструментів, пов’язаних із безпекою, але й через середовище Debian з відкритим кодом, на якому він побудований, що дозволяє встановлювати широкий спектр інструментів. Пошук у менеджері пакетів за допомогою ретельно підібраних ключових слів із будь-якої системи відповідності, яку ви використовуєте, майже напевно призведе до кількох результатів. На даний момент багато організацій використовують Kali Linux як стандартну платформу для таких точних оцінок.