REVIEW OF PENETRATION TESTING METHODS FOR ASSESING THE PROTECTION OF COMPUTER SYSTEMS
DOI:
https://doi.org/10.26906/SUNZ.2018.4.109Keywords:
penetration testing, pentest, computer network, information securityAbstract
The most effective way to evaluate the security of the system is to conduct a penetration test (pentest). A penetration test is a simulation of an attack on a system, network, equipment, service, in order to demonstrate how vulnerable this system is to a real attack. During the test it is estimated how the system responds to the attack, regardless of whether it is possible or not to violate the protection of the system and what information can be taken out of the system. Subject. The paper focused on the study of the methods of penetration testing, analyzes the international standards of information security, examines the main methods of penetration testing computer systems. Results. It is necessary to check constantly the current state of the security of the computer systems in order to respond in a timely manner to new challenges for information security of state bodies, infrastructure objects on critical importance, commercial enterprises, institutions and organizations. The research substantiates the necessity of conducting this kind of work and gives the advantages of its application. The main approaches to testing are described in detail: WhiteBox, BlackBox, Graybox. The methods of testing systems are described and classified depending on the requirements of the customer, the objectives of testing, time limits and importance of the object under research. Since operating systems, programs, data protocols are constantly changing, penetration testing will not completely solve the problem of data protection, but it allows you to look at computer systems from the intruder’s point of view. And this allows to understand the weaknesses of the system and to take timely measures to prevent or significantly reduce possible losses. The choice of penetration testing methods should be performed after the customer has been identified the testing objectives, the definition of the systems to be tested, the definition of critical objects, the timing of the work, etc. Different combinations of testing methods and creative approach will allow to conduct testing the most qualitatively and in the shortest time, to make a report and to provide the customer with recommendations for improving the security of the system. Conclusions. A classification and algorithm for choosing penetration testing methods for evaluating the security of computer systems is proposed.Downloads
References
Певнев В.Я. Методы обеспечения целостности информации в инфокоммуникационных системах / В.Я. Певнев // Вісник Національного технічного університету ХПІ. Серія: Техніка та електрофізика високих напруг. – 2015. - № 51. – С. 74-77.
Cisco 2018. Годовой отчет по безопасности. [Електронний ресурс]. – Режим доступу: https://www.cisco.com/c/dam/global/ru_ru/assets/offers/assets/cisco_2018_acr_ru.pdf (дата звернення: 15.08.2018)
PCI DSS. Requirements and Security Assessment Procedures. Version 3.2. [Електронний ресурс]. – Режим доступу: https://www.pcisecuritystandards.org/document_library (дата звернення: 20.08.2018)
Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженого Постановою Правління Національного банку України від 28.09.2017 №95. [Електронний ресурс]. – Режимдоступу до положення: https://bank.gov.ua/document/download?docId=56426049 (дата звернення: 15.08.2018)
The Open Source Security Testing Methodology Manual (OSSTMM). [Електронний ресурс]. – Режим доступу: http://www.isecom.org/mirror/OSSTMM.3.pdf (дата звернення: 20.08.2018)
O WASP Testing Guide v4. [Електронний ресурс]. – Режим доступу: https://www.owasp.org/index.php/OWASP_Testing_Project (дата звернення: 20.08.2018)
The Penetration Testing Execution Standard (PTES). [Електронний ресурс]. – Режим доступу: http://www.penteststandard.org/index.php/Main_Page (дата звернення: 20.08.2018)
Information Systems Security Assessment Framework (ISSAF). [Електронний ресурс]. – Режим доступу: http://www.oissg.org/files/issaf0.2.1.pdf (дата звернення: 20.08.2018)
Анастасия Гришина, Андрей Куликов – Анализируем защищенность IT-систем. Positive Research 2018. Сборник исследований по практической безопасности. [Електронний ресурс]. – Режим доступу:https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Positive-Research-2018-rus.pdf (дата звернення: 20.08.2018)
Глобальное исследование утечек конфиденциальной информации в 2017 году. Аналитический центр InfoWatch. [Електронний ресурс]. – Режим доступу: https://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2017_year.pdf (дата звернення: 20.08.2018)
Technical Guide to Information Security Testing and Assessment. Recommendations of the National Institute of Standards and Technology. Special Publication 800-115. [Електронний ресурс]. – Режим доступу: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf (дата звернення: 23.08.2018)
Я.Я. Стефінко, А.З.Піскозуб. Використання відкритих операційних систем для тестування на проникнення в навчальних цілях/Я.Я. Стефінко, А.З. Піскозуб //Вісник Національного університету “Львівська політехніка” Комп’ютернісистеми та мережі. – 2014. - № 806. – С. 258-263.
