მოწყვლადობა და შეღწევადობის

ტესტირება

ინფორმაციული უსაფრთხოების უზრუნველყოფის პროცესში მნიშვნელოვან ნაწილს წარმოადგენს ტექნიკური მხარე, რაც გულისხმობს ინფორმაციული ტექნოლოგიების ინფრასტრუქტურის ელემენტების, სერვისების და სისტემების უსაფრთხოებას. ამის მისაღწევად პირველი ნაბიჯია შეფასებითი სამუშაოების ჩატარება, შემდგომ კი აღმოჩენილი სისუსტეების დაფარვა.

ასეთი ტიპის პროექტებად მოიაზრება მოწყვლადობა (Vulnerability scan) და შეღწევადობის ტესტირება (Penetration test). ტესტირება ტარდება 3 ეტაპად: შავი, ნაცრისფერი და თეთრი ყუთი. თითოეული მათგანი ხასიათდება ტესტირების ობიექტის შესახებ სხვადასხვა დონის ინფორმაციის ფლობით.

 

ამავე სახის ტესტირებისთვის გამოიყენება, ასევე, მრავალი სხვადასხვა მეთოდოლოგია და ინსტრუმენტი, მათ შორის: ISECOM OSSTMM3; NIST SP800-115; PTES; OWASP და ა.შ.

 

ტესტირების სახეობები

 

  • შავი ყუთი - როდესაც უცნობია სისტემის სტრუქტურა;
  • ნაცრისფერი ყუთი - როდესაც სისტემის შესახებ ცნობილია ინფრომაციის მხოლოდ ნაწილი;
  • თეთრი ყუთი - სისტემის სტრუქტურა ცნობილია, ტესტირების განმხორციელებელს აქვს სრული ინფორმაცია სისტემის შესახებ;

 

აპლიკაციების კოდის შეფასება უსაფრთხოების ჭრილში

 

გამიზნულია აპლიკაციის კოდის შესასწავლად, რის შედეგადაც დგინდება:

 

  • აპლიკაციის უსაფრთხოების დონე;
  • სისუსტეების გამოყენების შესაძლებლობა;

 

შედეგად, შემუშავდება რეკომენდაციები კოდში სისუსტეების აღმოსაფხვრელად.