473.43K
Category: programmingprogramming
Similar presentations:
Программа курса “Введение в тестирование ПО”
Программа курса “Введение в тестирование ПО”
Программа курса “Введение в тестирование ПО”. Динамическое тестирование
Программа курса “Введение в тестирование ПО”. Динамическое тестирование
Выполнение интеграционного тестирования программы
Выполнение интеграционного тестирования программы
Программа курса “Введение в тестирование ПО”. Статическое тестирование
Программа курса “Введение в тестирование ПО”. Статическое тестирование
Требования. Анализ требований. Тестирование документации. Виды и направления тестирования
Требования. Анализ требований. Тестирование документации. Виды и направления тестирования
Программа курса “Введение в тестирование ПО”. Тестирование в жизненном цикле ПО
Программа курса “Введение в тестирование ПО”. Тестирование в жизненном цикле ПО
Виды тестирования
Виды тестирования
Типы и виды тестирования по доступу к исходному коду
Типы и виды тестирования по доступу к исходному коду
Тестирование ПО
Тестирование ПО
Тестирование и тест-дизайн. Основы функционального тестирования. Модульные тесты
Тестирование и тест-дизайн. Основы функционального тестирования. Модульные тесты

«Анализ стратегий проведения тестирования на проникновение» [совместная программа магистратуры НИЯУ МИФИ и Skillfactory ]

1.

«Анализ стратегий проведения тестирования на проникновение»
[совместная программа магистратуры НИЯУ МИФИ и Skillfactory ]
Исполнитель:
Студент гр. М23-505
01.02.2025
Перфилов М.О

2.

Актуальность исследования
Актуальность:
Рост количества и сложности кибератак требует своевременного выявления
уязвимостей информационных систем. Тестирование на проникновение является
ключевым методом оценки безопасности.
Теоретические основы тестирования достаточно хорошо изучены.
Однако проблема выбора оптимальной стратегии тестирования при ограниченных
ресурсах остается недостаточно исследованной.
2

3.

Цели и задачи работы
Цель работы: разработать рекомендации по выбору оптимальной стратегии проведения
тестирования на проникновение для повышения эффективности выявления уязвимостей и
недостатков защиты информационных систем.
Задачи исследования:
– провести обзор и анализ существующих стратегий проведения тестирования на проникновение,
выделить их ключевые особенности, преимущества и ограничения;
– выявить и систематизировать факторы, влияющие на эффективность различных стратегий
тестирования на проникновение, такие как тип тестируемой системы, доступные ресурсы, требуемая
глубина анализа и др.;
– разработать методику сравнительной оценки стратегий тестирования на проникновение с учетом
выявленных факторов и критериев эффективности;
– сформировать рекомендации по выбору оптимальной стратегии тестирования на проникновение
для различных типов систем и требований к безопасности;
3

4.

Описание исследовательской деятельности
Методология исследования :
– Системный анализ существующих подходов к тестированию на
проникновение;
– Сравнительный анализ стратегий Black Box, White Box и Grey Box;
– Разработка методики оценки эффективности стратегий;
– Формирование рекомендаций по выбору стратегии.
4

5.

Цели проведения тестирования на
проникновение:
– проактивное выявление уязвимостей ИТ-инфраструктуры и бизнес-приложений до их
эксплуатации злоумышленниками;

получение
объективной
оценки
текущего
уровня
защищенности,
соответствия
требованиям стандартов и регуляторов в области ИБ;
– проверку возможности реализации актуальных векторов атак и эффективности
внедренных средств и механизмов ИБ;
– обоснование необходимости инвестиций для модернизации системы защиты, закупки
недостающих средств ИБ;
– обучение специалистов по ИБ методам работы злоумышленников, повышение
осведомленности пользователей.
5

6.

Виды пентестов
По глубине тестирования:
– неинтрузивное ;
– интрузивное.
По времени проведения:
– разовое тестирование;
– непрерывное тестирование.
6

7.

Black box
"Черный ящик" (black box) - тестирование без предоставления сведений о системе,
имитирующее внешнюю атаку.
Преимущества:
– реалистичный подход;
– эффективность в выявлении внешних уязвимостей.
Недостатки:
– ограниченность глубины тестирования;
– высокая трудоемкость;
– невозможность полного покрытия.
7

8.

Grey box
"Серый ящик" (grey box) - с частичным предоставлением сведений, например, данных
аутентификации низкопривилегированного пользователя.
Преимущества:
– компромиссный подход;
– эффективность.
Недостатки:
– неполная детализация;
– зависимость от качества исходной информации.
8

9.

White box
"Белый ящик" (white box) - с предоставлением максимально полной информации о
системе, включая исходные коды, схемы и конфигурации.
Преимущества:
– высокая степень детализации;
– анализ кода.
Недостатки:
– исходные данные;
– не отражает реальные угрозы;
– сложность организации.
9

10.

Основные этапы тестирования:
– планирование;
– сбор информации;
– моделирование угроз;
– анализ уязвимостей;
– активное тестирование;
– анализ последствий;
– подготовка отчетности.
10

11.

Результаты и рекомендации
Основные результаты :
– Проведен системный анализ существующих решений;
– Предложены несколько направлений для дальнейших исследований.
Рекомендации :
– Разработка гибридных стратегий тестирования;
– Автоматизация процессов тестирования на проникновение;
– Исследование методов анализа динамических систем;
– Интеграция пентестинга в процессы DevSecOps;
– Развитие программ обучения и тренингов.
11

12.

Общие выводы и итоги
Основные выводы :
– Тестирование на проникновение является одним из наиболее эффективных методов
оценки защищенности информационных систем;
– Каждая стратегия тестирования имеет свои уникальные характеристики.
Итоги :
– Разработаны научно обоснованные рекомендации по выбору стратегии тестирования;
– Сформулированы основные направления дальнейших исследований;
– Полученные результаты могут быть использованы для повышения уровня защиты
информационных систем.
12

13.

Благодарю за внимание!
Перфилов М.О.
English     Русский Rules