- •1. Сучасне розуміння етичного хакінгу;
- •2. Основні етапи проведення етичного хакінгу;
- •3. Методологія проведення аудиту безпеки;
- •4. Пасивний і активний збір інформації;
- •5. Сканування системи.
- •7.Схема аудиту інформаційної системи;
- •8.Аудіт безпеки інформаційної системи;
- •10. Законное проведення аудиту;
- •11. Актівний і пасивний збір інформації (Відкриті джерела, Sniffing, tcp / ip утиліти, журнали аудиту цільової системи - log файли і т.Д.);
- •12. Сканування системи (сканування відкритих портів, моніторинг по протоколу snmp, icmp сканування т.Д.);
- •1.2 Моніторинг по протоколу snmp, icmp
- •13. Отримання доступу в систему (Експлуатація вразливостей iis, перехоплення сесії, переповнення буфера, відмова від обслуговування тощо);
- •14. Закріплення в системі (Трояни, Руткіти, Back Doors т.Д.);
- •15. Знищення слідів перебування в системі;
- •17.Бездротові пентести та їх сценарії;
- •18.Атаки на бездротові мережі;
- •19. Бездротові мережи;
- •20. Основи побудови технології Wi-Fi;
- •21. Ос Каli Linux та її особливості;
- •22. Проведення пентестів бездротових мереж засобами Kali Linux.
- •23. Різновиди vpn;
- •24. Особливості tor та Proxy;
- •26. Вибір обладнання та програмного забезпечення;
- •27. Основні сертифікати безпеки;
- •28. Порти для pptp, l2tp, sstp;
- •29. Особливості протоколу l2tp/iPsec;
- •30. Особливості налаштування vpn та Open vpn під Windows та Linux/Ubuntu.
- •31. Яке налаштування програми є оптимальною?
- •32. Роль Xpath та Regex виразів?
- •33. Які web ресурси web - парсингу/скрайпінгу ви знаєте? Порівняйте їх особливості.
3. Методологія проведення аудиту безпеки;
Зазвичай аудит інформації проводять за такою схемою
1 – зустріч клієнта з замовником та обговорюються цілі та засоби проведення аудиту
2 – обов’язково підписується договорів про нерозголошення про виявленні недоліки, та договір про проведення послуг
3 – складається план проведення тестів безпеки який узгоджується з клієнтом
4 – проводяться пентести
5 – клієнту надається звіт в якому виконано аналіз, результат про проведення аналізу
Зазвичай аудит безпеки інформаційної системи можна поділити проведення пентестів на етапи:
Збір інформації за допомогою ресурсів глобальної мережі
Сканування системи
Отримання доступу, експлуатація
Закріплення в системі
Знищення слідів перебування
Пасивний збір інформації про систему
Умовно збір інформації про досліджувальну систему можна поділити на активну та пасивну фазу:
Пасивна фаза: метою цієї фази є зібрання всієї необхідної інформації про об’єкт дослідження з відкритих доступних джерел.
До пасивного збору інформації можна віднести сніфінг (процес перехоплення інформації яка надходить на наш мережевий інтерфейс і при цьому ми самі нічого не надсилаємо
Активною фазою збору інформації будемо безпосередньо вважати взаємодію з інформаціїною системою за допомогою програм роботу яких може зафіксувати система. Скоріш за все, така активність буде зафіксована цільовою системою і все це буде відображено в журналах аудиту
Використовувані аудиторами методи аналізу даних визначаються вибраними підходами до проведення аудиту, які можуть істотно різнитися.
Перший підхід, найскладніший, базується на аналізі ризиків. Спираючись на методи аналізу ризиків, аудитор визначає для обстежуваної ІС індивідуальний набір вимог безпеки, в найбільшою мірою враховує особливості даної ІС, середовища її функціонування і існуючі в даному середовищі загрози безпеки.
Другий підхід, самий практичний, спирається на використання стандартів інформаційної безпеки. Стандарти визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення світової практики. Стандарти можуть визначати різні набори вимог безпеки, в залежності від рівня захищеності ІС, який потрібно забезпечити, її приналежності (комерційна організація або державна установа), а також призначення (фінанси, промисловість, зв'язок і т. П.). Від аудитора в даному випадку потрібно правильно визначити набір вимог стандарту, відповідність яким потрібно забезпечити.
Третій підхід, найбільш ефективний, передбачає комбінування перших двох. Базовий набір вимог безпеки, що пред'являються до ІС, визначається стандартом. Додаткові вимоги, в максимальному ступені враховують особливості функціонування даної ІС, формуються на основі аналізу ризиків.
Рекомендації, що видаються аудитором за результатами аналізу стану ІС, визначаються використовуваним підходом, особливостями обстежуваної ІС, станом справ з інформаційною безпекою і ступенем деталізації, використовуваної при проведенні аудиту. У будь-якому випадку, рекомендації аудитора повинні бути конкретними і застосовними до даної ІС, економічно обґрунтованими, аргументованими (підкріпленими результатами аналізу) і відсортованими за ступенем важливості. При цьому заходи щодо забезпечення захисту організаційного рівня практично завжди мають пріоритет над конкретними програмно-технічними методами захисту. У той же час наївно очікувати від аудитора, як результат проведення аудиту, видачі технічного проекту підсистеми інформаційної безпеки, або детальних рекомендацій щодо впровадження конкретних програмно-технічних засобів захисту інформації. Це вимагає більш детального опрацювання конкретних питань організації захисту, хоча внутрішні аудитори можуть приймати в цих роботах найактивнішу участь.
Аудиторський звіт є основним результатом проведення аудиту. Його якість характеризує якість роботи аудитора. Він повинен, принаймні, містити опис цілей проведення аудиту, характеристику досліджуємо ІС, вказівку кордонів проведення аудиту і використовуваних методів, результати аналізу даних аудиту, висновки, узагальнюючі ці результати і містять оцінку рівня захищеності АС або відповідність її вимогам стандартів, і, звичайно , рекомендації аудитора щодо усунення існуючих недоліків та вдосконалення системи захисту.