IT Безопасность
Одним из самых распространенных видов аудита является активный аудит. Это исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий). Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе, с помощью систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании.
При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество таких сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает хакер, – ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках. Естественно, атаки всего лишь моделируются и не оказывают какого-либо деструктивного воздействия на информационную систему. Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информация, доступная любому потенциальному нарушителю) сети заказчика.
По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности информационной системы от действий «внешнего» злоумышленника при минимальных затратах на информационную безопасность. Однако без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания «идеальной» системы сетевой защиты. Активный аудит условно можно разделить на два вида: «внешний» активный аудит и «внутренний» активный аудит. «Внутренний» активный аудит по составу работ аналогичен «Внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника. Данное деление активного аудита на «внешний» и «внутренний» актуально для заказчика в следующих случаях:
- у заказчика существуют финансовые ограничения в приобретении услуг и продуктов по защите информации;
- модель злоумышленника, которую рассматривает заказчик, не включает «внутренних» злоумышленников;
- в компании заказчика расследуется факт обхода системы сетевой защиты
При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника. В данном случае проводятся следующие процедуры:
- определение доступных из внешних сетей IP-адресов заказчика;
- сканирование данных адресов с целью определения работающих сервисов и служб, определение назначения отсканированных хостов;
- определение версий сервисов и служб сканируемых хостов;
- изучение маршрутов прохождения трафика к хостам заказчика;
- сбор информации об ИС заказчика из открытых источников;
- анализ полученных данных с целью выявления уязвимостей.