Системы управления, связи и безопасности 4. 2020 Systems of Control, Communication and Security
Скачать 1.07 Mb.
|
Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 65 При этом отметим, что в стандарте PTES достаточно подробно изложены вопросы проверки безопасности беспроводных и телекоммуникационных сетей. Однако, нужно отметить, что подробность изложения технических аспектов, к сожалению, быстро устаревает с развитием ИТ-индустрии, выпуском новых программных и аппаратных платформ. В связи с этим вышеуказанные техниче- ские методики со временем быстро устаревают, а разработчики не всегда успе- вают поддерживать их в актуальном состоянии. Методика OWASP, по сравне- нию с другими методиками и стандартами, является узко-ориентированной на тестирование веб-приложений. Методика Positive Technology, в отличие от дру- гих методик, представлена в весьма сжатом и сокращенном виде, в связи с чем провести ее полный глубокий анализ затруднительно. Заключение В статье, представлены результаты сравнительного анализа существую- щих методик и стандартов тестирования на проникновение, их особенностей, достоинств, недостатков и рамок применимости. Результаты представленного в статье анализа, в дальнейшем, авторы пла- нируют использовать для разработки теоретических основ тестирования на проникновение, критериев оценки эффективности тестов, моделей уязвимости объектов КИИ к тестовым ИТВ и ИПВ. Отдельные результаты исследования получены в ходе выполнения работ в рамках госбюджетной темы НИР СПИИРАН № 0073-2019-0004. Литература 1. Макаренко С. И. Аудит информационной безопасности: основные этапы, концептуальные основы, классификация мероприятий // Системы управления, связи и безопасности. 2018. № 1. С. 1-29. DOI: 10.24411/2410-9916- 2018-10101. 2. Макаренко С. И. Аудит безопасности критической инфраструктуры специальными информационными воздействиями. Монография. – СПб.: Наукоемкие технологии, 2018. – 122 с. 3. Кашаев Т. Р. Алгоритмы активного аудита информационной системы на основе технологий искусственных иммунных систем. Автореф. дис. … канд. техн. наук: 05.13.19. – М., 2008. – 19 с. 4. Марков А. С., Цирлов В. Л., Барабанов А. В. Методы оценки несоответствия средств защиты информации / под ред. А.С. Маркова. – М.: Радио и связь, 2012. – 192 с. 5. Скабцов Н. Аудит безопасности информационных систем. – СПб.: Питер, 2018. – 272 с. 6. Penetration Testing. Procedures & Methodologies. – EC-Council Press, 2011. – 237 p. 7. Kennedy D., O’Gorman J., Kearns D., Aharoni M. Metasploit. The Penetration Tester’s Guide. – San Francisco: No Starch Press, 2011. – 299 p. Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 66 8. Makan K. Penetration Testing with the Bash shell. – Birmingham: Pact Publishing, 2014. – 133 p. 9. Cardwell K. Building Virtual Pentesting Labs for Advanced Penetration Testing. – Birmingham: Pact Publishing, 2016. – 518 p. 10. Краковский Ю.М., Курчинский Б.В., Лузгин А.Н. Интервальное прогнозирование интенсивности кибератак на объекты критической информационной инфраструктуры // Доклады Томского государственного университета систем управления и радиоэлектроники. 2018. Т. 21. № 1. С. 71-79. 11. Климов С. М. Имитационные модели испытаний критически важных информационных объектов в условиях компьютерных атак // Известия ЮФУ. Технические науки. 2016. № 8 (181). С. 27-36. 12. Климов С. М., Сычёв М. П. Стендовый полигон учебно- тренировочных и испытательных средств в области обеспечения информационной безопасности // Информационное противодействие угрозам терроризма. 2015. № 24. С. 206-213. 13. Петренко А. А., Петренко С. А. Киберучения: методические рекомендации ENISA // Вопросы кибербезопасности. 2015. № 3 (11). С. 2-14. 14. Бойко А. А., Дьякова А. В. Способ разработки тестовых удаленных информационно-технических воздействий на пространственно распределенные системы информационно-технических средств // Информационно-управляющие системы. 2014. № 3 (70). С. 84-92. 15. Бойко А. А., Дьякова А. В., Храмов В. Ю. Методический подход к разработке тестовых способов удаленного информационно-технического воздействия на пространственно распределенные системы информационно- технических средств // Кибернетика и высокие технологии XXI века XV Международная научно-техническая конференция. – Воронеж: НПФ «САКВОЕЕ», 2014. – С. 386-395. 16. Бойко А. А., Обущенко Е. Ю., Щеглов А. В. Особенности синтеза полного множества тестовых способов удаленного информационно- технического воздействия на пространственно распределенные системы информационно-технических средств // Вестник Воронежского государственного университета. Серия: Системный анализ и информационные технологии. 2017. № 2. С. 33-45. 17. Щеглов А. В., Храмов В. Ю. Способ разработки тестовых удаленных информационно-технических воздействий на пространственно-распределенные системы информационно-технических средств // Сборник студенческих научных работ факультета компьютерных наук ВГУ ФГБОУ ВО «Воронежский государственный университет». – Воронеж, 2016. – С. 203-210. 18. Пакулин Н. В., Шнитман В. З., Никешин А. В. Автоматизация тестирования соответствия для телекоммуникационных протоколов // Труды Института системного программирования РАН. 2014. Т. 26. № 1. С. 109-148. 19. Баранова Е. К., Худышкин А. А. Особенности анализа безопасности информационных систем методом тестирования на проникновение // Моделирование и анализ безопасности и риска в сложных системах. Труды международной научной школы МАБР - 2015. – С. 200-205. Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 67 20. Баранова Е. К., Чернова М. В. Сравнительный анализ программного инструментария для анализа и оценки рисков информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. 2014. № 4. С. 160-168. 21. Бегаев А. Н., Бегаев С. Н., Федотов В. А. Тестирование на проникновение. – СПб: Университет ИТМО, 2018. – 45 с. 22. Богораз А. Г., Пескова О. Ю. Методика тестирования и оценки межсетевых экранов // Известия ЮФУ. Технические науки. 2013. № 12 (149). С. 148-156. 23. Дорофеев А. Тестирование на проникновение: демонстрация одной уязвимости или объективная оценка защищенности? // Защита информации. Инсайд. 2010. № 6 (36). С. 72-73. 24. Умницын М. Ю. Подход к полунатурному анализу защищенности информационной системы // Известия Волгоградского государственного технического университета. 2018. № 8 (218). С. 112-116. 25. Бородин М. К., Бородина П. Ю. Тестирование на проникновение средства защиты информации VGATE R2 // Региональная информатика и информационная безопасность. – СПб., 2017. – С. 264-268. 26. Полтавцева М. А., Печенкин А. И. Интеллектуальный анализ данных в системах поддержки принятия решений при тестировании на проникновение // Проблемы информационной безопасности. Компьютерные системы. 2017. № 3. С. 62-69. 27. Кадан А. М., Доронин А. К. Инфраструктурные облачные решения для задач тестирования на проникновение // Ученые записки ИСГЗ. 2016. Т. 14. № 1. С. 296-302. 28. Еременко Н. Н., Кокоулин А. Н. Исследование методов тестирования на проникновение в информационных системах // Master's Journal. 2016. № 2. С. 181-186. 29. Туманов С. А. Средства тестирования информационной системы на проникновение // Доклады Томского государственного университета систем управления и радиоэлектроники. 2015. № 2 (36). С. 73-79. 30. Кравчук А. В. Модель процесса удаленного анализа защищенности информационных систем и методы повышения его результативности // Труды СПИИРАН. 2015. № 1 (38). С. 75-93. 31. Горбатов В. С., Мещеряков А. А. Сравнительный анализ средств контроля защищенности вычислительной сети // Безопасность информационных технологий. 2013. Т. 20. № 1. С. 43-48. 32. Herzog P. OSSTMM – The Open Source Security Testing Methodology Manual. – New York: 2006. – 129 с. – URL: https://www.isecom.org/OSSTMM.3.pdf (дата обращения: 20.09.2020). 33. ISSAF - Information System Security Assesment Framework. – 2006. – 1264 c. – URL: http://www.oissg.org/issaf02/issaf0.1-5.pdf (дата обращения 20.09.2020). Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 68 34. OSWAP Testing Guide. Version 4. – 2014. – URL: https://www.owasp.org/index.php/OWASP_Testing_Project (дата обращения: 20.09.2020). 35. PTES – The Penetration Testing Execution Standard // Penetration Testing Execution Standarts [Электронный ресурс]. 30.04.2012. – URL: http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines (дата обращения 20.09.2020). 36. NIST Special Publications 800-115. Technical Guide to Information Security Testing and Assessment. – USA, Gaithersburg: 2008. – 80 с. – URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf (дата обращения 20.09.2020). 37. BSI – Study A Penetration Tesing Model. – Germany, Bonn, 2008 – 111 с. – URL: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/Penet ration/penetration_pdf (дата обращения: 20.09.2020). 38. Klíma T. PETA: Methodology of information systems security penetration testing // Acta Informatica Pragensia. 2016. Т. 5. № 2. С. 98-117. 39. Orrey K. Penetration Test Framework // Vulnerability Assessment [Электронный ресурс]. 2014. – URL: http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html (дата доступа: 20.09.2020). 40. Тесты на проникновение // Positive Technologies [Электронный ре- сурс]. 2018. – URL: https://www.ptsecurity.com/ru-ru/services/pentest/ (дата обра- щения: 20.09.2020). 41. Аветисян А. И., Белеванцев А. А., Чукляев И. И. Технологии статического и динамического анализа уязвимостей программного обеспечения // Вопросы кибербезопасности. 2014. № 3 (4). С. 20-28. References 1. Makarenko S. I. Audit of Information Security - the Main Stages, Conceptual Framework, Classification of Types. Systems of Control, Communication and Security, 2018, no. 1, pp. 1-29 (in Russian). DOI: 10.24411/2410-9916-2018-10101. 2. Makarenko S. I. Security audit of critical infrastructure with special information impacts. Monograph. Saint Petersburg, Naukoemkie tehnologii, 2018. 122 p. (in Russian). 3. Kashaev T. R. Algoritmy aktivnogo audita informatsionnoi sistemy na osnove tekhnologii iskusstvennykh immunnykh sistem. Avtoreferat dis. [Algorithms for active audit of information system based on artificial immune systems. Abstract D.Ph. thesis]. Moscow, 2008. 19 p. (in Russian). 4. Markov A. S., Tsirlov V. L., Barabanov A. V. Metody otsenki nesootvetstviia sredstv zashchity informatsii [Methods of compliance of information security]. Moscow, Radio i Sviaz Publ., 2012. 192 p. (in Russian). 5. Skabtsov N. Audit bezopasnosti informatsionnykh system [Security audit of information systems]. Saint Petersburg, Piter Publ., 2018. 272 p. (in Russian). Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 69 6. Penetration Testing. Procedures & Methodologies. EC-Council Press, 2011. 237 p. 7. Kennedy D., O’Gorman J., Kearns D., Aharoni M. Metasploit. The Penetration Tester’s Guide. San Francisco, No Starch Press, 2011. 299 p. 8. Makan K. Penetration Testing with the Bash shell. Birmingham, Pact Publishing, 2014. 133 p. 9. Cardwell K. Building Virtual Pentesting Labs for Advanced Penetration Testing. Birmingham, Pact Publishing, 2016. 518 p. 10. Krakovsky Y. M., Kurchinsky B. V., Luzgin A. N. Cyber-attack intensity interval forecasting on objects of critical information infrastructure. Proceedings of Tomsk State University of Control Systems and Radioelectronics, 2020, vol. 21, no. 1, pp. 71-79 (in Russian). 11. Klimov S. M. Imitating models of testing the critically important information objects in the conditions of computer attacks. Izvestiya SFedU. Engineering Sciences, 2016, vol. 181, no. 8, pp. 27-36 (in Russian). 12. Klimov S. M., Sychev M. P. Poster polygon for training and testing facilities in the field of information security. Information counteraction to the terrorism threats, 2015, no. 24, pp. 206-213 (in Russian). 13. Petrenko A. A., Petrenko S. A. Cyber education: methodical recommendations ENISA. Voprosy kiberbezopasnosti, 2015, vol. 11, no. 3, pp. 2-14 (in Russian). 14. Boyko A. A., Djakova A. V. Method of Developing Test Remote Information-Technical Impacts on Spatially Distributed Systems of Information- Technical Tools. Informatsionno-upravliaiushchie sistemy, 2014, vol. 70, no. 3, pp. 84-92 (in Russian). 15. Boyko A. A., Djakova A. V. Hramov V. Ju. Metodicheskij podhod k razrabotke testovyh sposobov udalennogo informacionno-tehnicheskogo vozdejstvija na prostranstvenno raspredelennye sistemy informacionno-tehnicheskih sredstv [Methodological approach to the development of test methods for remote information technology impact on spatially distributed systems of information technology tools]. Kibernetika i vysokie tehnologii XXI veka XV Mezhdunarodnaja nauchno- tehnicheskaja konferencija [Cybernetics and high technologies of the XXI century XV international scientific and technical conference]. Voronezh, SAKVOEE, 2014. pp. 386-395 (in Russian). 16. Boyko A. A., Obushenko E. Y., Shcheglov A. V. About synthesis of a full set of test methods of remote information-technical impacts on spatially distributed systems of information-technical tools. Proceedings of Voronezh State University. Series: Systems analysis and information technologies, 2017, no. 2, pp. 33-45 (in Russian). 17. Shcheglov A. V., Hramov V. Ju. Sposob razrabotki testovyh udalennyh informacionno-tehnicheskih vozdejstvij na prostranstvenno-raspredelennye sistemy informacionno-tehnicheskih sredstv [Method for developing test remote information technology impacts on spatially distributed information technology systems]. Sbornik studencheskih nauchnyh rabot fakul'teta komp'juternyh nauk «Voronezhskij gosudarstvennyj universitet» [Collection of student research papers of the faculty of Системы управления, связи и безопасности №4. 2020 Systems of Control, Communication and Security ISSN 2410-9916 DOI: 10.24411/2410-9916-2020-10402 URL: http://sccs.intelgr.com/archive/2020-04/02-Makarenko.pdf 70 computer science of Voronezh state University]. Voronezh, 2016, pp. 203-210 (in Russian). 18. Pakulin N. V., Shnitman V. Z., Nikeshin A. V. Avtomatizatsiia testirovani- ia sootvetstviia dlia telekommunikatsionnykh protokolov [Automation of compliance testing for telecommunication protocols]. Proceedings of the Institute for System Programming of the RAS, 2014, vol. 26, no. 1, pp. 109-148 (in Russian). 19. Baranova E. K., Hudyshkin A. A. Osobennosti analiza bezopasnosti informacionnyh sistem metodom testirovanija na proniknovenie [Features of information system security analysis by penetration testing]. Modelirovanie i analiz bezopasnosti i riska v slozhnyh sistemah. Trudy mezhdunarodnoj nauchnoj shkoly MABR – 2015 [Modeling and analysis of security and risk in complex systems. Proceedings of the international scientific school MABR - 2015], 2015, pp. 200-205 (in Russian). 20. Baranova E. K., Chernova M. V. Comparative analysis of programming tools for cybersecurity risk assessment. Information Security Problems. Computer Systems, 2014, no. 4, pp. 160-168 (in Russian). 21. Begaev A. N., Begaev S. N., Fedotov V. A. Testirovanie na proniknovenie [Penetration testing]. Saint Petersburg, Saint Petersburg National Research University of Information Technologies, Mechanics and Optics Publ., 2018. 45 p. (in Russian). 22. Bogoras A. G., Peskova O. Y. Methodology for testing and assessment of firewalls. Izvestiya SFedU. Engineering Sciences, 2013, vol. 149, no. 12, pp. 148-156 (in Russian). 23. Dorofeev A. Testirovanie na proniknovenie: demonstracija odnoj ujazvimosti ili obektivnaja ocenka zashhishhennosti? Zasita informacii. Inside, 2010, vol. 36, no. 6, pp. 72-73 (in Russian). 24. Umnitsyn M. Y. Approach to semi-natural security evaluation of information system. Izvestia VSTU, 2018, vol. 218, no. 8, pp. 112-116 25. Borodin M. K., Borodina P. Ju. Testirovanie na proniknovenie sredstva zashhity informacii VGATE R2 [VGATE R2 information security penetration testing]. Regional'naja informatika i informacionnaja bezopasnost [Regional Informatics and information security], Saint Petersburg, 2017, pp. 264-268 (in Russian). 26. Poltavtseva M. A., Pechenkin A. I. Data mining methods in penetration tests decision support system. Information Security Problems. Computer Systems, 2017, no. 3, pp. 62-69 (in Russian). 27. Kadan A. M., Doronin A. K. Cloud infrastructure solutions for penetration testing. Uchenye zapiski ISGZ, 2016, vol. 14, no. 1, pp. 296-302 (in Russian). 28. Eremenko N. N., Kokoulin A. N. Research of methods of penetration testing in information systems. Master's Journal, 2016, no. 2, pp. 181-186 (in Russian). 29. Tumanov S. A. Penetration testing tools for information systems. Proceedings of Tomsk State University of Control Systems and Radioelectronics, 2015, vol. 36, no. 2, pp. 73-79 (in Russian). |