Тестування захищеності сучасних інформаційних систем: вибір ефективних методів та сценаріїв для різних об'єктів тестування

DOI: 10.31673/2409-7292.2023.030909

  • Легомінова С. В. (Lehominova S. V.) Державний університет інформаційно-комунікаційних технологій, Київ
  • Рабчун Д. І. (Rabchun D. I.) Державний університет інформаційно-комунікаційних технологій, Київ
  • Драгунцов Р. І. (Draguntsov R. I.) Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України, Київ
  • Запорожченко М. М. (Zaporozhchenko M. M.) Державний університет інформаційно-комунікаційних технологій, Київ

Анотація

Сучасні виклики у сфері кібербезпеки вимагають глибокого розуміння та ефективного застосування різних видів тестування захищеності. Тестування захищеності, як один із основних елементів стратегії кібербезпеки, вимагає систематичного підходу та вибору оптимальних сценаріїв тестування відповідно до конкретних потреб та особливостей ІТ інфраструктури організації. З ростом різноманітності кіберзагроз і технік атак, важливо розглядати та порівнювати різні види тестування захищеності для визначення їх ефективності у різних сценаріях. Метою статті є розробка рекомендацій для фахівців із кібербезпеки щодо вибору ефективних методів оцінювання рівня захисту, шляхом використання різних сценаріїв тестування захищеності ІТ інфраструктури. У статті виконано аналіз та класифікацію різних видів тестування захищеності з метою вибору найефективніших методів та сценаріїв для різних систем. Розроблено матрицю вибору, яка допомагає систематизувати процес вибору методів та сценаріїв тестування відповідно до конкретних об'єктів тестування. Кожен об'єкт має свої особливості та формує відповідні вимоги до тестування, і вибір методів повинен бути адаптований до цих унікальних аспектів для забезпечення максимальної ефективності заходів безпеки. Застосування відповідних методів, таких як сканування вразливостей, пентест, аналіз вразливостей, Red teaming та соціально-інженерне тестування, у поєднанні з конкретними сценаріями, дозволяє ефективно виявляти та усувати недоліки та вразливості ІТ інфраструктури та її компонентів. На основі виконаного аналізу, надаються практичні рекомендації щодо вибору оптимальних стратегій для конкретних сценаріїв тестування. Стаття розроблена для фахівців з кібербезпеки, дослідників та організацій, що прагнуть покращити ефективність своїх програм тестування захищеності та забезпечити високий рівень захисту в умовах незліченних кіберзагроз.

Ключові слова: тестування захищеності, кібербезпека, аналіз вразливостей, тестування додатків та веб-сервісів, black box, red teaming.

Перелік посилань
1. Руденська, Г. В. Збірник наукових праць Центру воєнно-стратегічних досліджень Національного університету оборони України імені Івана Черняховського, No 1(71), 2021. С. 93-98. https://doi.org/10.33099/2304-2745/2021-1-71/93-98
2. Стефінко, Я. Я., & Піскозуб, А. З. (2014). Використання відкритих операційних систем для тестування на проникнення в навчальних цілях. Вісник Національного університету Львівська політехніка. Комп’ютерні системи та мережі, (806), 258-263.
3. Kalchenko, V. Огляд методів проведення тестування на проникнення для оцінки захищеності комп’ютерних систем / V. Kalchenko // Системи управління, навігації та зв’язку. Збірник наукових праць. – Полтава: ПНТУ, 2018. – Т. 4 (50). – С. 109-114. – doi:https://doi.org/10.26906/SUNZ.2018.4.109.
4. Якименко, Ю., Рабчун, Д., Мужанова, Т., Запорожченко, М., & Щавінський, Ю. (2023). Технічний аудит захищеності інформаційно - телекомунікаційних систем підприємств. Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка», 4(20), 45–61. https://doi.org/10.28925/2663-4023.2023.20.4561
5. Стеценко, І. В., & Савчук, В. В. (2021). Метод автоматизації тестування на проникнення вебатак. Технічні науки та технології, (1(19), 098–103. https://doi.org/10.25140/2411-5363-2020-1(19)-98-103
6. “Penetration testing execution standard”. URL: http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines
7. “OWASP Web Security Testing Guide” URL: https://owasp.org/www-project-web-security-testing-guide/
8. Drahuntsov R., Rabchun D. Potential disguising attack vectors on security operation centers and siem systems. Cybersecurity: Education, Science, Technique. 2021. 2(14). р. 6-14. https://doi.org/10.28925/2663-4023.2021.14.614
9. Bacudio, Aileen & Yuan, Xiaohong & Chu, Bill & Jones, Monique. An Overview of Penetration Testing. International Journal of Network Security & Its Applications. 2011. № 3. pp.19 - 38. DOI:10.5121/ijnsa.2011.3602
10. Jai Narayan Goel, B.M. Mehtre, Vulnerability Assessment & Penetration Testing as a Cyber Defence Technology, Procedia Computer Science. 2015. Vol. 57. pp. 710-715, https://doi.org/10.1016/j.procs.2015.07.458
11. Мужанова, Т. М., Лавровський, І. М. Аналіз сучасних засобів для тестування на проникнення. Сучасний захист інформації. 2023. 2(54). c. 35–40. https://doi.org/10.31673/2409-7292.2023.020005

Номер
№ 4 (2023)
Розділ
Статті