×
МЭРГЭЖЛИЙН МТ ҮЙЛЧИЛГЭЭ

Penetration Testing

Нэвтрэлтийн туршилт

Нэвтрэлтийн туршилт гэж юу вэ? / What is a Penetration Testing?

Нэвтрэлтийн туршилт (Penetration Testing, Pen Test) буюу ёс зүйт хакердалт (Ethical Hacking) гэдэг нь байгууллагын компьютерийн систем, сүлжээ эсвэл вэб аппликэйшн системд гадны халдлага нэвтэрч болох аливаа нууцлал, хамгаалалтын эмзэг сул тал байгаа эсэхийг олж илрүүлэх зорилгоор зохиомлоор халдлага үйлдэж аюулгүй байдлыг нь шалгах ажиллагааг хэлдэг. Нэвтрэлтийн туршилтын үндсэн зорилго нь системийн нууцлал хамгаалалтын эмзэг сул талыг олж илрүүлэх, бодлого, процесс нь аюулгүй байдлын стандартын шаардлагад нийцэж буй эсэх, ажилчдын аюулгүй байдлын мэдлэг туршлагыг шалгаж турших, кибер халдлага болоход тухайн байгууллагын халдлагыг илрүүлэх, хариу арга хэмжээ авах чадварыг шалгахад чиглэдэг. Нэвтрэлтийн туршилтын үр дүнгээс гарсан тайлан дээр суурилан байгууллагууд мэдээллийн аюулгүй байдлаа сайжруулах хөрөнгө оруулалтын төлөвлөгөөг боловсруулах нөхцөл бүрддэг.

Ямар тохиолдолд нэвтрэлтийн туршилт хийлгэх вэ?

Сүлжээний орчны эмзэг байдлыг тодруулах

Ерөнхийдөө байгууллагууд мэдээллийн технологи, сүлжээний нууцлал хамгаалалтаа аливаа кибер халдлагад хэр найдвартай байгааг шалгаж баталгаажуулахын тулд нэвтрэлтийн туршилтыг тодорхой давтамжтайгаар, тухайлбал жилд нэг удаа хийлгэх хэрэгтэй.

Системийн нийцлийн эмзэг байдлыг тодорхойлох

Байгууллагууд шинээр нэмж сүлжээний дэд бүтэц, аппликэйшн систем нэвтрүүлсэн, томоохон шинэчлэлт өөрчлөлт хийсэн, програм хангамждаа аюулгүй байдлын нэмэлт нөхөөсүүдийг суулгасан эсвэл эцсийн хэрэглэгчийн бодлогоо өөрчилсөн тохиолдолд нэвтрэлтийн туршилтыг хийлгэх нь зүйтэй.

Гадна халдлага нэвтрэх чадварыг тодорхойлох

Үүнээс гадна, нэвтрэлтийн туршилтыг хийлгэх шийдвэр нь хэд хэдэн хүчин зүйлээс хамаарна. Тухайлбал, компанийн хэмжээ, бизнесийн чиглэл, онцлог тал, халдлагад өртөх эрсдэлийн түвшин, төсөв, хууль, журмын шаардлага гэх мэт хүчин зүйлс нөлөөлдөг. Банкнуудын хувьд гадны хакеруудын халдлагад өртөх өндөр эрсдэлтэй байдгаас нэвтрэлтийн туршилтыг жилд хамгийн багадаа 1 удаа хийлгэх шаардлагатай.

Нэвтрэлтийн туршилтын аргачлал, төрлүүд

Нэвтрэлтийн туршилтыг гүйцэтгэхээс өмнө ажлын цар хүрээгээ нарийвчлан тодорхойлох ёстой. Ажлын цар хүрээнд ямар байршилд байгаа аль аль системийг хамарч, ямар аргачлал техникээр туршилтыг гүйцэтгэхээ тодорхойлно. Нэвтрэлтийн туршилтыг гүйцэтгэхдээ аюулгүй байдлын мэргэжилтнүүд нь тухайн бай системийн талаар хэр мэдээлэл авсан, эмзэг байдлыг нь урьдаас мэдэж байсан уу гэдгээс хамаарч аргачлал стратегиа сонгоно.

Зохиомол халдлагыг системийн аль хэсгээс хийхээс хамаарч "гадаад (External testing)" болон "дотоод (Internal testing)" нэвтрэлтийн туршилтын аргачлалыг сонгодог. Урьдчилсан байдлаар тодорхой мэдээлэлтэй байгаа бол "цагаан хайрцаг (Targeted testing)"-ны стратеги, хэсэгчилсэн мэдээлэлтэй бол "саарал хайрцаг (Blind testing)"-ны стратеги, ямар ч мэдээлэлгүй байгаа бол "хар хайрцаг (Double blind testing)"-ны стратегид хамаарна. Нэвтрэлтийн туршилт нь дараах үндсэн 6-н төрөлтэй. Нэвтрэлтийн туршилтыг гүйцэтгэх аргачлал стратеги, төрлөөс хамаарч ажлын цар хүрээ, хугацаа, төсөв тодорхойлогддог.
Сүлжээнд нэвтрэлтийн туршилт
Аппликэйшнд нэвтрэлтийн туршилт
Вэб аппликэйшнд нэвтрэлтийн туршилт
Физик нэвтрэлтийн туршилт
Клауд нэвтрэлтийн туршилт
Сошиал инженеринг
Мэдээллийн технологийн салбарын тэргүүлэгч Ай Ти Зон компанийн мэргэшсэн, туршлагатай инженер, экспертүүд байгууллагуудад мэдээллийн аюулгүй байдлын чиглэлээр аудит, эмзэг байдлын үнэлгээ, нэвтрэлтийн туршилт, сүлжээний үнэлгээ, системийн шинжилгээ хийн, гүйцэтгэлийн тайлан боловсруулж, шийдлийн архитектур гарган зөвлөгөө өгч ажиллаж байна.
Мэргэжилтэнтэй холбогдох
eSecForte

Ай Ти Зон ХХК нь мэдээллийн аюулгүй байдлын зөвлөх үйлчилгээгээр мэргэшсэн eSec Forte Technologies компанитай түншлэлийн зарчмаар хамтран ажиллаж байна. Бидний түнш eSec Forte Technologies компани нь CMMi Level 3, ISO 9001:2008, ISO 27001-2013 сертификаттай мэдээллийн аюулгүй байдлын аудит, эрсдэлийн үнэлгээ, системийн шинжилгээ гүйцэтгэдэг.