Исследование подходов к моделированию процессов пентестинга веб-приложений

( 1 Vote ) 
Категория: ИКТМ 2015 Просмотров: 688
 УДК 621.396.96
ИССЛЕДОВАНИЕ ПОДХОДОВ К МОДЕЛИРОВАНИЮ ПРОЦЕССОВ ПЕНТЕСТИНГА ВЕБ-ПРИЛОЖЕНИЙ
А.Г. Тецкий, аспирант; Д.Д. Узун, к.т.н., доцент
Национальный аэрокосмический университет им. Н.Е. Жуковского «ХАИ»


В настоящее время количество сайтов в сети Интернет увеличивается в геометрической прогрессии. Для создания сайтов уже не обязательно иметь навыки программирования – достаточно использовать готовые системы управления контентом. Такие системы практически всегда являются продуктами «с полки» и к ним выдвигаются повышенные требования информационной безопасности, ведь количество инсталляций некоторых CMS может составлять десятки и сотни тысяч. Поэтому уязвимость в какой-либо версии продукта может навредить большому количеству конечных потребителей. Актуальность информационной безопасности в данной области подтверждается ежегодными исследованиями компании Positive Technologies.

Тестирование на проникновение (пентестинг) – атака на объект с целью обнаружения уязвимостей для их дальнейшей ликвидации (выпуск патча, обновление до более новой версии и т.п.). Тестирование на проникновение может происходить на стадии внедрения или эксплуатации.
Использование имитационного моделирования позволит проводить тестирование ещё на этапе проектирования. Для модели будут определены вредоносные воздействия и, как следствие, определена тяжесть последствий. Созданная модель будет иметь параметры, установленные экспериментальным путём. Также использование модели позволит сократить этап диагностирования (в случае эксплуатации уязвимости злоумышленником) и ускорить процесс восстановления работоспособного состояния.
Для создания модели могут быть использованы цепи Маркова и/или теория конечных автоматов. Процессы пентестинга обладают характеристикой марковских процессов, поскольку будущее состояние процесса зависит только от текущего состояния и не зависит от предыдущего.
Направление дальнейших исследований будет заключаться в детализации существующего направления, формализации новых типов атак в рамках пентестинга веб-приложений и разработке их математического описания.