WebMasteruVse.ru

Всё для веб-мастеров

Способы аудита безопасности сайта

Способы аудита безопасности сайта

Безопасность сайта – оценка защищенности его наполнения, структуры, функционала от несанкционированного доступа. Почти все сайты разработаны на базе систем управления контентом (систем управления сайтами, CMS, на жаргоне – «движки»). Есть множество разнообразных мер по обеспечению требуемой защиты, но атаки все же идут. Больше инструментов, средств защиты — сложнее их контролировать, резко падает эффективность предпринимаемых защитных мер.

Активный аудит

Чтобы защита была оперативной, релевантной, следует проверять регулярно работоспособность, осуществляя аудит сайта. Благодаря действенному контролю, можно идентифицировать степень его защищенности.
Распространенной аудит-технологией считается активный аудит, имитирующий работу хакеров, проверяющий наличие уязвимости.
В ходе такого аудита:
• отправляются запросы (по сути, вредоносные) по сетям непрерывно;
• система – перегружается (аудит сложно выполнить);
• не гарантировано устранение уязвимости, опасности;
• сканирование может нарушить что-то в сложной среде.
Активный аудит называют часто инструментальным, аналитическим. Он подразделяется не внешний, внутренний.

Пассивный аудит

Активно развивают технологии иного, пассивного аудита, сбора данных по уязвимости системы, при этом, не нагружая сеть, не реализуя сложных запросов. Пассивный сканер лишь проверяет сетевые конфигурационные файлы, загружая в сканер, согласно настройкам, принципам выдерживаемой в сети политики сетевой безопасности.
Пассивный сканер отличен от активного тем, что не «грузит» всю сеть, ему достаточно лишь постоянно получать конфигурационные файлы устройств. Если нагрузка минимальная, пассивные проверки проводят чаще (например, примерно через два часа). Позитивный результат пассивного анализа: аудит будет работать лучше, чем распространенный устоявшийся активный сканер. Негативный результат: запускают его лишь ночью, при минимальной нагрузке сети (это минус и активного аудита).

Итог

Активный аудит – имитация хакера в системе, пассивный – оценка вероятности ущерба среде, «сверка» конфигурационных файлов защищаемой сети.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

WebMasteruVse.ru © 2018 | Оставляя комментарий на сайте или используя форму обратной связи, вы соглашаетесь с правилами обработки персональных данных.