2. Головна
  3. АРХІВ НОМЕРІВ
  4. 2024 рік
  5. Том 46, № 2 (2024)
  6. c. 43-59

Метод і засоби вибору сервісів тестування на проникнення

А.В. Подзолков, В.С. Харченко, д-р техн. наук
Національний аерокосмічний університет
«Харківський авіаційний інститут»
Україна, 61070, Харків, вул. Вадима Манька, 17
e-mail: Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.;
е-mail: Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.

Èlektron. model. 2024, 46(2):43-59

https://doi.org/10.15407/emodel.46.02.043

АНОТАЦІЯ

Проаналізовано методи оцінювання захищеності інформаційних систем (ІС) за допомо­гою спеціальних засобів тестування на проникнення (РТ) та сервісів, які надають відпо­відні інструменти (Penetration Testing as a Service, PTaaS). Обґрунтовано показники, за якими порівнюються засоби і сервіси PTaaS, а саме: надання звіту щодо відповідності протестованого продукту вимогам захисту даних, наявність сертифікатів безпеки, вико­рис­тання відповідних методологій тестування тощо. Розроблено метод для вибору сер­вісу PTaaS згідно вимог замовника для підвищення кібербезпеки ІС завдяки покращен­ню повноти і достовірності тестування на проникнення, а також зменшення часу пошуку засобів РТ. Запропоновано хмарний сервіс, який підтримує реалізацію методу та надає можливість вибору PTaaS. Визначено, що використання запропонованого методу і сер­ві­су надає змогу користувачам швидко та зручно обрати PTaaS згідно вимог та моделі роботи організацій або цифрових продуктів.

КЛЮЧОВІ СЛОВА:

кібербезпека, тестування на проникнення, хмарний сервіс для тес­тування на проникнення, захист даних, вибір PTaaS.

СПИСОК ЛІТЕРАТУРИ

  1. Cost of a Data Breach Report 2023. URL: https://www.ibm.com/downloads/cas/E3G5JMBP (дата звернення: 10.02.2024).
  2. Dalalana Bertoglio D., Zorzo A. Overview and open issues on penetration test. J Braz Comput Soc. Vol. 23, no. 2. URL: https://doi.org/10.1186/s13173-017-0051-1 (дата звернення: 10.02.2024).
  3. Aileen G., Xiaohong Y., Bei T., Bill C., Monique J. An Overview of Penetration Testing. International Journal of Network Security & Its Applications. 2011. Vol. 3, no. 6. P. 19—38. URL: http://dx.doi.org/10.5121/ijnsa.2011.3602 (дата звернення: 10.02.2024).
  4. Ralph L., Thomas M. Сloud penetration testing. International Journal on Cloud Computing: Services and Architecture (IJCCSA). 2012. Vol. 2, no. 6. URL: https://arxiv.org/ftp/arxiv/papers/1301/1301.1912.pdf (дата звернення: 10.02.2024).
  5. Altulaihan E.A., Alismail A., Frikha M.A Survey on Web Application Penetration Testing. Electronics. 2023. Vol. 12, no. 5. URL: https://doi.org/10.3390/electronics12051229 (дата звернення: 10.02.2024).
  6. OWASP Testing Guide. URL: https://owasp.org/www-project-web-security-testing-guide/v42/ (дата звернення: 10.02.2024).
  7. CREST Penetration Testing Guide. CRES URL: https://www.crest-approved.org/wp-content/ uploads/2022/04/CREST-Penetration-Testing-Guide-1.pdf (дата звернення: 10.02.2024).
  8. Li Y., Wang Y., Xiong X., Zhang J., Yao Q. An Intelligent Penetration Test Simulation Environment Construction Method Incorporating Social Engineering Factors. Applied Sciences. Vol. 12, no. 12. URL: https://doi.org/10.3390/app12126186 (дата звернення: 10.02.2024).
  9. Ghanem M.C., Chen T.M. Reinforcement Learning for Efficient Network Penetration Information. 2020. Vol. 11, no. 6. URL: https://www.mdpi.com/2078-2489/11/1/6 (дата звернення: 10.02.2024).
  10. Chenxi W. The PtaaS Book: The A-Z of Pentest as a Service. Gambrills: AimPoint Group, LLC, 2022. 60 p.
  11. Top 10 Pen Testing as a Service (PTaaS) Providers in 2024. Software Testing Help. URL: https://www.softwaretestinghelp.com/top-pen-testing-as-a-service-providers/ (дата звернення: 10.02.2024).
  12. Web-сервіс вибору PTaaS. Podzolkov A.V. URL: https://leftchameleon.bubbleapps.io/version-test (дата звернення: 10.02.2024).
  13. Abakumov A.I., Kharchenko V.S. Combining Experimental and Analytical Methods for Penetration Testing of AI-Powered Robotic Systems. COLINS-2023: 7th International Conference on Computational Linguistics and Intelligent Systems: матеріали міжнародної корф., м. Харків, 20—21 квітня 2023 р. / Харків. нац. аерокосм. ун-т ім М.Є. Жу­ковського «ХАІ».
  14. Тарасюк О.М., Харченко В.С. Динамические радиальные метрические диаграммы в задачах управления качеством программного обеспечения. Збірник наукових праць інституту проблем моделювання в енергетиці ім. Г.Є. Пухова. Вип. 22. С. 202—205.
  15. Абакумов А.І., Харченко В.С. Аналітичні та експериментальні методи оцінювання функційної та кібербезпеки робототехнічних систем. Методи та технології забезпечення якості та безпеки інтелектуальних систем: кол. монографія. Київ: Видавництво «Юстон», 2023. С. 111—135.

ПОДЗОЛКОВ Андрій Володимирович, магістрант кафедри комп’ютерних систем, мереж і кібербезпеки Національного аерокосмічного університету «Харківський авіа­цій­ний інститут». Область наукових досліджень — теоретичні та практичні засоби забезпечення кібербезпеки веб-застосунків: сервісні, продуктові та гібридні мульти­вен­дорні вебмаркетплейси; вебсайти, побудовані за допомогою CMS та індивідуальної розробки.

ХАРЧЕНКО Вячеслав Сергійович, д-р. техн. наук, професор, зав. кафедри комп’ютерних систем, мереж і кібербезпеки Національного аерокосмічного університету «Харківсь­кий авіаційний інститут». У 1974 р. закінчив Харківське вище військове командно-інже­нерне училище ракетних військ. Область наукових досліджень — теорія, методи і тех­нології критичного комп’ютингу та гарантоздатних систем, функційна та кібербез­пека, надійність інтелектуальних безпілотних комплексів, якість і резильєнтність систем штучного інтелекту.

Повний текст: PDF