А.В. Подзолков, В.С. Харченко, д-р техн. наук
Національний аерокосмічний університет
«Харківський авіаційний інститут»
Україна, 61070, Харків, вул. Вадима Манька, 17
e-mail: Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.;
е-mail: Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.
Èlektron. model. 2024, 46(2):43-59
https://doi.org/10.15407/emodel.46.02.043
АНОТАЦІЯ
Проаналізовано методи оцінювання захищеності інформаційних систем (ІС) за допомогою спеціальних засобів тестування на проникнення (РТ) та сервісів, які надають відповідні інструменти (Penetration Testing as a Service, PTaaS). Обґрунтовано показники, за якими порівнюються засоби і сервіси PTaaS, а саме: надання звіту щодо відповідності протестованого продукту вимогам захисту даних, наявність сертифікатів безпеки, використання відповідних методологій тестування тощо. Розроблено метод для вибору сервісу PTaaS згідно вимог замовника для підвищення кібербезпеки ІС завдяки покращенню повноти і достовірності тестування на проникнення, а також зменшення часу пошуку засобів РТ. Запропоновано хмарний сервіс, який підтримує реалізацію методу та надає можливість вибору PTaaS. Визначено, що використання запропонованого методу і сервісу надає змогу користувачам швидко та зручно обрати PTaaS згідно вимог та моделі роботи організацій або цифрових продуктів.
КЛЮЧОВІ СЛОВА:
кібербезпека, тестування на проникнення, хмарний сервіс для тестування на проникнення, захист даних, вибір PTaaS.
СПИСОК ЛІТЕРАТУРИ
- Cost of a Data Breach Report 2023. URL: https://www.ibm.com/downloads/cas/E3G5JMBP (дата звернення: 10.02.2024).
- Dalalana Bertoglio D., Zorzo A. Overview and open issues on penetration test. J Braz Comput Soc. Vol. 23, no. 2. URL: https://doi.org/10.1186/s13173-017-0051-1 (дата звернення: 10.02.2024).
- Aileen G., Xiaohong Y., Bei T., Bill C., Monique J. An Overview of Penetration Testing. International Journal of Network Security & Its Applications. 2011. Vol. 3, no. 6. P. 19—38. URL: http://dx.doi.org/10.5121/ijnsa.2011.3602 (дата звернення: 10.02.2024).
- Ralph L., Thomas M. Сloud penetration testing. International Journal on Cloud Computing: Services and Architecture (IJCCSA). 2012. Vol. 2, no. 6. URL: https://arxiv.org/ftp/arxiv/papers/1301/1301.1912.pdf (дата звернення: 10.02.2024).
- Altulaihan E.A., Alismail A., Frikha M.A Survey on Web Application Penetration Testing. Electronics. 2023. Vol. 12, no. 5. URL: https://doi.org/10.3390/electronics12051229 (дата звернення: 10.02.2024).
- OWASP Testing Guide. URL: https://owasp.org/www-project-web-security-testing-guide/v42/ (дата звернення: 10.02.2024).
- CREST Penetration Testing Guide. CRES URL: https://www.crest-approved.org/wp-content/ uploads/2022/04/CREST-Penetration-Testing-Guide-1.pdf (дата звернення: 10.02.2024).
- Li Y., Wang Y., Xiong X., Zhang J., Yao Q. An Intelligent Penetration Test Simulation Environment Construction Method Incorporating Social Engineering Factors. Applied Sciences. Vol. 12, no. 12. URL: https://doi.org/10.3390/app12126186 (дата звернення: 10.02.2024).
- Ghanem M.C., Chen T.M. Reinforcement Learning for Efficient Network Penetration Information. 2020. Vol. 11, no. 6. URL: https://www.mdpi.com/2078-2489/11/1/6 (дата звернення: 10.02.2024).
- Chenxi W. The PtaaS Book: The A-Z of Pentest as a Service. Gambrills: AimPoint Group, LLC, 2022. 60 p.
- Top 10 Pen Testing as a Service (PTaaS) Providers in 2024. Software Testing Help. URL: https://www.softwaretestinghelp.com/top-pen-testing-as-a-service-providers/ (дата звернення: 10.02.2024).
- Web-сервіс вибору PTaaS. Podzolkov A.V. URL: https://leftchameleon.bubbleapps.io/version-test (дата звернення: 10.02.2024).
- Abakumov A.I., Kharchenko V.S. Combining Experimental and Analytical Methods for Penetration Testing of AI-Powered Robotic Systems. COLINS-2023: 7th International Conference on Computational Linguistics and Intelligent Systems: матеріали міжнародної корф., м. Харків, 20—21 квітня 2023 р. / Харків. нац. аерокосм. ун-т ім М.Є. Жуковського «ХАІ».
- Тарасюк О.М., Харченко В.С. Динамические радиальные метрические диаграммы в задачах управления качеством программного обеспечения. Збірник наукових праць інституту проблем моделювання в енергетиці ім. Г.Є. Пухова. Вип. 22. С. 202—205.
- Абакумов А.І., Харченко В.С. Аналітичні та експериментальні методи оцінювання функційної та кібербезпеки робототехнічних систем. Методи та технології забезпечення якості та безпеки інтелектуальних систем: кол. монографія. Київ: Видавництво «Юстон», 2023. С. 111—135.
ПОДЗОЛКОВ Андрій Володимирович, магістрант кафедри комп’ютерних систем, мереж і кібербезпеки Національного аерокосмічного університету «Харківський авіаційний інститут». Область наукових досліджень — теоретичні та практичні засоби забезпечення кібербезпеки веб-застосунків: сервісні, продуктові та гібридні мультивендорні вебмаркетплейси; вебсайти, побудовані за допомогою CMS та індивідуальної розробки.
ХАРЧЕНКО Вячеслав Сергійович, д-р. техн. наук, професор, зав. кафедри комп’ютерних систем, мереж і кібербезпеки Національного аерокосмічного університету «Харківський авіаційний інститут». У 1974 р. закінчив Харківське вище військове командно-інженерне училище ракетних військ. Область наукових досліджень — теорія, методи і технології критичного комп’ютингу та гарантоздатних систем, функційна та кібербезпека, надійність інтелектуальних безпілотних комплексів, якість і резильєнтність систем штучного інтелекту.
Повний текст: PDF