ФОРМУВАННЯ АЛЬТЕРНАТИВНИХ СТРАТЕГІЙ ТЕСТУВАННЯ НА ПРОНИКНЕННЯ SERVER-SIDE WEB APPLICATION ІЗ ВРАХУВАННЯМ ЗМЕНШЕННЯ НЕВИЗНАЧЕНОСТІ

Автор(и)

  • П. В. Хусаінов Військовий інститут телекомунікацій та інформатизації імені Героїв Крут https://orcid.org/0000-0002-0675-0369
  • Т. П. Терещенко Військовий інститут телекомунікацій та інформатизації імені Героїв Крут https://orcid.org/0000-0002-9659-7897
  • В. Б. Череушенко Військовий інститут телекомунікацій та інформатизації імені Героїв Крут https://orcid.org/0009-0006-2839-3637

DOI:

https://doi.org/10.58254/viti.8.2025.20.257

Ключові слова:

тестування на проникнення, вибір рішень, альтернативні стратегії дій

Анотація

Тестування на проникнення (penetration testing) є одним із дієвих активних методів зниження ризиків
компрометації системи шляхом експлуатації вразливості її програмних компонентів. В Україні поняття
“тестування на проникнення” визначено як пошук та виявлення потенційної вразливості інформаційних
(автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних
комунікаційних мереж. На сучасному етапі розвитку практики пошуку та виявлення вразливості системи
(об’єкта кіберзахисту) цей процес базується на участі фахівця з тестування на проникнення. Понад усе він
відповідає за правильне виявлення (доведення існування) вразливості системи (об’єкта кіберзахисту) на основі
використання сучасного міжнародного досвіду для здійснення такої діяльності.
До розгляду пропонується постановка наукового завдання на розробку методичного апарату для вибору
стратегій дій процесу тестування на проникнення. На основі використання запропонованого методичного
апарату сформульовано задачу пошуку та виявлення вразливості системи (об’єкта кіберзахисту) за
мінімальний (прийнятний) час за умови прийнятної (мінімальної) величини витрат ресурсів та визначеної
ймовірності правильного виявлення вразливості системи (об’єкта кіберзахисту).
Оприлюднюються основні положення розробленого методичного апарату для вирішення задач
тестування на проникнення: семантична мережа структурно-казуальних відношень між задачами досягнення
тактичних цілей (тактик); обґрунтування на основі застосування підходів The Cyber Kill Chain, The Unified Kill
Chain, Ethical Hacking Methodology, таксономій ATT&CK, CAPEC, CVE, CWE; інтерпретація в контексті логіко
психологічної схеми прийняття рішень; орієнтований граф граф-схеми дій фахівця; модель формування
множини альтернативних стратегій. Надається змістовний метод стратегії дій фахівця з тестування на
проникнення Server-Side Web Application системи (об’єкта кіберзахисту, в процесі якого здійснюється
досягнення тактичної цілі (тактики) Initial Access на основі вирішення задачі Exploit Public-Facing Application.

Cover_8_2025

##submission.downloads##

Опубліковано

2025-12-03

Номер

Системи і технології зв’язку, інформатизації та кібербезпеки. Випуск №8 2025

Розділ

Статті

Схожі статті

<< < 1 2 3 4 5 6 7 > >> 

Ви також можете розпочати розширений пошук схожих статей для цієї статті.