Услуги

Услуги информационной безопасности

Тестирование на проникновение

Тестирование на проникновение, также известное как pentest - это услуга оценки безопасности информационно-коммуникационной инфраструктуры, средствами и методом моделирования атаки злоумышленника. 

 

 Исследование проводится с позиции потенциального атакующего и включает в себя активное использование уязвимостей системы Заказчика. Эти уязвимости могут существовать в операционных системах, службах и приложениях, неправильной конфигурации или опасном поведении конечного пользователя.

Итогом работы является отчет, содержащий в себе все найденные уязвимости системы безопасности и рекомендации по их устранению.

 

Тестирование на проникновение может включать попытку взлома любого количества прикладных систем (например, интерфейсов прикладных протоколов (API), внешних / внутренних серверов) с целью выявления уязвимостей.

 

Почему так важно тестирование на проникновение?

Pentest оценивает способность организации защитить свои сети, приложения, конечных пользователей от внешних или внутренних попыток обойти меры безопасности и получить несанкционированный к защищенным ресурсам. 

 

Для компании это возможность выявить различные риски, использовать упреждающий подход к безопасности. Убедится, что существующие программы безопасности работают, повысить уверенность в своей стратегии безопасности.

 

Виды тестирования:

  • Внешнее тестирование: анализ внешнего периметра заказчика с целью компрометации защиты и получения доступа во внутреннюю сеть;

  • Внутреннее тестирование: анализ внутренней инфраструктуры информационной сети с целью получения доступа к ресурсам и повышению привилегий до администратора;

  • Беспроводной доступ: анализ находящихся в зоне действия беспроводных сетей Организации и имеющих доступ к сети Организации с целью получения доступа в корпоративную сеть;

  • Защищенный сегмент (Swift, PCI DSS, etc.): с точки внутреннего нарушителя - обладающего доменной учетной записью, цель которого – полностью скомпрометировать инфраструктуру защищенной сети и рабочие станции операторов;

  • Социальная инженерия: анализ готовности организации к атакам через персонал, фишинговые сообщения, разглашение информации, применение ограниченных устройств.

 

Состав услуги:

  • Определение вида и целей тестирования: получение информации от Заказчика о виде проводимого теста, целях и желаемых векторов атак
  • Сбор информации: разведка, получение информации из открытых источников, идентификация уязвимостей
  • Анализ уязвимостей: анализ и эксплуатация выявленных уязвимостей, с целью получения несанкционированного доступа к информационным ресурсам Заказчика
  • Документирование: документирование информации, полученной в ходе анализа и эксплуатации уязвимостей, описание методов и выявленных несоответствий
  • Отчёт: описание выявленных недостатков, хода тестирования, рекомендации по устранению, выводы для руководства Заказчика, содержащие общую оценку уровня защищенности.

 

Методики тестирования на проникновения:

  • OSSTMM - The Open Source Security Testing Methodology Manual

  • NIST SP800-115 - NIST Special Publications 800 Series

  • OWASP - Open Web Application Security Project

  • ISSAF - Information System Security Assessment Framework

  • PTES - Penetration Testing Methodologies and Standards

 

Помимо анализа сетей и веб-ресурсов, мы также проводим анализ защищенности мобильных приложений с целью получения чувствительных данных и поиска уязвимостей в конкретном мобильном приложении.  

Тестирование защищенности мобильных приложений чаще всего осуществляется по методике OWASP top 10 Mobile.

Pentest мобильных приложений включает в себя изучение логики, обработку конфиденциальной информации, безопасное взаимодействие между различными API-интерфейсами.

Наши преимущества

Сертифицированные специалисты с огромным опытом в тестировании на проникновение

Сертифицированные специалисты с огромным опытом в тестировании на проникновение

Собственные наработки в тестировании на проникновение

Собственные наработки в тестировании на проникновение

Использование передовых технологий

Использование передовых технологий

Свяжитесь с нами сейчас, чтобы получить исчерпывающую информацию обо всех технических особенностях и преимуществах услуги pentest!