Тестирование на проникновение, также известное как pentest - это услуга оценки безопасности информационно-коммуникационной инфраструктуры, средствами и методом моделирования атаки злоумышленника. 

 Исследование проводится с позиции потенциального атакующего и включает в себя активное использование уязвимостей системы Заказчика. Эти уязвимости могут существовать в операционных системах, службах и приложениях, неправильной конфигурации или опасном поведении конечного пользователя.

Итогом работы является отчет, содержащий в себе все найденные уязвимости системы безопасности и рекомендации по их устранению.

Тестирование на проникновение может включать попытку взлома любого количества прикладных систем (например, интерфейсов прикладных протоколов (API), внешних / внутренних серверов) с целью выявления уязвимостей.

Почему так важно тестирование на проникновение?

Pentest оценивает способность организации защитить свои сети, приложения, конечных пользователей от внешних или внутренних попыток обойти меры безопасности и получить несанкционированный к защищенным ресурсам. 

Для компании это возможность выявить различные риски, использовать упреждающий подход к безопасности. Убедится, что существующие программы безопасности работают, повысить уверенность в своей стратегии безопасности.

Виды тестирования:

• Внешнее тестирование: анализ внешнего периметра заказчика с целью компрометации защиты и получения доступа во внутреннюю сеть;

• Внутреннее тестирование: анализ внутренней инфраструктуры информационной сети с целью получения доступа к ресурсам и повышению привилегий до администратора;

• Беспроводной доступ: анализ находящихся в зоне действия беспроводных сетей Организации и имеющих доступ к сети Организации с целью получения доступа в корпоративную сеть;

• Защищенный сегмент (Swift, PCI DSS, etc.): с точки внутреннего нарушителя - обладающего доменной учетной записью, цель которого – полностью скомпрометировать инфраструктуру защищенной сети и рабочие станции операторов;

• Социальная инженерия: анализ готовности организации к атакам через персонал, фишинговые сообщения, разглашение информации, применение ограниченных устройств.

Состав услуги:

• Определение вида и целей тестирования: получение информации от Заказчика о виде проводимого теста, целях и желаемых векторов атак
• Сбор информации: разведка, получение информации из открытых источников, идентификация уязвимостей
• Анализ уязвимостей: анализ и эксплуатация выявленных уязвимостей, с целью получения несанкционированного доступа к информационным ресурсам Заказчика
• Документирование: документирование информации, полученной в ходе анализа и эксплуатации уязвимостей, описание методов и выявленных несоответствий
• Отчёт: описание выявленных недостатков, хода тестирования, рекомендации по устранению, выводы для руководства Заказчика, содержащие общую оценку уровня защищенности.

Методики тестирования на проникновения:

• OSSTMM - The Open Source Security Testing Methodology Manual

• NIST SP800-115 - NIST Special Publications 800 Series

• OWASP - Open Web Application Security Project

• ISSAF - Information System Security Assessment Framework

• PTES - Penetration Testing Methodologies and Standards

Помимо анализа сетей и веб-ресурсов, мы также проводим анализ защищенности мобильных приложений с целью получения чувствительных данных и поиска уязвимостей в конкретном мобильном приложении.  

Тестирование защищенности мобильных приложений чаще всего осуществляется по методике OWASP top 10 Mobile.

Pentest мобильных приложений включает в себя изучение логики, обработку конфиденциальной информации, безопасное взаимодействие между различными API-интерфейсами.

Свяжитесь с нами сейчас, чтобы получить исчерпывающую информацию обо всех технических особенностях и преимуществах услуги pentest!