Pentest / Тест на проникновение

Имитация целевых атак злоумышленников для выявления уязвимостей
в ИТ-инфраструктуре

Pentest / Тест на проникновение

Об услуге

Тест на проникновение, или пентест, помогает обнаружить слабые места в защите корпоративной сети и элементах сетевой инфраструктуры. Технически услуга представляет собой анализ внешних и внутренних угроз и уязвимостей с помощью автоматизированных инструментов для проверки возможности проникновения, а также ручных методов взлома, которые применяют злоумышленники.

Итоговые результаты теста оформляются в виде подробного отчета с описанием уязвимостей, уровня их критичности и рекомендациями по их устранению.

В ходе тестирования решаются следующие задачи:

Проверяется возможность получения доступа к конфиденциальной информации рядовым сотрудником

Выявляются уязвимости информационной безопасности и варианты их использования

Проверяется возможность повышения своих привилегий рядовым сотрудником

Разрабатываются рекомендации по нейтрализации обнаруженных уязвимостей

Проверяется возможность проникновения в локальную сеть извне

Детали

Методика тестирования согласовывается с каждым заказчиком индивидуально. Однако за основу всегда берутся лучшие практики, принятые в отрасли — NIST SP800-115 и OSSTMM (Open Source Security Testing Methodology Manual).

Основные цели пентеста

  • Общая проверка уровня защищенности организации.
  • Выполнение требований различных стандартов и нормативных документов. Например — пункта 11.3 стандарта PCI DSS, который требует от компаний, обрабатывающих данные платежных карт, проводить ежегодное тестирование на проникновение. При этом тест должен охватывать весь периметр информационной среды данных держателей карт. Другой пример — требование пункта 2.5.5.1.(П.14.2) Положения Банка России № 382-П, который обязывает компании, осуществляющие денежные переводы, делать пентест так же не реже раза в год.

Инструменты

Универсальные сканеры уязвимостей типа Nessus и Burp Suite, которые выявляют «дыры» в приложениях, операционных системах и корпоративной сети
Ручное тестирование, когда пентестер пытается взломать защиту через адресную строку веб-браузера, уязвимости в ОС, софте, «железе» и не только
Специализированное ПО — например, утилиты из дистрибутива ОС Kali Linux: Metasploit, nmap и другие

Этапы тестирования

  1. Внешний анализ защищенности — модель Black Box

    Работы проводятся удаленно через интернет: специалисты ITGLOBAL.COM пытаются организовать ряд атак через публичные ресурсы заказчика.

  2. Внутренний анализ защищенности — модель Grey Box или White Box

    Заказчик предоставляет удаленный доступ к своей внутренней сети — например, с помощью VPN-соединения. Атаки моделируются с правами рядового сотрудника.

  3. Подготовка отчета о тестировании на проникновение

    В отчете описывается методология тестирования, объекты тестирования, выявленные уязвимости, уровни их критичности, даются рекомендации по их устранению.

Преимущества

Возможность предупреждения инцидентов, которые могут негативно повлиять на имидж компании и безопасность клиентов

Возможность соблюдения обязательных требований стандартов PCI DSS, 382-П и других

Применение современных инструментов, которые моделируют все известные виды атак

Практическая проверка безопасности компании, а не «бумажная безопасность»

Снижение рисков утечки информации и несанкционированного доступа

Обнаружение всех критичных угроз информационной безопасности

Связанные решения

Заказать услугу

Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Консультация по услугам