Skip to content

Penetration testing

Тестування на проникнення


Суть таких робіт полягає в санкціонованій спробі обійти існуючий комплекс засобів захисту інформаційної системи. В ході тестування аудитор виконує роль зловмисника, мотивованого на порушення інформаційної безпеки мережі замовника.
До 20% критичних вразливостей виявляються на етапі збору інформації - при мінімальному впливі (знижений ризик виявлення атаки) на тестовані об'єкти. Комбінований тест на проникнення, що включає соціальну інженерію, є найбільш ефективним - до 70% користувачів системи, що атакується, сприйнятливі до соціотехнічних атакам.


Задайте вопрос эксперту

Напишіть нам, щоб отримати консультацію з питань тестування на проникнення

Або зателефонуйте: (044) 332 01 17


5 етапів успішного Пентеста

Розвідка

Збір попередньої інформації. Наприклад, про структуру і компоненти корпоративної мережі (мережева адресація, компоненти мережі, які використовуються засоби захисту). Збір здійснюється з доступних джерел, в тому числі з мережі Інтернет.

Виявлення сервісів

Визначення типів і версій пристроїв, ОС, мережевих сервісів і додатків по реакції на зовнішній вплив (тобто по рекаціі на різні запити).

Виявлення вразливостей

Ідентифікація вразливостей на мережевому рівні і рівні додатків (автоматизованими і ручними методами).

Проведення атаки

Моделювання атак на мережевому рівні і на рівні додатків.

Підготовка рекомендацій

Підготовка звіту та рекомендацій за результатами робіт.

Які сценарії ми використовуємо


Зловмисник, який діє на підставі мережі Інтернет, що не має прав доступу до інформаційної системи і володіє тільки загальнодоступною інформацією про інформаційні системи, застосовувані методи і засоби захисту.
Зловмисник, який має мережевий доступ до внутрішньої мережі (в будь-якому з мережевих сегментів), який не має прав доступу до інформаційної системи і володіє тільки загальнодоступною інформацією про інформаційні системи, застосовувані методи і засоби захисту.
Зловмисник, що діє з внутрішньої мережі, що має логічні права в інформаційних системах, можливо має привілеї локального адміністратора і володіє поверхневими (можливо докладними) відомостями про структуру мережі, застосовувані методи і засоби захисту.

Кому потрібне тестування на проникнення


Pentest для PCI DSS

Проведення зовнішнього та внутрішнього тестування на проникнення є обов'язковим для успішного проходження сертифікаційного аудиту на відповідність вимогам стандарту PCI DSS.

Pentest для Директорів по ІБ

Наш підхід до проведення тестів на проникнення дозволить Вам не тільки підготуватися до проходження аудиту, а й отримати корисну інформацію про реальний стан справ у сфері захисту ваших інформаційних ресурсів . Наші роботи включають в себе не тільки системи, що входять в зону дії стандарту PCI DSS, а й суміжні інформаційні системи.

Pentest при проведенні аналізу ризиків

У багатьох організація тестування на проникнення є обов'язковою стадією при проведенні аналізу ризиків . Це особливо актуально при введенні нових систем в експлуатацію або після змін в інфраструктурі, коли можна упустити момент зміни ризиків інформаційної безпеки.

Тестування на проникнення дозволить оцінити зміну ризиків і проконтролювати виконання процесів забезпечення інформаційної безпеки.

Зв'яжіться з нами для консультації з питань Pentest

Задайте нам своє питання