Penetration testing

Тестування на проникнення

Проведення зовнішнього та внутрішнього тестування на проникнення є обов'язковою для успішного проходження сертифікаційного аудита на відповідність вимог стандарту PCI DSS.

Наш подхід до проведення тестів на проникнення дозволить Вам не тільки подготуватися до проходження аудиту, а ще й отримати корисну інформацію про реальний стан справ у сфері захисту ваших інформаційних ресурсів. Наші праці включают в себе не тільки системи, що входять в область дії стандарта PCI DSS, але й суміжні інформаційні системи.

Якщо Ви займаєтесь питаннями інформаційної безпеки у вашій організації, то проведення тестування на проникнення дозвилить Вам отримати цінні зведення. Отримані результати наочно продемонструють існуючі проблеми у сфері інформаційної безпеки та наслідки, до яких призводить недостатній захист. Результати проведення тестування на проникнення дозволяють обґрунтувати бюджет та інші витрати на забеспечення інформаційної безпеки компанії.

Варто зазначити, що послуга не є багатовитратною, тому тестування можна проводити у рамках бюджета підрозділу.

У багатьох організаціях тестування на проникнення є обов'язковою стадією при проведенні аналізу ризиків. Це особливо актуально при введенні нових систем в експлуатацію або після змін в інфраструктурі, коли можна упустити момент зміни ризиків інформаційної безпеки.

Тестування на проникнення дозволяє оцінити змінені ризики та проконтролювати виконання процесів забеспечення інформаційної безпеки.


  Задайте питання до експерта

Отримайте безкоштовну консультацію по тестуванню на проникнення

Або зателефонуйте за номером (044) 332-0117

SQL Injection Buffer overflows Cross-site scripting Cross-site request forgery
перевірка вразливостей
автоматизована, ручна, ефективна

Які сценарії ми використовуємо

Зловмисник, що діє з мережі Інтернет, не має прав доступу до інформаційної системи й володіє тільки загальнодоступною інформацією про інформаційні системи, застосовані методи та засоби захисту.
Зловмисник, що має мережевий доступ до внутрішньої мережі (у будь-якому з мережевих сегментів), не має прав доступу до інформаційної системи й володіє тільки загальнодоступною інформацією про інформаційні системи, застосовані методи та засоби захисту.
Зловмисник, діючий з внутрішньої мережі, має логічні права в інформаційних системах, що можливо має привілегії локального адміністратора та володіючий поверхневими (можливо детальними) свідотствами про структуру мережі, застосованих методах та засобах захисту.

Методологія проведення робіт

Роботи з тестування на проникнення, як правило, виконуються у декілька етапів:

  • Збір попередньої інформації. Наприклад, про структуру та компоненти корпоративної мережі (мережева адресація, компоненти мережі, використані засоби захисту). Збір здійснюється з доступних джерел, у тому ж числі з мережі Інтернет;
  • Визначення типів та версій пристроїв, ОС, мережевих сервісів та додатків згідно реакції на зовнійшій вплив (тобто по рекації на різноманітні запити);
  • Індентифікація вразливостей на мережевому рівні та рівні додатків (автоматизированими та ручними методами);
  • Моделювання атак на мережевому рівні;
  • Моделювання атак на рівні додатків;
  • Підготовка звіту та рекомендаців по результатам робіт.

Хочете провести Pentest? Напишіть нам

Або зателефонуйте за номером (044) 332-0117