Skip to content

Тестування на проникнення

Аналіз захищеності


Суть таких робіт полягає в санкціонованій спробі обійти існуючий комплекс засобів захисту інформаційної системи з метою виявлення слабких місць в організації та налаштуваннях ІТ-інфраструктури. В ході тестування інженер виконує роль зловмисника, мотивованого на порушення інформаційної безпеки мережі замовника.

✔ До 20% критичних вразливостей виявляються на етапі збору інформації - при мінімальному впливі (знижений ризик виявлення атаки) на тестовані об'єкти.

✔ До 70% користувачів сприйнятливі до атак із застосуванням методів соціальної інженерії.

Зворотній дзвінок



Задайте вопрос эксперту

Напишіть нам, щоб отримати консультацію з питань тестування на проникнення


5 етапів успішного Пентеста

Розвідка

Збір попередньої інформації. Наприклад, про структуру і компоненти корпоративної мережі (мережева адресація, компоненти мережі, які використовуються засоби захисту). Збір здійснюється з доступних джерел, в тому числі з мережі Інтернет.

Виявлення сервісів

Визначення типів і версій пристроїв, операційних систем, мережевих сервісів і додатків по реакції на зовнішній вплив (тобто по рекаціі на різні запити).

Виявлення вразливостей

Ідентифікація вразливостей на мережевому рівні і рівні додатків (автоматизованими і ручними методами).

Проведення атаки

Моделювання атак на мережевому рівні та на рівні додатків.

Підготовка рекомендацій

Підготовка звіту та рекомендацій за результатами робіт.

Які сценарії ми використовуємо


Зловмисник, який діє з мережі Інтернет та не має прав доступу до інформаційної системи і володіє тільки загальнодоступною інформацією про інформаційні системи, засоби захисту.
Зловмисник, який має мережевий доступ до внутрішньої мережі (в будь-якому з мережевих сегментів), який не має прав доступу до інформаційних систем та володіє тільки загальнодоступною інформацією про інформаційні системи, застосовувані методи і засоби захисту.
Зловмисник, який діє з внутрішньої мережі та має логічні права в інформаційних системах і володіє поверхневими (можливо докладними) відомостями про структуру мережі, методи і засоби захисту.

Кому потрібне тестування на проникнення


Pentest для PCI DSS

Проведення зовнішнього та внутрішнього тестування на проникнення є обов'язковим для успішного проходження сертифікаційного аудиту на відповідність вимогам стандарту PCI DSS.

Pentest для Директорів по ІБ

Наш підхід до проведення тестів на проникнення дозволить Вам не тільки підготуватися до проходження аудиту, а й отримати корисну інформацію про реальний стан справ у сфері захисту ваших інформаційних ресурсів . Наші роботи включають в себе не тільки системи, що входять в зону дії стандарту PCI DSS, а й суміжні інформаційні системи.

Pentest при проведенні аналізу ризиків

У багатьох організація тестування на проникнення є обов'язковою стадією при проведенні аналізу ризиків . Це особливо актуально при введенні нових систем в експлуатацію або після змін в інфраструктурі, коли можна упустити момент зміни ризиків інформаційної безпеки.

Тестування на проникнення дозволить оцінити зміну ризиків і проконтролювати виконання процесів забезпечення інформаційної безпеки.

Звертайтесь до нас для консультації

Використовується тільки для зв'язку з Вами