Тестування захищеності (Pentest)

Загальні відомості про тестування захищеності 

Тест на проникнення запобігає економічним та репутаційним втратам шляхом перевірки або побудови ефективного інформаційного захисту компанії.
У ході тестування виконується виявлення та перевірка вразливостей у системі, які могли виникнути через програмні та технічні помилки, неправильні налаштування, операційні недоліки тощо. Також тестування дозволяє наочно продемонструвати актуальність виявлених уразливостей та значимість потенційного збитку для компанії-замовника.

Етапи тесту на проникнення 

  • Ініціалізація

    Результати етапу:
    ● Сформована та затверджена робоча група
    ● Визначені та затверджені область дії та параметри тестування, можливі ризики та обмеження, план-графік проведення робіт, регламент комунікацій

  • Збір даних із відкритих джерел інформації (пасивний збір інформації)

    Результати етапу:
    Виконано не інтерактивне дослідження інфраструктури, що підлягає тестуванню. З відкритих джерел зібрана та систематизована інформація щодо цієї інфраструктури. Виконана підготовка до етапу активного збору інформації.

  • Активний збір інформації 

    Інструментальний аналіз захищеності зовнішнього периметру по діапазону IP-адрес:
    ● Виявлення ресурсів
    ● Виявлення вразливостей
    ● Аналіз уразливостей
    ● Здійснення доступу (перевірка вразливостей)

  • Аналіз результатів та розробка звіту 

    Результати етапу:
    Задокументований звіт, що містить виявлені вразливості, результати та докази перевірки актуальності вразливостей, а також рекомендації щодо управління ризиками, що пов’язані з виявленими вразливостями.

  • Демонстрація та обговорення результатів 

    Результат етапу:
    Задокументований звіт, що містить виявлені вразливості, результати та докази перевірки актуальності уразливостей, а також рекомендації щодо управління ризиками, що пов’язані з виявленими вразливостями.

Результати, які ви отримаєте, замовивши послугу пентесту: 

    Узагальнена інформація про поточний рівень захищеності ІТ-систем.
    Список виявлених сервісів і компонентів.
    Перелік виявлених та оцінених уразливостей (рівень ризику) ІТ-систем.
    Перевірка можливості експлуатації вразливих робочих додатків.
    Рекомендації для усунення виявлених уразливостей.
    Розуміння шляхів та пріоритетів для покращення безпеки додатку.

 Типи тестування 

  • Тестування моделює дії зловмисника, який має доступ до внутрішньої мережі компанії, і дозволяє виявити, наскільки потенційний зловмисник може нашкодити ІТ інфраструктурі.

    ● Збір усієї інформації про область дії тестування, використовуючи методи OSINT (Open Source Intelligence)
    ● Використання автоматизованих систем збору інформації, сканерів, інвазійних методів розвідки
    ● Імітація діяльності порушника інструментами експуатації вразливостей (експлойти), техніки здійснення атак та інші дії
    ● Підвищення привілеїв, виявлення можливості розширення поверхні атаки, отримання доступу до даних інших користувачів, закріплення в системі
    ● Звіт, що містить безпосередню оцінку безпеки, оцінки ризиків та вразливостей, рекомендації щодо їх усунення

  • Тестування захищеності веб-додатків - це симуляція атаки нашими висококваліфікованими консультантами з питань безпеки.

    ● Мануальне тестування пов’язане з методологією OWASP
    ● Серія автоматизованих сканів уразливостей
    ● Негайне повідомлення про будь-які критичні вразливості
    ● Оцінка рівня ризику для вашої організації
    ● Детальний звіт, який ідентифікує та пояснює вразливості (оцінюється за порядком значимості)
    ● Список рекомендованих контрзаходів для усунення виявлених уразливостей

  • Тестування безпеки мобільних додатків являє собою детальний аналіз безпеки вашого застосування на базі телефона або планшета. Ми використовуємо ручне тестування досвідченими фахівцями в області безпеки, яке розкриває набагато більше проблем, ніж автоматичні тести.

    ● Аналіз мобільного додатка, використовуючи OWASP Mobile Top 10 у поєднанні з власними методологіями тестування
    ● Виявлення помилок коду, програмного забезпечення, конфігурацій служб, небезпечних налаштувань та недоліків операційної системи
    ● Підсумовування результатів тестування та звіт

  • Тестування на проникнення бездротових мереж проводиться з метою виявлення вразливостей у поточній архітектурі бездротового сегмента інформаційної системи й окремих компонентів цієї архітектури; дозволяє виявити вразливості, доступні для використання в бездротових мережах, системах, хостах і мережевих пристроях, перш ніж хакери зможуть їх виявити.

    ● Розвідка бездротових мереж замовника
    ● Детальне вивчення характеристик і особливостей
    ● Проведення атак на автентифікацію та авторизацію в мережах
    ● Проведення атак на апаратне забезпечення мереж
    ● Проведення атак на клієнтів мереж

  • Тестування на проникнення соціальним каналом призначене для імітації нападів, які соціальні інженери використовують, щоб нашкодити вашій компанії. Ми використовуємо цілий ряд способів для включення всіх методів телефонного зв’язку, взаємодії в Інтернеті та на місці.

    ● Ретельне тестування на периметрі мережі Інтернет у режимі реального часу та на місці
    ● Детальні рекомендації щодо звітності та пом’якшення
    ● Конфіденційне роз’яснення, включаючи методи, джерела та покрокові атаки, що дозволяють вашій компанії знати, що ви робите правильно, а де потрібні вдосконалення
    ● Навчання здійснюється на місці або на основі запиту замовника

  • Тестування на стійкість до DDoS - перевірка здатності інформаційних систем протидіяти атакам, спрямованим на порушення доступності інформації. У рамках тестування нашою командою розгортається мережа з віртуальних серверів (Botnet), розгорнутих у різних частинах світу. Керування мережею та запуск симуляції атаки здійснюється за допомогою технології C&C.

Made with