Тестування захищеності (Pentest)

Загальні відомості про тестування захищеності 

Тест на проникнення запобігає економічним та репутаційним втратам шляхом перевірки або побудови ефективного інформаційного захисту компанії.
У ході тестування виконується виявлення та перевірка вразливостей у системі, які могли виникнути через програмні та технічні помилки, неправильні налаштування, операційні недоліки тощо. Також тестування дозволяє наочно продемонструвати актуальність виявлених уразливостей та значимість потенційного збитку для компанії-замовника.

Етапи тесту на проникнення 

  • Ініціалізація

    Результати етапу:
    ● Сформована та затверджена робоча група
    ● Визначені та затверджені область дії та параметри тестування, можливі ризики та обмеження, план-графік проведення робіт, регламент комунікацій

  • Збір даних із відкритих джерел інформації (пасивний збір інформації)

    Результати етапу:
    Виконано не інтерактивне дослідження інфраструктури, що підлягає тестуванню. З відкритих джерел зібрана та систематизована інформація щодо цієї інфраструктури. Виконана підготовка до етапу активного збору інформації.

  • Активний збір інформації 

    Інструментальний аналіз захищеності зовнішнього периметру по діапазону IP-адрес:
    ● Виявлення ресурсів
    ● Виявлення вразливостей
    ● Аналіз уразливостей
    ● Здійснення доступу (перевірка вразливостей)

  • Аналіз результатів та розробка звіту 

    Результати етапу:
    Задокументований звіт, що містить виявлені вразливості, результати та докази перевірки актуальності вразливостей, а також рекомендації щодо управління ризиками, що пов’язані з виявленими вразливостями.

  • Демонстрація та обговорення результатів 

    Результат етапу:
    Задокументований звіт, що містить виявлені вразливості, результати та докази перевірки актуальності уразливостей, а також рекомендації щодо управління ризиками, що пов’язані з виявленими вразливостями.

Результати, які ви отримаєте, замовивши послугу пентесту: 

    Узагальнена інформація про поточний рівень захищеності ІТ-систем.
    Список виявлених сервісів і компонентів.
    Перелік виявлених та оцінених уразливостей (рівень ризику) ІТ-систем.
    Перевірка можливості експлуатації вразливих робочих додатків.
    Рекомендації для усунення виявлених уразливостей.
    Розуміння шляхів та пріоритетів для покращення безпеки додатку.

 Типи тестування 

  • Тестування на проникнення ззовні та зсередини

    Тестування моделює дії зловмисника, який має доступ до внутрішньої мережі компанії, і дозволяє виявити, наскільки потенційний зловмисник може нашкодити ІТ інфраструктурі.

    ● Збір усієї інформації про область дії тестування, використовуючи методи OSINT (Open Source Intelligence)
    ● Використання автоматизованих систем збору інформації, сканерів, інвазійних методів розвідки
    ● Імітація діяльності порушника інструментами експуатації вразливостей (експлойти), техніки здійснення атак та інші дії
    ● Підвищення привілеїв, виявлення можливості розширення поверхні атаки, отримання доступу до даних інших користувачів, закріплення в системі
    ● Звіт, що містить безпосередню оцінку безпеки, оцінки ризиків та вразливостей, рекомендації щодо їх усунення

  • Тестування захищеності веб-додатків

    Тестування захищеності веб-додатків - це симуляція атаки нашими висококваліфікованими консультантами з питань безпеки.

    ● Мануальне тестування пов’язане з методологією OWASP
    ● Серія автоматизованих сканів уразливостей
    ● Негайне повідомлення про будь-які критичні вразливості
    ● Оцінка рівня ризику для вашої організації
    ● Детальний звіт, який ідентифікує та пояснює вразливості (оцінюється за порядком значимості)
    ● Список рекомендованих контрзаходів для усунення виявлених уразливостей

  • Тестування захищеності мобільних додатків

    Тестування безпеки мобільних додатків являє собою детальний аналіз безпеки вашого застосування на базі телефона або планшета. Ми використовуємо ручне тестування досвідченими фахівцями в області безпеки, яке розкриває набагато більше проблем, ніж автоматичні тести.

    ● Аналіз мобільного додатка, використовуючи OWASP Mobile Top 10 у поєднанні з власними методологіями тестування
    ● Виявлення помилок коду, програмного забезпечення, конфігурацій служб, небезпечних налаштувань та недоліків операційної системи
    ● Підсумовування результатів тестування та звіт

  • Тестування захищеності Wi-Fi

    Тестування на проникнення бездротових мереж проводиться з метою виявлення вразливостей у поточній архітектурі бездротового сегмента інформаційної системи й окремих компонентів цієї архітектури; дозволяє виявити вразливості, доступні для використання в бездротових мережах, системах, хостах і мережевих пристроях, перш ніж хакери зможуть їх виявити.

    ● Розвідка бездротових мереж замовника
    ● Детальне вивчення характеристик і особливостей
    ● Проведення атак на автентифікацію та авторизацію в мережах
    ● Проведення атак на апаратне забезпечення мереж
    ● Проведення атак на клієнтів мереж

  • Тестування соціальною інженерією

    Тестування на проникнення соціальним каналом призначене для імітації нападів, які соціальні інженери використовують, щоб нашкодити вашій компанії. Ми використовуємо цілий ряд способів для включення всіх методів телефонного зв’язку, взаємодії в Інтернеті та на місці.

    ● Ретельне тестування на периметрі мережі Інтернет у режимі реального часу та на місці
    ● Детальні рекомендації щодо звітності та пом’якшення
    ● Конфіденційне роз’яснення, включаючи методи, джерела та покрокові атаки, що дозволяють вашій компанії знати, що ви робите правильно, а де потрібні вдосконалення
    ● Навчання здійснюється на місці або на основі запиту замовника

  • Тестування на стійкість до DDOS-атак

    Тестування на стійкість до DDoS - перевірка здатності інформаційних систем протидіяти атакам, спрямованим на порушення доступності інформації. У рамках тестування нашою командою розгортається мережа з віртуальних серверів (Botnet), розгорнутих у різних частинах світу. Керування мережею та запуск симуляції атаки здійснюється за допомогою технології C&C.

Команда експертів інформаційної безпеки компанії IТ Спеціаліст з досвідом роботи в галузі понад 10 років. Основна наша спеціалізація - проведення аудитів, проектування, впровадження та підтримка засобів інформаційної безпеки.

Зателефонувати

+38 (044) 390 81 90

Написати 

moc.icpteg%40icpteg

Приїхати на каву

Бізнес-центр Sigma,
бульвар Вацлава Гавела, 6, корпус 3,
Україна, Київ, 03124

Команда експертів інформаційної безпеки компанії IТ Спеціаліст з досвідом роботи в галузі понад 10 років. Основна наша спеціалізація - проведення аудитів, проектування, впровадження та підтримка засобів інформаційної безпеки.

Зателефонувати

+38 (044) 390 81 90

Написати 

moc.icpteg%40icpteg

Приїхати на каву

Бізнес-центр Sigma,
бульвар Вацлава Гавела, 6, корпус 3,
Україна, Київ, 03124