Внимание! Русскоязычная версия сайта предназначена для партнёров из Казахстана, Узбекистана, Грузии, Азербайджана и Кыргызстана.В соответствии с законодательством Украины мы не сотрудничаем с компаниями, в составе которых бенефициары — граждане рф или республики беларусь, владеющие более 10% уставного капитала, а также с компаниями, зарегистрированными в рф или республике беларусь.

Тестирование защищенности (Pentest)

Общие сведения о тестировании защищенности 

Тест на проникновение предотвращает экономические и репутационные потери путем проверки или построения эффективной информационной защиты компании.

В ходе тестирования выполняется обнаружение и проверка уязвимостей в системе, которые могли возникнуть из-за программных и технических ошибок, неправильных настроек, операционных недостатков и т.д. Также тестирование позволяет наглядно продемонстрировать актуальность выявленных уязвимостей и значимость потенциального ущерба компании-заказчику.

Этапы теста на проникновение 

  • Инициализация 

    Результаты этапа:
    ● Сформированная и утвержденная рабочая группа
    ● Определены и утверждены область действия и параметры тестирования, возможные риски и ограничения, план-график проведения работ, регламент коммуникаций

  • Сбор данных с открытых источников информации (пассивный сбор информации) 

    Результаты этапа:
    Выполнено не интерактивное исследование подлежащей тестированию инфраструктуры. Из открытых источников собрана и систематизирована информация об этой инфраструктуре. Выполнена подготовка к этапу активного сбора информации.

  • Активный сбор информации 

    Инструментальный анализ защищенности внешнего периметра по диапазону IP-адресов:
    ● Обнаружение ресурсов
    ● Обнаружение уязвимостей
    ● Анализ уязвимостей
    ● Осуществление доступа (проверка уязвимостей)

  • Анализ результатов и разработка отчета 

    Результаты этапа:
    Задокументированный отчет, содержащий выявленные уязвимости, результаты и доказательства проверки актуальности уязвимостей, а также рекомендации по управлению рисками, связанные с выявленными уязвимостями.

  • Демонстрация и обсуждение результатов 

    Результат этапа:
    Задокументированный отчет, содержащий обнаруженные уязвимости, результаты и доказательства проверки актуальности уязвимостей, а также рекомендации по управлению рисками, связанные с выявленными уязвимостями.

Результаты, которые вы получите, заказав услугу пентеста: 

    Обобщенная информация о текущем уровне защищенности ИТ-систем.
    Список обнаруженных сервисов и компонентов.
    Перечень обнаруженных и оцененных уязвимостей (уровень риска) ИТ-систем.
    Проверка возможности эксплуатации уязвимых рабочих приложений.
    Рекомендации по устранению выявленных уязвимостей.
    Понимание путей и приоритетов для повышения безопасности приложения.

 Типы тестирования 

  • Тестирование моделирует действия злоумышленника, имеющего доступ к внутренней сети компании, и позволяет выявить, насколько потенциальный злоумышленник может навредить ИТ-инфраструктуре.

    ● Сбор всей информации об области действия тестирования, используя методы OSINT (Open Source Intelligence)
    ● Использование автоматизированных систем сбора информации, сканеров, инвазионных методов разведки
    ● Имитация деятельности нарушителя инструментами экспуатации уязвимостей (эксплойты), техники осуществления атак и другие действия
    ● Повышение привилегий, выявление возможности расширения поверхности атаки, получение доступа к данным других пользователей, закрепление в системе
    ● Отчет, содержащий непосредственную оценку безопасности, оценки рисков и уязвимостей, рекомендации по их устранению

  • Тестирование защищенности веб-приложений – это симуляция атаки нашими высококвалифицированными консультантами по безопасности.

    ● Мануальное тестирование связано с методологией OWASP
    ● Серия автоматизированных сканов уязвимостей
    ● Немедленное сообщение о любых критических уязвимостях
    ● Оценка уровня риска для вашей организации
    ● Подробный отчет, идентифицирующий и объясняющий уязвимости (оценивается по порядку значимости)
    ● Список рекомендованных контрмер для устранения обнаруженных уязвимостей

  • Тестирование безопасности мобильных приложений представляет собой подробный анализ безопасности вашего приложения на базе телефона или планшета. Мы используем ручное тестирование опытными специалистами в области безопасности, которое раскрывает гораздо больше проблем, чем автоматические тесты.

    ● Анализ мобильного приложения, используя OWASP Mobile Top 10 в сочетании с собственными методологиями тестирования
    ● Обнаружение ошибок кода, программного обеспечения, конфигураций служб, опасных настроек и недостатков операционной системы
    ● Подведение результатов тестирования и отчет

  • Тестирование по проникновению беспроводных сетей проводится с целью выявления уязвимостей в текущей архитектуре беспроводного сегмента информационной системы и отдельных компонентов этой архитектуры; позволяет обнаружить уязвимости, доступные для использования в беспроводных сетях, системах, хостах и сетевых устройствах, прежде чем хакеры смогут их обнаружить.

    ● Разведка беспроводных сетей заказчика
    ● Детальное изучение характеристик и особенностей
    ● Проведение атак на аутентификацию и авторизацию в сетях
    ● Проведение атак на аппаратное обеспечение сетей
    ● Проведение атак на клиентов сетей

  • Тестирование на проникновение по социальному каналу предназначено для имитации нападений, которые социальные инженеры используют, чтобы навредить вашей компании. Мы используем целый ряд способов для включения всех методов телефонной связи, взаимодействия в Интернете и на месте.

    ● Тщательное тестирование на периметре сети Интернет в режиме реального времени и на месте
    ● Подробные рекомендации по отчетности и смягчению
    ● Конфиденциальное разъяснение, включая методы, источники и пошаговые атаки, позволяющие вашей компании знать, что вы делаете правильно, а где нужны усовершенствования
    ● Обучение осуществляется на месте или на основе запроса заказчика

  • Тестирование на устойчивость к DDoS – проверка способности информационных систем противодействовать атакам, направленным на нарушение доступности информации. В рамках тестирования нашей командой разворачивается сеть с виртуальных серверов (Botnet), развернутых в разных частях мира. Управление сетью и запуск симуляции атаки осуществляется с помощью технологии C&C.

Made with