Внимание! Русскоязычная версия сайта предназначена для партнёров из Казахстана, Узбекистана, Грузии, Азербайджана, Киргизии. С компаниями из рф мы не сотрудничаем!

Тестирование защищенности (Pentest)

Общие сведения о тестировании защищенности 

Тест на проникновение предотвращает экономические и репутационные потери путем проверки или построения эффективной информационной защиты компании.

В ходе тестирования выполняется обнаружение и проверка уязвимостей в системе, которые могли возникнуть из-за программных и технических ошибок, неправильных настроек, операционных недостатков и т.д. Также тестирование позволяет наглядно продемонстрировать актуальность выявленных уязвимостей и значимость потенциального ущерба компании-заказчику.

Этапы теста на проникновение 

  • Инициализация 

    Результаты этапа:
    ● Сформированная и утвержденная рабочая группа
    ● Определены и утверждены область действия и параметры тестирования, возможные риски и ограничения, план-график проведения работ, регламент коммуникаций

  • Сбор данных с открытых источников информации (пассивный сбор информации) 

    Результаты этапа:
    Выполнено не интерактивное исследование подлежащей тестированию инфраструктуры. Из открытых источников собрана и систематизирована информация об этой инфраструктуре. Выполнена подготовка к этапу активного сбора информации.

  • Активный сбор информации 

    Инструментальный анализ защищенности внешнего периметра по диапазону IP-адресов:
    ● Обнаружение ресурсов
    ● Обнаружение уязвимостей
    ● Анализ уязвимостей
    ● Осуществление доступа (проверка уязвимостей)

  • Анализ результатов и разработка отчета 

    Результаты этапа:
    Задокументированный отчет, содержащий выявленные уязвимости, результаты и доказательства проверки актуальности уязвимостей, а также рекомендации по управлению рисками, связанные с выявленными уязвимостями.

  • Демонстрация и обсуждение результатов 

    Результат этапа:
    Задокументированный отчет, содержащий обнаруженные уязвимости, результаты и доказательства проверки актуальности уязвимостей, а также рекомендации по управлению рисками, связанные с выявленными уязвимостями.

Результаты, которые вы получите, заказав услугу пентеста: 

    Обобщенная информация о текущем уровне защищенности ИТ-систем.
    Список обнаруженных сервисов и компонентов.
    Перечень обнаруженных и оцененных уязвимостей (уровень риска) ИТ-систем.
    Проверка возможности эксплуатации уязвимых рабочих приложений.
    Рекомендации по устранению выявленных уязвимостей.
    Понимание путей и приоритетов для повышения безопасности приложения.

 Типы тестирования 

  • Тестирование на проникновение извне и изнутри

    Тестирование моделирует действия злоумышленника, имеющего доступ к внутренней сети компании, и позволяет выявить, насколько потенциальный злоумышленник может навредить ИТ-инфраструктуре.

    ● Сбор всей информации об области действия тестирования, используя методы OSINT (Open Source Intelligence)
    ● Использование автоматизированных систем сбора информации, сканеров, инвазионных методов разведки
    ● Имитация деятельности нарушителя инструментами экспуатации уязвимостей (эксплойты), техники осуществления атак и другие действия
    ● Повышение привилегий, выявление возможности расширения поверхности атаки, получение доступа к данным других пользователей, закрепление в системе
    ● Отчет, содержащий непосредственную оценку безопасности, оценки рисков и уязвимостей, рекомендации по их устранению

  • Тестирование защищенности веб-приложений

    Тестирование защищенности веб-приложений – это симуляция атаки нашими высококвалифицированными консультантами по безопасности.

    ● Мануальное тестирование связано с методологией OWASP
    ● Серия автоматизированных сканов уязвимостей
    ● Немедленное сообщение о любых критических уязвимостях
    ● Оценка уровня риска для вашей организации
    ● Подробный отчет, идентифицирующий и объясняющий уязвимости (оценивается по порядку значимости)
    ● Список рекомендованных контрмер для устранения обнаруженных уязвимостей

  • Тестирование защищенности мобильных приложений

    Тестирование безопасности мобильных приложений представляет собой подробный анализ безопасности вашего приложения на базе телефона или планшета. Мы используем ручное тестирование опытными специалистами в области безопасности, которое раскрывает гораздо больше проблем, чем автоматические тесты.

    ● Анализ мобильного приложения, используя OWASP Mobile Top 10 в сочетании с собственными методологиями тестирования
    ● Обнаружение ошибок кода, программного обеспечения, конфигураций служб, опасных настроек и недостатков операционной системы
    ● Подведение результатов тестирования и отчет

  • Тестирование защищенности Wi-Fi

    Тестирование по проникновению беспроводных сетей проводится с целью выявления уязвимостей в текущей архитектуре беспроводного сегмента информационной системы и отдельных компонентов этой архитектуры; позволяет обнаружить уязвимости, доступные для использования в беспроводных сетях, системах, хостах и сетевых устройствах, прежде чем хакеры смогут их обнаружить.

    ● Разведка беспроводных сетей заказчика
    ● Детальное изучение характеристик и особенностей
    ● Проведение атак на аутентификацию и авторизацию в сетях
    ● Проведение атак на аппаратное обеспечение сетей
    ● Проведение атак на клиентов сетей

  • Тестирование социальной инженерией

    Тестирование на проникновение по социальному каналу предназначено для имитации нападений, которые социальные инженеры используют, чтобы навредить вашей компании. Мы используем целый ряд способов для включения всех методов телефонной связи, взаимодействия в Интернете и на месте.

    ● Тщательное тестирование на периметре сети Интернет в режиме реального времени и на месте
    ● Подробные рекомендации по отчетности и смягчению
    ● Конфиденциальное разъяснение, включая методы, источники и пошаговые атаки, позволяющие вашей компании знать, что вы делаете правильно, а где нужны усовершенствования
    ● Обучение осуществляется на месте или на основе запроса заказчика

  • Тестирование на устойчивость к DDOS-атакам

    Тестирование на устойчивость к DDoS – проверка способности информационных систем противодействовать атакам, направленным на нарушение доступности информации. В рамках тестирования нашей командой разворачивается сеть с виртуальных серверов (Botnet), развернутых в разных частях мира. Управление сетью и запуск симуляции атаки осуществляется с помощью технологии C&C.

Команда экспертов информационной безопасности компании IТ Специалист с опытом работы в отрасли более 10 лет. Основная наша специализация – проведение аудитов, проектирование, внедрение и поддержка средств информационной безопасности.

Позвонить

+38 (044) 390 81 90

Написать

moc.icpteg%40icpteg

Приехать на кофе

Бизнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3,Украина, Киев, 03124

Команда экспертов информационной безопасности компании IТ Специалист с опытом работы в отрасли более 10 лет. Основная наша специализация – проведение аудитов, проектирование, внедрение и поддержка средств информационной безопасности.

Позвонить

+38 (044) 390 81 90

Написать

moc.icpteg%40icpteg

Приехать на кофе

Бизнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3,Украина, Киев, 03124