Тестирование на проникновение

Pentest

Тестирование на проникновение – эмулирование действий потенциального злоумышленника. Перед проведением непосредственного анализа защищенности моделируется нарушитель, в частности, определяются его квалификация, глубина знаний об исследуемой системе и наличие ресурсов, уровни исследования и векторы атаки. Выделяются три основных типа: так называемые black box (черный ящик), grey box (серый ящик) и white box (белый ящик).

В рамках внешнего тестирования на проникновение эмулируются действия внешнего нарушителя, который не имеет доступа к системам и стремится их скомпрометировать. По его результатам оценивается защищенность по отношению к атакам из внешнего мира.

В рамках внутреннего тестирования на проникновение в зависимости от цели исследования можно смоделировать большое число различных сценариев (например, действия нелояльного сотрудника и злонамеренные действия подрядчика). Как правило, эмулируются попытки получения доступа к защищаемым данным (например, данным платежных карт), и/или попытки повышения уровня привилегий до администратора, а также выявление и оценка возможности эксплуатации уязвимостей.

Наиболее частые варианты применения

Обязательное проведение для соответствия требованиям регуляторов;
Скрининг текущего состояния ИБ – для составления плана необходимых изменений, даёт возможность оценить их последовательность, сроки и стоимость;
Подтверждение текущего состояния ИБ для клиентов или партнеров, чью лояльность это поможет поддержать;
Адресное решение задач, связанных с улучшением ИБ – например, тестирование систем после внедрения изменений;
Скрининг или адресное решение задач в рамках расследования инцидентов ИБ (подтверждение гипотез о причинах произошедших инцидентов).

Почему мы

В нашей команде квалифицированные эксперты, обладающие многолетним опытом проведения тестирований на проникновения разного масштаба и сложности. При проведении анализа защищенности мы используем ведущие отраслевые методологии и стандарты (например, OSSTMM, OWASP, PTES), а также применяем широкий спектр технических средств.

Анкета для бюджетной оценки

вы можете существенно упростить запрос КП, если заполните анкету

Скачать опросный лист

КАК СТРОИТСЯ ПРОЕКТ

Состав и продолжительность проекта существенным образом варьируется в зависимости от выбранных методики, уровнях и глубины исследования, а также от целей проведения тестирования на проникновение (например, показать возможность несанкционированного повышения прав доступа/доступа к конфиденциальным данным или же обнаружение максимально возможного количества уязвимостей, которые могут привести к компрометации данных или нарушения штатного функционирования систем).

1

Разрабатываем модель нарушителя, определяем уровень исследования, а также векторы атаки (сценарии тестирования на проникновение).

2

Проводим тестирование (эмулируем действия потенциального нарушителя). При обнаружении уязвимостей предварительно согласуем возможность их эксплуатации для того, чтобы избежать возможных негативных последствий на работоспособность технологических и бизнес-процессов.

3

При необходимости проводим тестирование с применением методов социальной инженерии (например, эмулируем фишинговые атаки).

4

Подготавливаем отчетные документы с детальным описанием результатов тестирования, которые, в частности, содержат рекомендации по устранению выявленных уязвимостей и повышению уровня защищенности в целом.

Важно знать

Периодическое тестирование на проникновение обязательно для соответствия некоторым стандартам, в частности: