Пентест (Pentest) — тестирование на проникновение информационной системы

Не ждите, когда злоумышленники воспользуются уязвимостями предприятия! Будьте на шаг впереди!

Пентест (penetration test, пенетрейшн тест) – процедура анализа защищенности информационных систем путем поиска в них уязвимостей и их эксплуатации. В процессе пентеста анализируются различные внутренние и внешние информационные системы.

Пентест проводится, когда необходимо:

• выявить «слабые» места инфраструктуры (оценить, что может предпринять хакер для проникновения в Вашу систему);
• оценить эффективность системы безопасности и получить рекомендации по устранению уязвимостей (быстрое повышение реального уровня защиты);
• проверить качество работы исполнителей по направлению ИБ.

Наши преимущества

• 150 ИТ/ИБ-специалистов в штате.
• Выделено отдельное направление по работам с промышленным (20 специалистов) и банковским (7 специалистов) сектором.
• 10 лет практического опыта в информационной безопасности.
• Собственные методики работ.
• Более 30 крупных проектов в год.
• Свыше 20 объектов в одном проекте, распределенных между собой на расстояние до 3000 км.
• Партнерство с российскими и зарубежными вендорами.
• Необходимые лицензии ФСТЭК и ФСБ.
• Гибкая система оплаты, в т.ч. оплата по результатам работ.

Для каких целей необходимо проводить пентест:

• поиск уязвимостей и определения способов их эксплуатации злоумышленниками;
• проверка способов получения доступа к целевым системам (в т.ч. к автоматизированным системам управления технологическими процессами (АСУ ТП), к автоматизированным банковским системам (АБС), к целевому интернет-ресурсу, к среде разработки, к ресурсам, предоставляемым с помощью разработанного приложения и т.п.);
• анализ эффективности принятых мер по информационной безопасности (ИБ);
• оценка уровня защищенности целевой системы;
• выявление уязвимостей ИБ и способы устранения;
• получение рекомендаций по повышению уровня защищенности целевой системы и снижению рисков возникновения кибер-инцидентов, в т.ч.:
  • несанкционированного изменения производственного процесса;
  • отказа в обслуживании компонентов автоматизированной банковской системы;
  • остановки критичных сервисов интернет-магазина;
  • обеспечение безопасного процесса разработки.
• быстрые способы повышения уровня ИБ после инцидента;
• обеспечение защиты чувствительных данных от утечек (рецептуры, ноу-хау, персональные данные (ПДн) клиентов и контрагентов, коммерческая тайна, исходные коды и т.п.);
• обеспечение контроля над ИТ-инфраструктурой;
• проверка качества работы подрядчиков по направлению ИБ.

Ключевое преимущество пентеста

Многие останавливаются на этапе «бумажной безопасности», когда формируются все необходимые документы по информационной безопасности, не подозревая о фактически существующих проблемах в безопасности предприятия и о тех последствиях, которые возникнут при использовании их злоумышленниками.

Проведение пентеста показывает реальное состояние защищенности, которое, к сожалению, в 99% случаев отличается от описанного в документах. Вот почему мы рекомендуем не ограничиваться проведением мероприятий по информационной безопасности, требуемых по законодательству, а обязательно проверить систему в «боевом режиме», заказав проведение пентеста.



Penetration test – варианты проведения

Анализ внутренней инфраструктуры: поиск уязвимостей в сетевых сервисах на серверах и АРМ во внутренней сети.

Анализ внешних ресурсов: поиск уязвимостей веб-сайтов, серверов электронной почты и иных сервисов, доступных из сети Интернет.

Анализ беспроводных сетей.

Анализ внутренней сети на предмет устойчивости к атакам на канальном уровне по протоколам (STP, VTP, CDP, ARP, DTP).

Анализ сетевого трафика на предмет содержания критически важной информации, передаваемой в открытом виде (логины, пароли, конфиденциальные документы).

Стресс-тестирование. Один из видов анализа защищенности, этап работ, использующийся для выявления степени стабильности функционирования инфраструктуры при повышении нагрузки на нее, превышающей расчётную или среднестатистическую нагрузку.

Кроме того, возможно проведение анализа методами социальной инженерии (используется невнимательность сотрудников, излишняя доверчивость и отсутствие базовых знаний в области ИБ): имитация злоумышленных действий, выполняющихся в адрес персонала Заказчика с использованием корпоративной почты (фишинг-ссылки, рассылка зараженного документа и т.д.).

Анализ защищенности проводится с использованием следующих методов

Пентест - типовые этапы проведения

Сбор исходных данных: обследование информационных ресурсов и инфраструктуры, доступность компонентов системы, определение доступных для нарушителя сервисов.

Идентификация и анализ уязвимостей: определение первоначальных возможностей нарушителя, начальных точек атаки на систему - фронтенд, бэкенд, базы данных, ОС и т.д.

Эксплуатация выявленных уязвимостей.

Отчет о проведенных работах + рекомендации по устранению уязвимостей.

Как проходит penetration test?

1. Совместно определим задачи с точки зрения злоумышленника (получение административных прав в домене, получение доступа к базе данных, вмешательство в технологический процесс, установка вредоносных программ, остановка работы определенных сервисов и т.д.).
2. Согласуем детали работ, в т.ч. границы оказания услуги.
3. Проверим возможные способы, которыми злоумышленник может достичь цели.

Безопасность проведения

Пентест – очень деликатная услуга. Поэтому перед началом работ мы предварительно заключаем «Соглашение о конфиденциальности», направляем опросный лист для оценки стоимости услуги. Далее детально обговариваем границы проведения работ, чтобы при проведении пентеста не оказать влияния на ход бизнес-процессов, информационные ресурсы и инфраструктуру. Поэтому пентест возможно проводить даже на работающей системе. Наши специалисты никогда не эксплуатируют найденные уязвимости без согласования с Заказчиком.

При проведении работ на территории заказчика, Ваш представитель обеспечивает постоянное сопровождение нашего специалиста. При постановке задач, связанных с доступом к данным, охраняемым Федеральным законодательством наши специалисты остановятся за шаг до цели. Последнее действие будет производиться Вашим специалистом, уполномоченным на соответствующие действия. Целенаправленная работа с базами, содержащими данные, защищаемые Федеральным законодательством, не производится. В ходе выполнения по анализу защищенности мы осуществляем протоколирование проводимой работы, при необходимости, используем АРМ Заказчика.

Стоимость работ по проведению пентеста

Кому необходимо проводить тестирования на проникновение объектов информационной инфраструктуры

Если в Вашей системе есть уязвимости – значит, ими обязательно воспользуются злоумышленники!