Оставьте свои контакты и мы свяжемся с вами в ближайшее время
В течение 15 минут наш менеджер отправит Вам подробную информацию
Пентест. Тестирование на проникновение
Суть пентестинга заключается в моделировании и выполнении действий потенциального злоумышленника. Перед началом тестирования на проникновение определяются цели взлома и модель нарушителя, согласно которой действуют наши специалисты.
Оставьте свои контакты и данные для расчета - мы пришлем стоимость в ближайшее время.
В течение 15 минут наш менеджер отправит Вам подробную информацию
Оставьте свои контакты и мы свяжемся с вами в ближайшее время
В течение 15 минут наш менеджер отправит Вам подробную информацию
Пентест (penetration test, тестирование на проникновение) представляет собой методологию исследования информационных сетей и компьютерных систем. При помощи установленных международных практик проведения penetration test возможно смоделировать поведение злоумышленника, проанализировать защищенность и выявить уязвимости системы. По результатам пентестинга формируется отчет с планом выполненных работ и комплексом рекомендаций компании-аудитора. Неукоснительное выполнение пунктов рекомендаций позволит устранить выявленные слабости в защите.
Когда вам нужен pentest?
Всё плохо
Вам необходимо внедрить или обновить систему Информационной безопасности в вашей компании и устранить уязвимости могут использовать хакеры для атаки
Всё хорошо
Вас ни разу не взламывали, но вы не знаете новые механики взломщиков, решения по защите и уязвимости вашей информационной инфраструктуры, которые возможно эксплуатировать
В соответствиями с постановлением ЦБ России банки и финансовые организации обязаны проложить процедуру аудита. Для других организация эта мера носит рекомендательный характер. Стоит отметить, что наличие уязвимостей в системе может привести к остановке бизнес-процессов компании и утечке конфиденциальной информации, что в свою очередь грозит компании финансовыми и репутационным потерям.
План работ по каждому сценарию
Сценарий «внешний злоумышленник»
1) Сбор информации: – определение IP-адресов компании, – извлечение информации DNS с использованием инструментов исследования домена, – поиск внутренних url на сайте компании с помощью специализированных средств, - анализ почтового сервера, - определение местоположения компании; 2) Определение векторов атаки; 3) Пентест: – эксплуатация найденных уязвимостей, – отправка электронных писем на адреса компании с различным содержанием, – проникновение внутрь офиса для установки спецоборудования; 4) Составление отчёта.
Сценарий «инсайдер»:
1) Сбор информации: – составление карты внутренней сети, – перечисление узлов в сети (Enumeration); 2) Поиск уязвимостей: – сканирование узлов сети, – определение доступных сервисов; 3) Определение векторов атаки: – получение прав локального администратора, – установка спецоборудования, – проведение MITM атаки; 4) Пентест: – эксплуатация найденных уязвимостей, – установка спецоборудования; 5) Составление отчёта
Кто проводит пентест?
Тестирование на проникновение проводят специалисты в сфере информационной безопасности, эксперты, обладающие знаниями в области социальной инженерии, «белые» хакеры, использующие полученные знания для защиты компаний от своих коллег по другую сторону закона. Для проведения аудита от пентестера требуется опыт в разных областях, поэтому зачастую этим занимается команда из нескольких профессионалов.
Что включает в себя пентест?
Penetration test включает в себя несколько этапов: — Сбор информации об исследуемом объекте заказчика — Поиск и анализ уязвимостей — Выявление векторов атаки — Security-тест — Эксплуатация уязвимостей — Реализация попытки проникновения с целью установки специального оборудования и использования инструментов сетевого хакинга — Обработка полученных данных и формирование отчета.
Тестирование на проникновение проводится по методологии EC-Council
Отчёт о тестировании на проникновение содержит:
Перечень выявленных уязвимостей с оценкой
Описание применённых техник с результатами проверки
Резюме для руководителя - к чему может привести эксплуатация обнаруженных уязвимостей
Техническое описание способов эксплуатации уязвимостей со скриншотами, подтверждающими получение доступа к атакуемым системам
Перечень программно-аппаратных средств и организационных мер, которые мы рекомендуем применить для устранения уязвимостей
Коммерческий сканер информационной безопасности Nessus
Библиотека Google Hacking Database
Сканер информационной безопасности OpenVAS
Срок: от 3-х недель
Почему стоит обратиться к нам?
— В компании работает команда высококлассных специалистов. — Разработка индивидуальный плана аудита исходя из потребностей заказчика. — Мы используем международные практики и методологии исследования ИБ. — Широкий набор инструментария исследования системы. — Срок: от 3-х недель
Моделированию атак позволят гарантировано улучшить существующие подходы к защите бизнес-процессов и минимизировать возможный финансовый и репутационный ущерб от кибератак.