Оставьте свои контакты и мы свяжемся с вами в ближайшее время
В течение 15 минут наш менеджер отправит Вам подробную информацию
Пентест. Тестирование на проникновение

Суть пентестинга заключается в моделировании и выполнении действий потенциального злоумышленника. Перед началом тестирования на проникновение определяются цели взлома и модель нарушителя, согласно которой действуют наши специалисты.
Оставьте свои контакты и данные для расчета - мы пришлем стоимость в ближайшее время.
Количество сотрудников в Вашей компании
Выберите формат
В течение 15 минут наш менеджер отправит Вам подробную информацию
Оставьте свои контакты и мы свяжемся с вами в ближайшее время
В течение 15 минут наш менеджер отправит Вам подробную информацию
Пентест (penetration test, тестирование на проникновение) представляет собой методологию исследования
информационных сетей и компьютерных систем.
При помощи установленных международных практик проведения penetration test возможно смоделировать поведение злоумышленника, проанализировать защищенность и выявить уязвимости системы.
По результатам пентестинга формируется отчет с планом выполненных работ и комплексом рекомендаций компании-аудитора. Неукоснительное выполнение пунктов рекомендаций позволит устранить выявленные слабости в защите.

Когда вам нужен pentest?

Всё плохо
Вам необходимо внедрить или обновить систему Информационной безопасности в вашей компании и устранить уязвимости могут использовать хакеры для атаки
Всё хорошо
Вас ни разу не взламывали, но вы не знаете новые механики взломщиков, решения по защите и уязвимости вашей информационной инфраструктуры, которые возможно эксплуатировать
Требование регулятора

Для чего нужно проводить пентест?

В соответствиями с постановлением ЦБ России банки и финансовые организации обязаны проложить процедуру аудита. Для других организация эта мера носит рекомендательный характер.
Стоит отметить, что наличие уязвимостей в системе может привести к остановке бизнес-процессов компании и утечке конфиденциальной информации, что в свою очередь грозит компании финансовыми и репутационным потерям.

План работ по каждому сценарию

Сценарий «внешний злоумышленник»
1) Сбор информации:
– определение IP-адресов компании,
– извлечение информации DNS с использованием инструментов исследования домена,
– поиск внутренних url на сайте компании с помощью специализированных средств,
- анализ почтового сервера,
- определение местоположения компании;
2) Определение векторов атаки;
3) Пентест:
– эксплуатация найденных уязвимостей,
– отправка электронных писем на адреса компании с различным содержанием,
– проникновение внутрь офиса для установки спецоборудования;
4) Составление отчёта.
Сценарий «инсайдер»:
1) Сбор информации:
– составление карты внутренней сети,
– перечисление узлов в сети (Enumeration);
2) Поиск уязвимостей:
– сканирование узлов сети,
– определение доступных сервисов;
3) Определение векторов атаки:
– получение прав локального администратора,
– установка спецоборудования,
– проведение MITM атаки;
4) Пентест:
– эксплуатация найденных уязвимостей,
– установка спецоборудования;
5) Составление отчёта

Кто проводит пентест?

Тестирование на проникновение проводят специалисты в сфере информационной безопасности, эксперты, обладающие знаниями в области социальной инженерии, «‎белые»‎ хакеры, использующие полученные знания для защиты компаний от своих коллег по другую сторону закона.
Для проведения аудита от пентестера требуется опыт в разных областях, поэтому зачастую этим занимается команда из нескольких профессионалов.

Что включает в себя пентест?

Penetration test включает в себя несколько этапов:
— Сбор информации об исследуемом объекте заказчика
— Поиск и анализ уязвимостей
— Выявление векторов атаки
— Security-тест
— Эксплуатация уязвимостей
— Реализация попытки проникновения с целью установки специального оборудования и использования инструментов сетевого хакинга
— Обработка полученных данных и формирование отчета.
Тестирование на проникновение проводится по методологии EC-Council

Отчёт о тестировании на проникновение содержит:

Перечень выявленных уязвимостей с оценкой
Описание применённых техник с результатами проверки
Резюме для руководителя - к чему может привести эксплуатация обнаруженных уязвимостей
Техническое описание способов эксплуатации уязвимостей со скриншотами, подтверждающими получение доступа к атакуемым системам
Перечень программно-аппаратных средств и организационных мер, которые мы рекомендуем применить для устранения уязвимостей

Используемый инструментарий:

Перечень выявленных уязвимостей с оценкой
Коммерческий сканер информационной безопасности Nessus
Библиотека Google Hacking Database
Сканер информационной безопасности OpenVAS
Срок: от 3-х недель

Почему стоит обратиться к нам?

— В компании работает команда высококлассных специалистов.
— Разработка индивидуальный плана аудита исходя из потребностей заказчика.
— Мы используем международные практики и методологии исследования ИБ.
— Широкий набор инструментария исследования системы.
— Срок: от 3-х недель

Моделированию атак позволят гарантировано улучшить существующие подходы к защите бизнес-процессов и минимизировать возможный финансовый и репутационный ущерб от кибератак.