Оставьте свои контакты и мы свяжемся с вами в ближайшее время
В течение 15 минут наш менеджер отправит Вам подробную информацию
Пентест. Тестирование на проникновение
Суть пентестинга заключается в моделировании и выполнении действий потенциального злоумышленника. Перед началом тестирования на проникновение определяются цели взлома и модель нарушителя, согласно которой действуют наши специалисты.
Оставьте свои контакты и данные для расчета - мы пришлем стоимость в ближайшее время.
В течение 15 минут наш менеджер отправит Вам подробную информацию
Оставьте свои контакты и мы свяжемся с вами в ближайшее время
В течение 15 минут наш менеджер отправит Вам подробную информацию
Для чего нужно проводить пентест?
-
Оценить реальный уровень защищенности ресурсов корпоративной сетиНаличие уязвимостей в системе может привести к остановке бизнес-процессов компании и утечке конфиденциальной информации, что в свою очередь грозит компании финансовыми и репутационными потерями. -
Определить какие средства защиты информации необходимо внедрить для повышения уровня информационной безопасностиТестирование на проникновение показывает слабые места в системах информационной безопасности. По результатам пентеста даются детальные рекомендации по устранению уязвимостей и повышению уровня ИБ -
Соответствие требованиям регуляторовВ соответствии с постановлением ЦБ России банки и финансовые организации обязаны ежегодно проводить процедуру тестирования на проникновение. Для других организаций эта мера носит рекомендательный характер.
Кто проводит пентест?
Тестирование на проникновение проводят специалисты в сфере информационной безопасности, социальной инженерии и «белые» хакеры, использующие полученные знания для защиты компаний от своих коллег по другую сторону закона.
Для тестирования на проникновение требуется опыт в разных областях, поэтому зачастую этим занимается команда из нескольких профессионалов.
Чтобы уменьшить риск потери доступности сервисов и обеспечить полноту анализа поиск и эксплуатация уязвимостей проводится вручную с минимальным использованием автоматизированных сканеров.
Для тестирования на проникновение требуется опыт в разных областях, поэтому зачастую этим занимается команда из нескольких профессионалов.
Чтобы уменьшить риск потери доступности сервисов и обеспечить полноту анализа поиск и эксплуатация уязвимостей проводится вручную с минимальным использованием автоматизированных сканеров.
План работ по каждому сценарию
-
Сценарий «внешний злоумышленник»1) Сбор информации:
– определение IP-адресов компании,
– извлечение информации DNS с использованием инструментов исследования домена,
– поиск внутренних url на сайте компании с помощью специализированных средств,
- анализ почтового сервера,
- определение местоположения компании;
2) Определение векторов атаки;
3) Пентест:
– эксплуатация найденных уязвимостей,
– отправка электронных писем на адреса компании с различным содержанием,
– проникновение внутрь офиса для установки спецоборудования;
4) Составление отчёта. -
Сценарий «инсайдер»:1) Сбор информации:
– составление карты внутренней сети,
– перечисление узлов в сети (Enumeration);
2) Поиск уязвимостей:
– сканирование узлов сети,
– определение доступных сервисов;
3) Определение векторов атаки:
– получение прав локального администратора,
– установка спецоборудования,
– проведение MITM атаки;
4) Пентест:
– эксплуатация найденных уязвимостей,
– установка спецоборудования;
5) Составление отчёта
Что включает в себя пентест?
Penetration test включает в себя несколько этапов:
— Сбор информации об исследуемом объекте заказчика
— Поиск и анализ уязвимостей
— Выявление векторов атаки
— Security-тест
— Эксплуатация уязвимостей
— Реализация попытки проникновения с целью установки специального оборудования и использования инструментов сетевого хакинга
— Обработка полученных данных и формирование отчета.
— Сбор информации об исследуемом объекте заказчика
— Поиск и анализ уязвимостей
— Выявление векторов атаки
— Security-тест
— Эксплуатация уязвимостей
— Реализация попытки проникновения с целью установки специального оборудования и использования инструментов сетевого хакинга
— Обработка полученных данных и формирование отчета.
Тестирование на проникновение проводится по методологии EC-Council
Отчёт о тестировании на проникновение содержит:
-
Перечень выявленных уязвимостей с оценкой - Описание применённых техник с результатами проверки
- Резюме для руководителя - к чему может привести эксплуатация обнаруженных уязвимостей
- Техническое описание способов эксплуатации уязвимостей со скриншотами, подтверждающими получение доступа к атакуемым системам
- Перечень программно-аппаратных средств и организационных мер, которые мы рекомендуем применить для устранения уязвимостей
Используемый инструментарий:
- Перечень выявленных уязвимостей с оценкой
- Коммерческий сканер информационной безопасности Nessus
- Библиотека Google Hacking Database
- Сканер информационной безопасности OpenVAS
Срок: от 3-х недель
Почему стоит обратиться к нам?
— В компании работает команда высококлассных специалистов.
— Разработка индивидуальный плана аудита исходя из потребностей заказчика.
— Мы используем международные практики и методологии исследования ИБ.
— Широкий набор инструментария исследования системы.
— Срок: от 3-х недель
— Разработка индивидуальный плана аудита исходя из потребностей заказчика.
— Мы используем международные практики и методологии исследования ИБ.
— Широкий набор инструментария исследования системы.
— Срок: от 3-х недель
Моделированию атак позволят гарантировано улучшить существующие подходы к защите бизнес-процессов и минимизировать возможный финансовый и репутационный ущерб от кибератак.