Оставьте свои контакты и мы свяжемся с вами в ближайшее время
В течение 15 минут наш менеджер отправит Вам подробную информацию
Пентест. Тестирование на проникновение
Суть пентестинга заключается в моделировании и выполнении действий потенциального злоумышленника. Перед началом тестирования на проникновение определяются цели взлома и модель нарушителя, согласно которой действуют наши специалисты.
Оставьте свои контакты и данные для расчета - мы пришлем стоимость в ближайшее время.
В течение 15 минут наш менеджер отправит Вам подробную информацию
Оставьте свои контакты и мы свяжемся с вами в ближайшее время
В течение 15 минут наш менеджер отправит Вам подробную информацию
Пентест (penetration test, тестирование на проникновение) представляет собой методологию исследования
информационных сетей и компьютерных систем.
При помощи установленных международных практик проведения penetration test возможно смоделировать поведение злоумышленника, проанализировать защищенность и выявить уязвимости системы.
По результатам пентестинга формируется отчет с планом выполненных работ и комплексом рекомендаций компании-аудитора. Неукоснительное выполнение пунктов рекомендаций позволит устранить выявленные слабости в защите.
информационных сетей и компьютерных систем.
При помощи установленных международных практик проведения penetration test возможно смоделировать поведение злоумышленника, проанализировать защищенность и выявить уязвимости системы.
По результатам пентестинга формируется отчет с планом выполненных работ и комплексом рекомендаций компании-аудитора. Неукоснительное выполнение пунктов рекомендаций позволит устранить выявленные слабости в защите.
Когда вам нужен pentest?
Всё плохо
Вам необходимо внедрить или обновить систему Информационной безопасности в вашей компании и устранить уязвимости могут использовать хакеры для атаки
Всё хорошо
Вас ни разу не взламывали, но вы не знаете новые механики взломщиков, решения по защите и уязвимости вашей информационной инфраструктуры, которые возможно эксплуатировать
Требование регулятора
Для чего нужно проводить пентест?
В соответствиями с постановлением ЦБ России банки и финансовые организации обязаны проложить процедуру аудита. Для других организация эта мера носит рекомендательный характер.
Стоит отметить, что наличие уязвимостей в системе может привести к остановке бизнес-процессов компании и утечке конфиденциальной информации, что в свою очередь грозит компании финансовыми и репутационным потерям.
Стоит отметить, что наличие уязвимостей в системе может привести к остановке бизнес-процессов компании и утечке конфиденциальной информации, что в свою очередь грозит компании финансовыми и репутационным потерям.
План работ по каждому сценарию
Сценарий «внешний злоумышленник»
1) Сбор информации:
– определение IP-адресов компании,
– извлечение информации DNS с использованием инструментов исследования домена,
– поиск внутренних url на сайте компании с помощью специализированных средств,
- анализ почтового сервера,
- определение местоположения компании;
2) Определение векторов атаки;
3) Пентест:
– эксплуатация найденных уязвимостей,
– отправка электронных писем на адреса компании с различным содержанием,
– проникновение внутрь офиса для установки спецоборудования;
4) Составление отчёта.
– определение IP-адресов компании,
– извлечение информации DNS с использованием инструментов исследования домена,
– поиск внутренних url на сайте компании с помощью специализированных средств,
- анализ почтового сервера,
- определение местоположения компании;
2) Определение векторов атаки;
3) Пентест:
– эксплуатация найденных уязвимостей,
– отправка электронных писем на адреса компании с различным содержанием,
– проникновение внутрь офиса для установки спецоборудования;
4) Составление отчёта.
Сценарий «инсайдер»:
1) Сбор информации:
– составление карты внутренней сети,
– перечисление узлов в сети (Enumeration);
2) Поиск уязвимостей:
– сканирование узлов сети,
– определение доступных сервисов;
3) Определение векторов атаки:
– получение прав локального администратора,
– установка спецоборудования,
– проведение MITM атаки;
4) Пентест:
– эксплуатация найденных уязвимостей,
– установка спецоборудования;
5) Составление отчёта
– составление карты внутренней сети,
– перечисление узлов в сети (Enumeration);
2) Поиск уязвимостей:
– сканирование узлов сети,
– определение доступных сервисов;
3) Определение векторов атаки:
– получение прав локального администратора,
– установка спецоборудования,
– проведение MITM атаки;
4) Пентест:
– эксплуатация найденных уязвимостей,
– установка спецоборудования;
5) Составление отчёта
Кто проводит пентест?
Тестирование на проникновение проводят специалисты в сфере информационной безопасности, эксперты, обладающие знаниями в области социальной инженерии, «белые» хакеры, использующие полученные знания для защиты компаний от своих коллег по другую сторону закона.
Для проведения аудита от пентестера требуется опыт в разных областях, поэтому зачастую этим занимается команда из нескольких профессионалов.
Для проведения аудита от пентестера требуется опыт в разных областях, поэтому зачастую этим занимается команда из нескольких профессионалов.
Что включает в себя пентест?
Penetration test включает в себя несколько этапов:
— Сбор информации об исследуемом объекте заказчика
— Поиск и анализ уязвимостей
— Выявление векторов атаки
— Security-тест
— Эксплуатация уязвимостей
— Реализация попытки проникновения с целью установки специального оборудования и использования инструментов сетевого хакинга
— Обработка полученных данных и формирование отчета.
— Сбор информации об исследуемом объекте заказчика
— Поиск и анализ уязвимостей
— Выявление векторов атаки
— Security-тест
— Эксплуатация уязвимостей
— Реализация попытки проникновения с целью установки специального оборудования и использования инструментов сетевого хакинга
— Обработка полученных данных и формирование отчета.
Тестирование на проникновение проводится по методологии EC-Council
Отчёт о тестировании на проникновение содержит:
Перечень выявленных уязвимостей с оценкой
Описание применённых техник с результатами проверки
Резюме для руководителя - к чему может привести эксплуатация обнаруженных уязвимостей
Техническое описание способов эксплуатации уязвимостей со скриншотами, подтверждающими получение доступа к атакуемым системам
Перечень программно-аппаратных средств и организационных мер, которые мы рекомендуем применить для устранения уязвимостей
Используемый инструментарий:
Перечень выявленных уязвимостей с оценкой
Коммерческий сканер информационной безопасности Nessus
Библиотека Google Hacking Database
Сканер информационной безопасности OpenVAS
Срок: от 3-х недель
Почему стоит обратиться к нам?
— В компании работает команда высококлассных специалистов.
— Разработка индивидуальный плана аудита исходя из потребностей заказчика.
— Мы используем международные практики и методологии исследования ИБ.
— Широкий набор инструментария исследования системы.
— Срок: от 3-х недель
— Разработка индивидуальный плана аудита исходя из потребностей заказчика.
— Мы используем международные практики и методологии исследования ИБ.
— Широкий набор инструментария исследования системы.
— Срок: от 3-х недель
Моделированию атак позволят гарантировано улучшить существующие подходы к защите бизнес-процессов и минимизировать возможный финансовый и репутационный ущерб от кибератак.
Дополнительно:
© 2020 ООО «ЦКЭО»
Продукты
Контакты