Тестирование на проникновение
КОНСУЛЬТАЦИЯ
Оценка действующей системы защиты цифровых активов на основе моделирования действий потенциального нарушителя
Процесс тестирования на проникновение включает в себя умышленные санкционированные атаки на компоненты как внешних, так и внутренних границ ИТ инфраструктуры с целью выявления недостатков, способных привести к нарушению конфиденциальности, целостности и доступности информации, к некорректной работы системы или к отказу в обслуживании, а также прогнозирование возможных финансовых потерь и экономических рисков.

Предоставление данной услуги основывается на общепризнанных методологиях таких как: PTES, OSSTMM, NIST SP-800-115, OWASP.
Рост числа атак на фоне пандемии
Количество инцидентов в 2020 году увеличилось на 51% по сравнению с 2019 годом; 86% всех атак были направлены на организации. Больше всего злоумышленников интересовали государственные и медицинские учреждения, а также промышленные компании.
70% атак носили целенаправленный характер
14% атак направлены
против частных лиц
Основные задачи:
Выявление недостатков в механизмах защиты информационных активов
Проверка возможности осуществления компьютерных атак как со стороны внешних нарушителей, так и со стороны внутренних ("инсайдеров")
Получение актуальных данных о защищенности, позволяющих оценить общее состояние информационной безопасности Ваших информационных систем
Разработка рекомендаций по повышению уровня защищенности за счет анализа архитектуры защиты и устранения выявленных недостатков
Что входит в тестирование на проникновение?
Мы готовы предложить проведение тестирования на проникновение любых информационных ресурсов вашей организации:
Внешний периметр организации
– это область информационных систем, выходящая за границы контролируемой зоны; основная модель тестирования – внешний нарушитель, не имеющий прав доступа к элементам информационного взаимодействия.
Внутренний периметр организации
– это область информационных систем, в которой работают сотрудники и функционирует серверное оборудование, проще говоря: это локальная сеть организации; основная модель тестирования – внутренний нарушитель, обладающий непривилегированным доступом к элементам информационного взаимодействия.
Беспроводные сети
– это такая же компьютерная сеть, но организованная без каких-либо проводов. То есть все соединения осуществляются по радиоканалам, вследствие чего возникает угроза злоупотребления природой беспроводного соединения, выходящего далеко за пределы контролируемой зоны.
Веб-ресурсы и API
– основная модель тестирования определяется в зависимости от тестируемой модели нарушителя: от внешнего злоумышленника до специалиста технической поддержки или разработчика, обладающего полным исходным кодом.
Обновить нельзя надеяться на удачу
Количество инцидентов в 2020 году увеличилось на 51% по сравнению с 2019 годом
Уязвимостей с высоким уровнем риска и выше встречаются у 58% веб-приложений
В каждой шестой компании обнаружены следы компьютерных атак, т.е. инфраструктура уже могла быть под контролем "хакеров"
86% всех атак были направлены на организации
70% атак носили целенаправленный характер
Число DDoS атак на российские компании выросло более чем в 3 раза с 2019 года
В 71% организаций проникнуть во внутреннюю сеть может любой хакер
490.000₽ — средняя сумма выкупа на 2021 год, запрашиваемая хакерами после взлома систем
Что является результатом тестирования?
Результатом проведенного тестирования на проникновение является отчет по его результатам, содержащий как минимум следующую информацию:
Данные об экспертах, выполняющих тестирование на проникновение
Вывод для руководства, содержащий общую оценку защищенности объектов тестирования
Описание используемых методик и инструментов тестирования
Перечень и описания выявленных, в ходе тестирования, слабостей и уязвимостей
Описание хода тестирования, перечень проверок и данные о верификации выявленных недостатков
Рекомендации по устранению выявленных недостатков и повышению киберустойчивости
Кому нужно тестирование на проникновение?
Финансовые организации
Критическая информационная инфраструктура
Государственные организации
Бизнес
Промышленность
Телеком
Подробная информация об эффективности и особенностях услуги, дополнительных вариантах проведения или иные вопросы
Подробная информация об эффективности и особенностях услуги, дополнительных вариантах проведения или иные вопросы
В общем случае, порядок оказываемых услуг следующий:
1
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
2
Получение исходных данных
получение предварительной информации об объекте тестирования от Заказчика
3
Согласование ожидаемой методики и результатов
согласование методики и границ тестирования, желаемых результатов и сроков на исполнение
4
Сканирование отдельных элементов
пассивный и активный сбор информации об объектах тестирования
5
Формирование "поверхности атаки"
идентификация используемых стеков технологий и формирование «поверхности атаки»
6
Поиск уязвимостей
сигнатурный и эвристический поиск уязвимостей: как в автоматизированном, так и в ручном режимах
7
Специализированный поиск недостатков
анализ трафика, парольной политики, виртуальной архитектуры, поиск незащищенных информационных каналов и т.д.
8
Верификация результатов
проверки на возможность эксплуатации выявленных недостатков, верификация результатов
9
Формирование отчёта и рекомендаций
формирование и согласование отчёта по результатам тестирования на проникновение