8 800 201 98 08
Обсудить проект
Тестирование на проникновение
Главная | Услуги
Процесс тестирования на проникновение включает в себя умышленные санкционированные атаки на компоненты как внешних, так и внутренних границ ИТ инфраструктуры с целью выявления недостатков, способных привести к нарушению конфиденциальности, целостности и доступности информации, к некорректной работе системы или к отказу в обслуживании, а также прогнозирование возможных финансовых потерь и экономических рисков.

Предоставление данной услуги основывается на общепризнанных методологиях таких как: PTES, OSSTMM, NIST SP-800-115, OWASP.
Заказать услугу
Обзор
Основные задачи
Методы
Результат
Схема работы
Заказать услугу
Процесс тестирования на проникновение включает в себя умышленные санкционированные атаки на компоненты как внешних, так и внутренних границ ИТ инфраструктуры с целью выявления недостатков, способных привести к нарушению конфиденциальности, целостности и доступности информации, к некорректной работе системы или к отказу в обслуживании, а также прогнозирование возможных финансовых потерь и экономических рисков.

Предоставление данной услуги основывается на общепризнанных методологиях таких как: PTES, OSSTMM, NIST SP-800-115, OWASP.
Закзать услугу
86% всех атак за прошедший год были направлены на организации, особенно злоумышленников интересовали государственные и медицинские учреждения, а также промышленные компании
Основные задачи
Выявление недостатков в механизмах защиты информационных активов
Проверка возможности осуществления компьютерных атак как со стороны внешних нарушителей, так и со стороны внутренних ("инсайдеров")
Получение актуальных данных о защищенности, позволяющих оценить общее состояние информационной безопасности Ваших информационных систем
Разработка рекомендаций по повышению уровня защищенности за счет анализа архитектуры защиты и устранения выявленных недостатков
Что входит в тестирование на проникновение?
Мы готовы предложить проведение тестирования на проникновение любых информационных ресурсов вашей организации:
Внешний периметр организации
это область информационных систем, выходящая за границы контролируемой зоны; основная модель тестирования – внешний нарушитель, не имеющий прав доступа к элементам информационного взаимодействия.
Внутренний периметр организации
это область информационных систем, в которой работают сотрудники и функционирует серверное оборудование, проще говоря: это локальная сеть организации; основная модель тестирования – внутренний нарушитель, обладающий непривилегированным доступом к элементам информационного взаимодействия.
Беспроводные сети
это такая же компьютерная сеть, но организованная без каких-либо проводов. То есть все соединения осуществляются по радиоканалам, вследствие чего возникает угроза злоупотребления природой беспроводного соединения, выходящего далеко за пределы контролируемой зоны.
Веб-ресурсы и API
основная модель тестирования определяется в зависимости от тестируемой модели нарушителя: от внешнего злоумышленника до специалиста технической поддержки или разработчика, обладающего полным исходным кодом.
В каждой шестой компании обнаружены следы компьютерных атак, т.е. инфраструктура уже могла быть под контролем "хакеров"
Что является результатом тестирования?
Результатом проведенного тестирования на проникновение является отчет по его результатам, содержащий как минимум следующую информацию:
Что является результатом тестирования?
Результатом проведенного тестирования на проникновение является отчет по его результатам, содержащий как минимум следующую информацию:
  • Данные об экспертах, выполняющих социотехническое тестирование
  • Вывод для руководства, содержащий общую оценку результатов тестирования
  • Описание используемых методик, сценариев и атак
  • Обнаруженная (в сети общего пользования Интернет) чувствительная информация по тестируемым сотрудникам
  • Перечень и описание выявленных нарушений в обеспечении социотехнической и информационной безопасности со стороны тестируемых сотрудников вашей организации
  • Элементы информационной инфраструктуры, к которым удалось получить доступ по результатам социотехнических воздействий
  • Рекомендации по повышению устойчивости к социальной инженерии для вашей организации
Получить подробную информацию о данной услуге
Нажимая кнопку «Отправить», Вы выражаете свое согласие на обработку персональных данных в соответствии с Политикой в отношении обработки персональных данных.
В общем случае, порядок оказываемых услуг следующий:
01
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
01
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
02
Получение исходных данных и объектов тестированиям
получение предварительной информации об объекте аудита, передача исполняемых файлов или исходного кода
03
Согласование ожидаемой методики и результатов
согласование методики и границ тестирования, желаемых результатов и сроков на исполнение
04
Сканирование отдельных элементов
пассивный и активный сбор информации об объектах тестирования
05
Формирование "поверхности атаки"
идентификация используемых стеков технологий и формирование «поверхности атаки»
06
Поиск уязвимостей
сигнатурный и эвристический поиск уязвимостей: как в автоматизированном, так и в ручном режимах
07
Специализированный поиск недостатков
анализ трафика, парольной политики, виртуальной архитектуры, поиск незащищенных информационных каналов и т.д.
08
Верификация результатов
проверки на возможность эксплуатации выявленных недостатков, верификация результатов
09
Формирование отчёта и рекомендаций
формирование и согласование отчёта по результатам тестирования на проникновение