Пентест – тестирование на проникновение

Анализ защищенности ИТ-инфраструктуры организации от атак киберпреступников

Высококвалифицированных специалистов

0+ года

Работы на рынке Беларуси

0/7

Работает центр технической поддержки

Пентест (от англ. penetration test)

Метод выявления уязвимостей информационных систем организации, путем моделирования атаки киберпреступников. При пентесте используются те же инструменты и способы, которые применяют профессиональные хакеры. Это позволяет объективно оценить уровень защиты компании от целенаправленных атак. В идеальных системах пентест должен проводиться при каждом обновлении программного или аппаратного обеспечения, приложений. В целом, для организаций рекомендуется проводить тестирование на проникновение не реже 1 раза в год.

Зачем необходим пентест

Это самый эффективный способ выявления уязвимостей в ИТ-инфраструктуре компании. В отличии от других способов, надежность систем защиты информации проверяется в реальных условиях. В рамках такого взлома специалисты используют различные методы:

Поиск и эксплуатация уязвимостей с помощью специализированного ПО и в ручном режиме

Нагрузочное тестирование на ИТ-инфраструктуру организации

Использование методов социальной инженерии и фишинга

Тестирование веб-приложений и сайтов организации в интернете

Каким компаниям нужен пентест?

Любая компания, которая хранит в своем контуре персональные даннные и информацию, которая относится к коммерческой или государственной тайне, нуждается в регулярном проведении пентеста. Потому что он позволяет выявить возможные направления атак преступников. В первую очередь к таким компаниям относятся:

Финансовые структуры (банки, страховые и лизинговые компании)
Государственные организации (учреждения образования и здравоохранения, оборонные ведомства)
Компании с критической инфраструктурой (организации, чья деятельность влияет на жизнь общества)
Ретейл (так как хранит большие базы персональных данных о покупателях)
Иные организации

Виды пентеста

Анализ внешнего периметра

Эксплуатация известных и обнаруженных уязвимостей и ошибок, доступ к которым можно получить через интернет или веб-приложения.

Какие методы используются:

Open-Source Intelligence – поиск информации из открытых источников.
Сканирование внешних хостов.
Сканирования на уязвимости.
Анализ защиты электронной почты организации.
Тестирование сервисов совместной работы.

Продолжительность - до 1 месяца

Анализ внутреннего периметра

Анализ защищенности при атаках со стороны сотрудников компании или внешних подрядчиков. Проводится на базе клиента и удаленно.

Какие методы используются:

Open-Source Intelligence – поиск информации из открытых источников.
Cканированиt внешних хостов.
Сканирования на уязвимости.
Анализ защиты электронной почты организации.
Тестирование сервисов совместной работы.

Продолжительность - до 1 месяца

Тестирование сайта и веб-приложений

Анализ уязвимостей, которые могут быть использованы для атаки на сайт или веб-приложение.

Какие методы используются:

Поиск информации в открытых источниках, а также в дарквеб, закрытых телеграм-каналах и пр.
Анализ веб-приложений от имени авторизованного/анонимного пользователя.
Сканирование веб-уязвимостей с помощью автоматизированных средств проверки.
Определение и эксплуатация ошибок контроля доступа.
Эксплуатация криптографических сбоев.
Поиск и анализ ошибок идентификации и аутентификации, нарушений целостности ПО
Различные атаки с целью выполнения кода на стороне сервера.
Перебор паролей пользователей в веб-приложении и для доступа к админке сайта.
Инъекции

Продолжительность - до 1 месяца

Социальная инженерия

Анализ на возможность проникновения с использованием социальной инженерии и фишинга.

Какие методы используются:

Open-Source Intelligence – поиск информации из открытых источников.
Фишинговые рассылки с имитацией вредоносных вложений

Продолжительность - до 1 месяца

Этапы проведения пентеста

Этапы и концепция пентеста детально согласовываются на этапе подготовки вместе со специалистами заказчика. Здесь указана общая схема.

1. Подготовка

На этом этапе проходит сбор информации о заказчике, а также выбор методики и инструментов, с помощью которых будет проводиться пентест.

2. Поиск уязвимостей

В автоматическом (с помощью ПО), а также в индивидуальном (ручном) режиме наши специалисты ищут известные и неизвестные уязвимости в инфраструктуре клиента.

3. Атака

Пентестеры iqData эксплуатируют найденные уязвимости в попытке преодолеть защиту организации. Делают это лично и в автоматическом режиме.

4. Анализ

После окончания стадии атаки пентестеры и специалисты по ИБ анализируют результаты проведенной операции и на этом основании готовят отчет.

5. Передача информации

В отчете четко прописаны все найденные уязвимости, их критичность, способы эксплуатации, а также рекомендации по устранению.

Почему мы?

Центр кибербезопасности

Все работы осуществляем на базе собственного аттестованного Центра кибербезопасности

Команда

Пентест проводим только силами собственных специалистов, без привлечения сторонних организаций.

Опыт

Имеем большой опыт по созданию и выстраиванию систем защиты информации в компании, а также проведение пентестов в разных организациях

Результат

В отчете мы четко прописываем все шаги для устранения найденных уязвимостей, а также указываем их критичность для организации.

Комплексность

Мы не только ищем уязвимости, но и поможем их устранить - путем обучения сотрудников или создания новой системы защиты информации.

Аттестация

По завершении пентеста мы можем провести аудит и последующую аттестацию вашей информационной системы.

Часто задаваемые вопросы

Рекомендуется проводить пентест не ранее 1 раза в год. Но в случае, если организация относится к сфере, которые пользуются наибольшим вниманием хакеров (госсектор, финансовые структуры), этот период необходимо сократить до 6 месяцев.

Физический пентест подразумевает, что сотрудники нашей организации пытаются физически преодолеть защиту компании - попасть на территорию охраняемого объекта, к критически важным объектам (серверная, ЦОД, котельная, пункт охраны). В данный момент ни мы, ни другие организации в Беларуси, подобные услуги не оказывают.

Весь анализ мы проводим собственными силами. В исключительных случаях, когда требуется проведение нестандартного тестирования, мы по согласованию с заказчиком можем привлечь к данным работам своих партнеров.