Pentest

Тестирование на проникновение или пентест (pentest, penetration test) — это услуга, в ходе которой законным способом определяется уровень устойчивости информационных ресурсов (сетей, систем, приложений) компании к компьютерным атакам.

В рамках пентеста моделируются действия реальных злоумышленников

Данные действия нацелены на определение возможных путей проникновения в сеть организации и нарушения свойств (конфиденциальности, целостности, доступности) обрабатываемой информации.
В результате формируются рекомендации по повышению уровня информационной безопасности компании путем снижения рисков реализации выявленных угроз.

Для чего
нужен пентест?

С развитием цифровых технологий ежегодно появляется все большее число энтузиастов, желающих проверить собственные силы во время атаки на информационные ресурсы компаний, а также профессиональных хакеров, размещающих в даркнете предложения об оказании незаконных услуг по проведению таких кибератак.
Удаленный режим работы добавил задач по организации безопасных и в то же время эффективных условий работы как компаниям в целом, так и каждому отдельному сотруднику. Сетевые протоколы для удаленной обработки информации и сведения от недобросовестных сотрудников компаний являются весьма заманчивыми для проведения хакерских атак.
Защищенность
Пентест позволяет на практике оценить степень защищенности ИТ-инфраструктуры, а значит и конфиденциальной информации организации, от которой зависит не только репутация на рынке, но и перспективы развития.
Эффективность
Наш опыт показывает, что безупречной защиты не бывает. Но она может быть эффективной и затруднять проникновение внешнего злоумышленника или препятствовать действиям инсайдеров.
Безопасность
Мы помогаем нашим заказчикам оценить эффективность выстроенной системы защиты, в том числе корректность выполненных настроек безопасности и уровень осведомленности персонала.

Как проводится пентест?

img
На предварительном этапе оказания услуги мы помогаем заказчикам правильно сформулировать реальную потребность, чтобы итоговый отчёт совпал с ожиданиями и оказался максимально полезным.
img

После этого мы согласовываем входные сведения, способы и границы тестирования. Затем мы фиксируем все нюансы работы и требования для каждой из частей отчета, а также согласовываем классификатор уязвимостей. Это обеспечивает однозначную трактовку результатов относительно тех или иных уязвимостей и ущерба, который они могут нанести в случае успешной атаки.

На завершающем этапе работ мы оцениваем объем работ и подписываем документы об оказании услуг.

После этого мы выбираем правильный сценарий тестирования, фиксируем все действия (логи, скриншоты, результаты работы различных команд) и даем каждому шагу подробное техническое описание.

01
Сбор информации об инфраструктуре заказчика
Выполняем сканирование по открытым/закрытым источникам.
02
Моделирование угроз
Ищем потенциальные точки входа.
03
Анализ уязвимостей
Определяем способы использования точек входа.
04
Эксплуатация уязвимостей
Реализуем проникновение на практике.
05
Пост-эксплуатация уязвимостей
Определяем возможные векторы развития атаки.
06
Разработка отчета по требованиям заказчика
Предоставляем описание пошаговых действий и результатов их осуществления, а также предложения по оптимизации системы защиты.

Проведение тестов на проникновение может включать в себя:

Внешнее и внутреннее тестирование на проникновение
Анализ защищенности web-приложений
Анализ защищенности беспроводных сетей
Использование методов социотехнической инженерии
Кастомный сценарий тестирования исходя из локальных потребностей заказчика

Возможные уровни доступа

01
Чёрный ящик
Информация об инфраструктуре и какой-либо доступ отсутствуют
02
Белый ящик
Полная информация об инфраструктуре и валидные учётные записи

Особенности

В процессе выполнения тестирования защищенности ИТ-инфраструктуры компании помимо универсальных сканеров уязвимостей, позволяющих обнаруживать уязвимости приложений, ОС и сетевой инфраструктуры, мы также используем специализированное ПО и самописные утилиты и словари.

На практике нередко встречаются ситуации, когда в начале тестирования на проникновение пентестер выявляет следы ранее проведенного взлома. В этих случаях заказчик обычно привлекает наших специалистов к проведению расследования.

На практике нередко встречаются ситуации, когда в начале тестирования на проникновение пентестер выявляет следы ранее проведенного взлома. В этих случаях заказчик обычно привлекает наших специалистов к проведению расследования.

Какие методики тестирования мы используем?

Используя лучшие практики и стараясь думать, как злоумышленник, мы всегда опираемся на свои собственные наработки с учетом реалий российского рынка и отечественного законодательства.

В своей работе мы ориентируемся на лучшие международные стандарты и фреймворки:

The Penetration Testing Execution Standard
Open Source Security Testing Methodology Manual
Information System Security Assessment Framework

Результаты пентеста.
Отчёт

Мы всегда с особым вниманием подходим к оформлению результатов нашей работы и стремимся сделать их максимально полезными не только для технических специалистов наших заказчиков, но и для руководителей.

Поэтому мы включаем в общий отчет о проделанной работе несколько основных разделов, предназначенных для различных специалистов.

01
Отчет для топ-менеджмента заказчика
Мы предоставляем общее описание проделанной работы без использования специализированной терминологии, но с оценкой критичности выявленных уязвимостей для бизнеса и необходимых действий по совершенствованию системы защиты.
02
Технический отчёт
Содержит наиболее детальную информацию. В нем приводится вся необходимая информация о найденных уязвимостях, а также о том, как их можно воспроизвести по шагам и какой информацией можно завладеть в результате. Для устранения каждой уязвимости даются исчерпывающие рекомендации. Технический отчет всегда содержит расшифровку аббревиатур и определения для используемых специальных терминов.
03
Экспертные рекомендации
Выявленные слабые места системы безопасности могут быть усилены на основе экспертных рекомендаций, в том числе путем повышения уровня компетенций сотрудников организации. Однако даже если критичных уязвимостей в защите найдено не было, то процесс анализа защищенности и совершенствования системы защиты должен быть непрерывным. Ведь результат пентеста всегда отражает способности команды конкретных специалистов лишь в предварительно согласованных условиях имитации действий злоумышленников.

Преимущества работы с компанией
«Пространство доверия»

Команда экспертов
Команда сертифицированных экспертов в области информационной безопасности с 15-летним опытом создания систем защиты для предприятий различного масштаба и тестирования их на проникновение.
Поддержка клиентов
Консультационная поддержка клиентов на каждом этапе проведения тестирования на проникновение и в процессе анализа результатов.
Решения от ведущих производителей
Использование технических решений и экспертных баз знаний от ведущих мировых производителей средств защиты информации.

Отзывы наших клиентов

В рамках совместной работы с ООО «Пространство доверия», нам удалось повысить уровень информационной безопасности внутри компании. Спасибо за качественно оказанные услуги, помощь в обучении наших специалистов.
«В конце 2019 года нам нужно было получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Выбрали Контур.Безопасность и получили профессиональную, быструю помощь»
Недавно сотрудничаем с командой ООО «Пространство доверия», но уже отметили ее экспертизу и качественное оказание услуг по информационной безопасности. Планируем продолжать работать с Вашими специалистами. Спасибо!
От лица ООО «Компания информационных технологий» благодарю компанию за продуктивное сотрудничество в разработке и тестировании наших продуктов по информационной безопасности.
Вы всё ещё думаете? Просто попробуйте.
Контактное лицо
Почтовый адрес
Телефон

Я согласен на обработку персональных данных и получение информационных сообщений от компании «Пространство доверия».

#
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies.