Главная Тестирование на проникновение

Тестирование на проникновение

Тест на проникновение (или пентест) — это важнейший этап аудита безопасности информационных систем предприятия, позволяющий владельцам бизнеса быть уверенными, что компания выдержит внешние атаки, а основные бизнес-процессы не будут нарушены из-за действий злоумышленников. Проведение теста на проникновение значительно снижает риск понести реальный ущерб от действий киберпреступников.

Название пентест возникло от английской фразы penetration testing. Данная процедура впервые появилась на западе. Теперь же подобный тест применяется по всему миру.

В процессе тестирования на проникновение угроз, специалисты FS Group проверяют все узлы информационной системы, от которых зависит нормальное функционирование вашего бизнеса — сайт, почтовый сервер, клиентские и мобильные приложения.

В ходе пентеста решается ряд задач по анализу и оптимизации системы информационной безопасности:

  • обнаруживаются уязвимости инфосистемы;

  • исследуется возможность доступа рядового персонала к коммерческой тайне или закрытой информации;

  • тестируется возможность несанкционированного получения привилегий обычными пользователями;

  • инспектируется уровень защищенности локальной сети и возможность стороннего подключения к ней.

Используются как автоматизированные инструменты, так и наиболее распространенные модели ручного взлома, подходящие для конкретной информационной системы.

Применяется внешний и внутренний тест. В первом случае исследуется периметр сети компании на проникновение со стороны, во втором — проверяются внутренние ресурсы с позиции локального взломщика. Процесс может идти с уведомлением или скрытно от пользователей, администраторов и службы безопасности.

На основе полученных данных создается план действий по устранению существующих уязвимостей.

Стандартные объекты тестирования на проникновение

  • Анализ внешней (находящейся в общем доступе) информации о компании. Именно с нее начинает свою работу злоумышленник

  • Проверка инфраструктуры локальной/беспроводной сети

  • Тестирование веб-приложений, сайтов или интернет-сервисов организации

  • Проверка доступности системы на несанкционированное проникновение: возможность получения паролей, самостоятельного приобретения привилегий рядовыми сотрудниками, уровень защиты данных в “красной зоне” (персональная информация заказчиков или сотрудников, коммерческая тайна, финансовая отчетность и т.д.)

  • Контроль устойчивости маршрутизации для нейтрализации перехвата передаваемых данных.

По желанию заказчика проводится тестирование и других систем. Возможен целевой пентест отдельного объекта, но лучшие результаты дает комплексный подход.

Модели тестов на проникновение

  • BlackBox

Доступны только общедоступные данные о цели исследования, сети и ее параметрах.

  • WhiteBox

Специалисту предоставляются все необходимые данные для быстрого проведения теста на проникновение.

  • GreyBox

Исполнитель имеет доступ только к общедоступным данным, а также периодически запрашивает информацию о тестируемой системе для сокращения времени исследования или более эффективного приложения своих усилий.

Хотите узнать больше?

Получить консультацию
Тестирование на уровне приложений будет включать в себя требования от:
  • OWASP ASVS
  • OWASP Testing Guide
  • PCI DSS
  • NIST SP 800-115
  • ISACA Penetration testing procedure (P8)
Компетенции специалистов

Сотрудники компании получили следующие сертификаты:

  • CEH
  • CIS
  • CISSP
Виды предоставляемой отчетности 
  • План проведения теста
  • Промежуточное информирование о ходе работ
  • Итоговый отчет по результатам 

 

Итоговый отчет состоит из двух частей, они содержат:
  • информацию по оценке уровня защищенности системы заказчика с обязательным включением доказательств успешной эксплуатации уязвимостей
  • рекомендации по устранению или минимизации обнаруженных уязвимостей
  • классификацию всех выявленных рисков
Преимущества теста на проникновение
Эффективные векторы атак
Эффективные векторы атак

Для теста подбираются наиболее подходящие векторы атак в зависимости от запросов клиента

Опыт работы свыше 8 лет
Опыт работы свыше 8 лет

Большой опыт работы позволяет нам быстро и качественно выполнять наши обязанности

Служба поддержки
Служба поддержки

Если вдруг у клиента возникнет какая-либо проблема, он может обратиться к нашему сотруднику службы поддержки для скорого ее решения

Сопутствующие продукты и сервисы
FS PHISHING

FS PHISHING — симулятор фишинговых рассылок, целью которого является усовершенствование практических навыков персонала по информационной безопасности. Осведомленность персонала о правилах цифровой гигиены позволит защитить вашу организацию от фишинговых атак и обеспечит быстрое реагирование на инциденты, связанные с фишингом.

• Интеграция продукта в корпоративную сеть
• Индивидуальная разработка фишинговых страниц под ваши требования
• Возможность написания текстов пользователями
• Настройка системы под ваш почтовый сервер

Подробнее
FS OSINT LAB

WEB-решение, помогающее проводить проверку контрагентов и сотрудников по данным из различных источников информации. Используется собственная Big Data, которая аккумулирует информацию из DarkNet и других источников. Продукт позволяет производить процедуру качественного compliance, due diligence и предоставляет пользователям расширенную информацию для принятия решений.

OSINT LAB предоставляет доступ к уникальным данным и может быть полезным различным группам работников организаций, включая:

• Специалистов по закупкам
• HR-специалистов
• Compliance-специалистов
• Юристов
• Финансистов

Дополнительным преимуществом OSINT LAB является удобный интерфейс, централизованно собирающий и демонстрирующий все запрашиваемые данные.

Подробнее
FS IRT

Услуга по исследованию и анализу инцидентов информационной безопасности

В базовый годовой пакет входит:
• консалтинг с экспертами;
• расследование инцидента информационной безопасности;
• комплексное криминалистическое исследование цифровых доказательств;
• предоставление отчетов по физическим/юридическим лицам на основе поиска в различных источниках информации;
• ежемесячный новостной бюллетень, содержащий правила информационной безопасности, связанные с уязвимостями, которые активно используют хакеры, а также с рекомендациями для повышения уровня защиты клиентов;
• тестирование на проникновение (penetration testing);

Подробнее
FS MNG

Программный продукт для мониторинга скомпрометированных аккаунтов клиента на основе исследования различных источников информации.

FS MNG обеспечивает:

• Идентификацию скомпрометированных аккаунтов;
• Предотвращение утечки данных;
• Защиту от использования украденных паролей (credential stuffing);
• Оперативное получение информации об утечках до огласки в медиа;
• Непрерывный мониторинг безопасности информации, позволяющий действовать на опережение и оценивать степень угрозы утечки данных.

Подробнее
FS TI

Программный продукт, содержащий список IP-адресов для мониторинга входящего или исходящего трафика в сети. FS TI содержит информацию о VPN, прокси-сервисах, хостингах, на которых можно размещать любой контент (абузостойкие), IP-адреса, которые используют для:

• анонимизации при осуществлении мошеннических финансовых операций со счетами;
• АРТ-атак на корпоративные сети;
• мошеннических попыток входа в систему через скомпрометированные аккаунты;
• других кибератак, в ходе которых происходит обход системы мониторинга трафика.

Подробнее

Как и многие другие компании, FSG использует на своих веб-сайтах технологию cookie с целью улучшения  вашего пользовательского опыта, а также для корректной работы сайта

Если вы согласны с использованием всех файлов cookie на этом сайте, нажмите кнопку Ok. Чтобы узнать больше о технологии cookie, ее преимущества и о том, как ее использует FSG, ознакомьтесь с нашей

Политикой конфиденциальности

Принять все файлы cookie