Проверка бизнес-системы

PEN-тест или испытание проникновением — важнейший этап аудита безопасности информационных систем предприятия, который позволяет владельцам бизнеса быть уверенными, что компания выдержит внешние атаки, а основные бизнес-процессы не будут нарушены из-за действий злоумышленников. Проведение пентеста значительно снижает риск понести реальный ущерб от действий киберпреступников.

Защищенность и устойчивость

В процессе пентеста, специалисты Group FS  проверяют все узлы вашей информационной системы, от которых зависит нормальное функционирование вашего бизнеса — сайт, почтовый сервер, клиентские и мобильные приложения — в поисках слабых мест, которые могут позволить получить несанкционированный доступ к данным или вывести систему из строя. При этом каждый шаг документируется, а все найденные уязвимости попадают в отчет.

Устойчивость к хакерским атакам

Рассматривайте пентест, как профессиональную, хорошо спланированную хакерскую атаку, которая при этом проходит под полным вашем контролем, в результате которой вы получите не украденную базу клиентов и неработающий сайт, а подробный отчет о всех слабых местах вашей информационной системы и рекомендации по их устранению, а также советы по общему повышению безопасности критически важных для бизнеса систем.

Виды тестов на проникновение

ПЕНТЕСТ: МОДЕЛЬ «BLACKBOX»

Тест на проникновение выполняется без предоставления со стороны заказчика исходных сведений о составе и состоянии исследуемого объекта. Формат теста на проникновение определяется Исполнителем — поиск целей, проникновение  закрепление в сети максимально приближены к действиям реального злоумышленника.

ПЕНТЕСТ: МОДЕЛЬ «WHITEBOX»

По согласованию с заказчиком и с учетом заданной модели угроз выполняется экспертный тест на проникновение. Ответственные подразделения заказчика могут координировать процесс тестирования. Предварительно заказчиком производится раскрытие необходимой информации об исследуемом объекте.

Социотехнический тест

Социотехнический тест на проникновение проводится с использованием самых передовых методов социальной инженерии. Основной целью проведения такого теста является выявление уровня осведомленности и знаний персонала Заказчика о требованиях информационной безопасности. В процессе проведения тестирования определяется реакция персонала ответственного за информационную безопасность на типичные и не типичные проникновения, используемые злоумышленниками. Методы социальной инженерии достаточно часто используются злоумышленниками и направлены, как правило, на конечных пользователей атакуемых систем. В результате успешной атаки злоумышленник может получить контроль над рабочими станциями, получить конфиденциальные документы Заказчика, использовать ресурсы Заказчика для организации атак на системы других компаний, рассылки спама и прочее.

Основные типы социальной инженерии:

Это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.

Техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей — авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу, где располагается такая форма. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее.

Это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменения информации злоумышленником.

Данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.

Этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.

Данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.

Данная услуга социотехнического теста от специалистов Group FS позволит выявить те организационные аспекты информационной безопасности, на которые Заказчику следует обратить внимание в первую очередь. Результаты, полученные по итогам проведения этого теста, будут изложены в виде перечня основных проблемных областей (включая информацию по всем действиям пользователей в каждой целевой группе) и дальнейших рекомендаций по устранению выявленных проблемных областей. Эти результаты могут стать основой для разработки Программы повышения осведомленности (Security Awareness Program), максимально ориентированной на проблемные области, выявленные в ходе тестирования. Данная услуга также может быть полезна для проверки эффективности действующей Программы осведомленности Заказчика.

Статистика

0
%
сайтов содержат уязвимости
0
%
содержат критические уязвимости
0
уязвимостей на каждый сайт

Этапы проведения пентеста

 

Проведение пентеста значительно снижает риск понести реальный ущерб от действий киберпреступников.

Изучение рисков и составление плана аудита

Специалисты Group FS совместно с заказчиком составляют список критически важных частей информационной системы и утверждают план тестирования

Проведение тестирования в соответствии с планом

Все отобранные узлы системы проверяются на наличие известных уязвимостей. Каждый этап работы подробно документируется и вносится в отчет

Отчет и рекомендации по устранению уязвимостей

Заказчик получает отчет со списком найденных слабых мест, сгруппированных по степени опасности, и рекомендации по устранению найденных уязвимостей

Повторная проверка всех систем

После того, как специалисты заказчика закроют все найденные уязвимости, может быть проведен повторный пентест для проверки качества выполненной работы

 

WEBSITE

995 у.е.
3 рабочих дня
  • 1 веб приложение
 

STARTUP

1520 у.е.
6 рабочих дней
  • 1 веб приложение
  • 1 сервер баз данных
  • 2 хоста
 

OFFICE

2370 у.е.
10 рабочих дней
  • 1 сайт (веб-приложение)
  • 5 хостов
  • 1С база
  • WiFi точка
  • 5 сотрудников (соц.инженерия)

Калькулятор

Для того, чтоб получить ориентировочную стоимость пентеста для вашей организации, можно воспользоваться калькулятором. Для этого введите исходные данные в правой колонке. В случае, если работы проводятся на территории заказчика, сумма будет увеличена на 20%.

Пентест будет длиться около 0 дней и будет стоить примерно 0$.


Хостов

Веб-приложений

Работников (соц. инженерия)

Узнайте, как специалисты Group FS могут помочь защитить ваш бизнес

Свяжитесь с нами, чтобы подробнее узнать об угрозах в вашей сфере и рассчитать стоимость пентеста

Связаться