Тест на проникнення або pentest — це найважливіший етап аудиту безпеки інформаційних систем організації. Він дозволяє власникам бізнесу впевнитися, що компанія витримає зовнішні атаки, а основні бізнес-процеси не будуть порушені через дії зловмисників. Проведення тесту на проникнення значно знижує ризики виникнення збитків через дії кіберзлочинців.
Термін “pentest” походить від англійської фрази penetration testing. Ця процедура вперше з’явилась на заході. Зараз така процедура є широко розповсюдженою по всьому світу.
У процесі тесту на проникнення спеціалісти FS Group перевіряють усі вузли інформаційної системи, від яких залежить стабільне функціонування процесів організації — сайт, поштовий сервер, клієнтські та мобільні додатки.
У ході пентесту вирішується низка завдань щодо аналізу та оптимізації системи інформаційної безпеки:
виявляються вразливості інфосистеми;
досліджується можливість доступу рядового персоналу до комерційної таємниці чи закритої інформації;
тестується можливість несанкціонованого одержання привілеїв звичайними користувачами;
перевіряється рівень захищеності локальної мережі та можливість стороннього підключення до неї.
Використовуються як автоматизовані інструменти, так і найпоширеніші моделі ручного злому, придатні для конкретної інформаційної системи.
Застосовується зовнішній та внутрішній тест. У першому випадку досліджується периметр мережі компанії на проникнення зі сторони, у другому – перевіряються внутрішні ресурси з позиції локального зломника. Процес може йти з повідомленням або потай від користувачів, адміністраторів та служби безпеки.
На основі отриманих даних створюється план дій щодо усунення існуючих вразливостей.
Аналіз зовнішньої (що знаходиться у загальному доступі) інформації про компанію. Саме з неї починає свою роботу зловмисник
Перевірка інфраструктури локальної/бездротової мережі
Тестування веб-додатків, сайтів або інтернет-сервісів організації
Перевірка доступності системи на несанкціоноване проникнення: можливість отримання паролів, самостійного придбання привілеїв рядовими співробітниками, рівень захисту даних у “червоній зоні” (персональна інформація замовників чи співробітників, комерційна таємниця, фінансова звітність тощо)
Оцінюється стійкість маршрутизації для нейтралізації перехоплення даних, що передаються.
За бажанням замовника проводиться тестування й інших систем. Можливо замовлення цільового пентесту окремого об’єкта, але найкращі результати дає комплексний підхід.
BlackBox. Доступні тільки загальнодоступні дані про ціль дослідження, мережі та їхні параметри.
WhiteBox. Спеціалісту надаються всі необхідні дані для швидкого проведення тесту на проникнення.
GreyBox. Виконавець має доступ тільки до загальнодоступних даних, а також періодично здійснює інформаційні запити про систему для скорочення часу дослідження та більш ефективного процесу тестування.
Тестування на рівні додатків містить вимоги від:
Компетенції спеціалістів
Співробітники компанії отримали такі сертифікати:
Види звітності, що надаються
Підсумковий звіт складається з двох частин, вони містять:
Безпека інформаційної системи — один з критично важливих аспектів, на які повинен звертати увагу власник організації. Перевірити рівень захищеності системи допоможе тест на проникнення.
Для тесту підбираються найвідповідніші вектори відповідно запитів клієнта.
Великий досвід роботи дозволяє нам швидко і якісно надавати послуги.
Якщо раптом у клієнта виникають додаткові проблеми, він може звернутися до нашої служби підтримки, яка допоможе якнайшвидше вирішити їх.