Головна Тестування на проникнення

Тестування на проникнення

Тест на проникнення або pentest — це найважливіший етап аудиту безпеки інформаційних систем організації. Він дозволяє власникам бізнесу впевнитися, що компанія витримає зовнішні атаки, а основні бізнес-процеси не будуть порушені через дії зловмисників. Проведення тесту на проникнення значно знижує ризики виникнення збитків через дії кіберзлочинців.

Термін “pentest” походить від англійської фрази penetration testing. Ця процедура вперше з’явилась на заході. Зараз така процедура є широко розповсюдженою по всьому світу.

У процесі тесту на проникнення спеціалісти FS Group перевіряють усі вузли інформаційної системи, від яких залежить стабільне функціонування процесів організації — сайт, поштовий сервер, клієнтські та мобільні додатки.

У ході пентесту вирішується низка завдань щодо аналізу та оптимізації системи інформаційної безпеки:

  • виявляються вразливості інфосистеми;

  • досліджується можливість доступу рядового персоналу до комерційної таємниці чи закритої інформації;

  • тестується можливість несанкціонованого одержання привілеїв звичайними користувачами;

  • перевіряється рівень захищеності локальної мережі та можливість стороннього підключення до неї.

Використовуються як автоматизовані інструменти, так і найпоширеніші моделі ручного злому, придатні для конкретної інформаційної системи.

Застосовується зовнішній та внутрішній тест. У першому випадку досліджується периметр мережі компанії на проникнення зі сторони, у другому – перевіряються внутрішні ресурси з позиції локального зломника. Процес може йти з повідомленням або потай від користувачів, адміністраторів та служби безпеки.

На основі отриманих даних створюється план дій щодо усунення існуючих вразливостей.

Стандартні об’єкти тестування

  • Аналіз зовнішньої (що знаходиться у загальному доступі) інформації про компанію. Саме з неї починає свою роботу зловмисник

  • Перевірка інфраструктури локальної/бездротової мережі

  • Тестування веб-додатків, сайтів або інтернет-сервісів організації

  • Перевірка доступності системи на несанкціоноване проникнення: можливість отримання паролів, самостійного придбання привілеїв рядовими співробітниками, рівень захисту даних у “червоній зоні” (персональна інформація замовників чи співробітників, комерційна таємниця, фінансова звітність тощо)

  • Оцінюється стійкість маршрутизації для нейтралізації перехоплення даних, що передаються.

За бажанням замовника проводиться тестування й інших систем. Можливо замовлення цільового пентесту окремого об’єкта, але найкращі результати дає комплексний підхід.

Моделі тестів на проникнення

BlackBox. Доступні тільки загальнодоступні дані про ціль дослідження, мережі та їхні параметри.

WhiteBox. Спеціалісту надаються всі необхідні дані для швидкого проведення тесту на проникнення.

GreyBox. Виконавець має доступ тільки до загальнодоступних даних, а також періодично здійснює інформаційні запити про систему для скорочення часу дослідження та більш ефективного процесу тестування.

Хочете дізнатись більше?

Отримати консультацію

Тестування на рівні додатків містить вимоги від:

  • OWASP ASVS;
  • OWASP Testing Guide;
  • PCI DSS;
  • NIST SP 800-115;
  • ISACA Penetration testing procedure (P8).

 

Компетенції спеціалістів

Співробітники компанії отримали такі сертифікати:

  • CEH;
  • CIS;
  • CISSP.

 

Види звітності, що надаються

  • План проведення тесту;
  • Проміжне інформування про хід робіт;
  • Підсумковий звіт за результатами.

 

Підсумковий звіт складається з двох частин, вони містять:

  • Інформацію щодо оцінки рівня захищеності системи замовника з обов’язковим додаванням практичної демонстрації успішної експлуатації вразливостей;
  • Рекомендації щодо усунення чи мінімізації виявлених вразливостей;
  • Класифікація всіх знайдених ризиків.

 

Безпека інформаційної системи — один з критично важливих аспектів, на які повинен звертати увагу власник організації. Перевірити рівень захищеності системи допоможе тест на проникнення.

Чому тестування на проникнення від наших експертів є кращим, ніж у конкурентів
Ефективні вектори атак
Ефективні вектори атак

Для тесту підбираються найвідповідніші вектори відповідно запитів клієнта.

Досвід роботи понад 8 років
Досвід роботи понад 8 років

Великий досвід роботи дозволяє нам швидко і якісно надавати послуги.

Служба підтримки
Служба підтримки

Якщо раптом у клієнта виникають додаткові проблеми, він може звернутися до нашої служби підтримки, яка допоможе якнайшвидше вирішити їх.

Супутні продукти та сервіси
FS PHISHING

FS PHISHING — симулятор фішингових розсилок, метою якого є удосконалення практичних навичок персоналу щодо інформаційної безпеки. Обізнаність персоналу щодо правил цифрової гігієни дозволить захистити вашу організацію від фішингових атак та забезпечуватиме швидке реагування на інциденти, пов’язані з фішингом.

• Інтеграція продукту у корпоративну мережу
• Індивідуальна розробка фішингових сторінок під ваші вимоги
• Можливість написання текстів користувачами
• Налаштування системи під ваш поштовий сервер

Докладніше
FS OSINT LAB

WEB-рішення, яке допомагає проводити перевірку контрагентів і співробітників за даними з різноманітних джерел інформації. Використовується власна Big Data, яка акумулює інформацію з DarkNet і інших джерел. Продукт дозволяє проводити процедуру якісного compliance, due diligence і надає користувачам розширену інформацію для прийняття рішень.

OSINT LAB надає доступ до унікальних даних та може бути корисним різноманітним групам працівників організацій, включно з:

• Спеціалістами із закупівель
• HR-спеціалістами
• Compliance-спеціалістами
• Юристам
• Фінансистам

Додатково перевагою OSINT LAB є зручний інтерфейс, який централізовано збирає і демонструє усі запитувані дані.

Докладніше
FS IRT

Послуга з дослідження та аналізу інцидентів інформаційної безпеки

До базового річного пакета входить:
• консалтинг з експертами;
• розслідування інциденту інформаційної безпеки;
• комплексне криміналістичне дослідження цифрових доказів;
• надання звітів щодо фізичних/юридичних осіб на основі пошуку у різноманітних джерелах інформації;
• щомісячний новинний бюлетень, що містить правила інформаційної безпеки, пов’язані з вразливостями, які активно використовують хакери, а також з рекомендації для підвищення рівня захисту клієнтів;
• тестування на проникнення (penetration testing);

Докладніше
FS MNG

Програмний продукт для моніторингу скомпрометованих акаунтів клієнта на основі дослідження різноманітних джерел інформації.

FS MNG забезпечує:

• Ідентифікацію скомпрометованих акаунтів;
• Запобігання витоку даних;
• Захист від використання викрадених паролів (credential stuffing);
• Оперативне отримання інформації про витоки, до розголосу у медіа;
• Безперервний моніторинг безпеки інформації, який дає можливість діяти на випередження та оцінювати ступінь загрози витоку даних.

Докладніше
FS TI

Програмний продукт, що містить унікальну базу анонімізованих IP-адрес у категоріях TOR, PROXY & VPN. FS TI дозволяє ідентифікувати аномалії в мережевому трафіку та трафіку додатків, а також застосовується для інших потреб клієнта, пов’язаних з аналізом IP-адрес. FS TI містить інформацію про VPN, проксі-сервіси, хостинги, на яких можна розміщувати будь-який контент (абузостійкі), IP-адреси, які використовують для:

• анонімізації при здійсненні шахрайських фінансових операцій з рахунками;
• АРТ-атак на корпоративні мережі;
• шахрайських спроб входу в систему через скомпрометовані облікові записи;
• інших кібератак, в ході яких відбувається обхід системи моніторингу трафіку.

Докладніше

Як і багато інших компаній, FSG використовує на своїх веб-сайтах технологію cookie з метою поліпшення Вашого користувацького досвіду, а також для коректної роботи веб-сайту.

Якщо Ви згодні з використанням усіх файлів cookie на цьому сайті, натисніть кнопку Ok. Щоб дізнатися більше про технологію cookie, її переваги і про те, як її використовує FSG, ознайомтеся з нашою Політикою конфіденційності

Прийняти всі файли cookie