Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Статьи:
Решения:
Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Пентест
Тестирование на проникновение (пентест/pentest, penetration test) позволяет выявить уязвимости, получить объективную оценку защищенности компании
Для чего нужен пентест?
Пентест нужен для оценки уровня безопасности информационных систем или приложений. Самый эффективный способ проверить защищенность периметра ИБ — попытаться его взломать. Протестировать функционирующие в компании системы намного дешевле, чем устранять последствия от утечки данных или взлома сетевого периметра.
В рамках тестирования специалисты Infosecurity применяют различные методы оценки защищенности: ручной и автоматизированный поиск уязвимостей и нарушений конфигураций, социотехническое и нагрузочное тестирование, эксплуатация обнаруженных уязвимостей и проведение атак. Пентест помогает защитить активы компании, и выстроить грамотный план инвестиций в системы безопасности без лишних трат и использования ресурсов.
Получить экспертные рекомендации для устранения уязвимостей и повысить эффективность защиты
ИТ-инфраструктуры
ИТ-инфраструктуры
Выявление и устранение уязвимостей
Оценить применяемые меры защиты компании и узнать, какие существуют уязвимости во внешнем и внутреннем периметре корпоративной сети
Выполнение требований регуляторов
Оценка и повышение уровня защищенности
Привести защищенность инфраструктуры в соответствие требованиям регуляторов (382-П, 683-П, 684-П, ГОСТ Р 57580.1-2017, Указ 250 и пр.)
Каким компаниям важно проводить пентест
Банкам и др. финансовым организациям
Малому и среднему бизнесу
Провайдерам сервисов
Разработчикам приложений
Значимым объектам КИИ
Ежегодное тестирование на проникновение и анализ уязвимостей (положения 683-П, 719-П, 757-П Банка России, ГОСТ 57580, PCI DISS)
Электронной коммерции
Пентест необходимо проводить до ввода объекта в эксплуатацию (приказ ФСТЭК России № 239, Указ №250)
Находятся в группе повышенного риска для хакерских атак, эксплуатации уязвимостей и утечки конфиденциальных данных
Находятся в группе повышенного риска для хакерских атак, эксплуатации уязвимостей и утечки конфиденциальных данных
Для поддержания бесперебойной работы сервисов, снижения риска финансовых потерь и утечек конфиденциальных данных
Для соответствия стандартам безопасности и предотвращения возможной эксплуатации уязвимостей
Виды пентеста
ETHIC.CPT (Continuous Penetration Testing) переосмысливает традиционные подходы к анализу защищенности инфраструктуры. Сервис в составе платформы и опытной команды пентестеров Infosecurity обеспечивает мониторинг периметра 24/7. По сравнению с классическим пентестом, сервис обеспечивает всесторонний контроль безопасности за счет непрерывного мониторинга периметра и своевременного выявления уязвимостей.
Платформа объединяет в себе несколько популярных сканеров, направленных на постоянный мониторинг состояния внешнего периметра и веб-приложений. Все данные автоматически агрегируются в системе, с которыми работает команда Infosecurity. Сервис ETHIC.CPT полностью исключает ложные срабатывания за счет верификации каждого события вручную командой пентестеров.
Дашборд платформы ETHIC.CPT оснащен всей необходимой информацией об уязвимостях в понятном и доступном формате, включая сводную информацию:
Это позволяет эффективно отслеживать статусы обработки уязвимостей и динамику безопасности их периметра.
Платформа объединяет в себе несколько популярных сканеров, направленных на постоянный мониторинг состояния внешнего периметра и веб-приложений. Все данные автоматически агрегируются в системе, с которыми работает команда Infosecurity. Сервис ETHIC.CPT полностью исключает ложные срабатывания за счет верификации каждого события вручную командой пентестеров.
Дашборд платформы ETHIC.CPT оснащен всей необходимой информацией об уязвимостях в понятном и доступном формате, включая сводную информацию:
- о состоянии защищенности периметра;
- топ критических уязвимостей;
- полное описание по каждой уязвимости;
- рекомендации по устранению уязвимостей.
Это позволяет эффективно отслеживать статусы обработки уязвимостей и динамику безопасности их периметра.
Наш подход объединяет глубокий анализ исходного кода с целью выявления уязвимостей и тестирование безопасности в контролируемой среде. Анализ подразумевает сканирование предоставленного исходного кода, разбор и оценку возможности эксплуатации обнаруженных проблем безопасности путем ручного разбора кода и моделирования действий потенциальных злоумышленников и оценки возможности использования выявленных уязвимостей и недостатков для осуществления несанкционированного доступа к конфиденциальной информации или для нарушения работы обрабатывающих такую информацию информационных систем.
Состав работ:
Состав работ:
- Получение предварительной информации и доступа к исходному коду тестируемого проекта
- Проведение статического анализ кода с применением инструментов для обнаружения потенциальных ошибок и уязвимостей
- Проведение анализа безопасности с целью ручного поиска веб-уязвимостей таких как SQL-инъекции, межсайтового скриптинга и т.д.
- Проверка корректности обработки входных данных. Оценка соблюдения принципов безопасной разработки
- Проведение анализа производительности для оценки эффективности алгоритмов и структур данных
- Проведение анализа структуры кода для проверки организации кода и соответствия его архитектурным принципам
- Проведение анализа безопасности используемых библиотек и плагинов в исходном коде
- Подготовка отчета по результатам тестирования
Тестирование на проникновение внешнего периметра направлено на поиск путей проникновения внешнего нарушителя во внутреннюю сеть с использованием уязвимостей и ошибок конфигурации устройств, доступных из сети Интернет, сетевых служб и приложений.
Используемые методы:
Объекты тестирования:
Средняя продолжительность: 18-25 дней
Используемые методы:
- OSINT (Open-Source Intelligence) исследование — получение предварительной информации о сетевом периметре на основе источников информации, доступных потенциальному нарушителю (поисковые системы, новости, конференции и т.п.). Сканирование хостов сетевого периметра, определение типов устройств, операционных систем и приложений.
- Проведение сканирования на наличие уязвимостей.
- Анализ защищенности сервисов сетевой инфраструктуры и электронной почты.
- Анализ защищенности систем совместной работы SharePoint, OWA, Confluence и других.
- Проведение брутфорс-атак.
- Идентификация уязвимостей сетевых служб и приложений.
- Эксплуатация наиболее критичных уязвимостей с целью преодоления сетевого периметра.
- Анализ возможностей развития атаки во внутреннюю сеть.
Объекты тестирования:
- Операционные системы
- Средства защиты информации
- Сетевые сервисы и службы
Средняя продолжительность: 18-25 дней
Тестирование на проникновение внутреннего периметра направлено на анализ защищенности внутреннего контура от атак со стороны нарушителя, имеющего доступ к локальной сети организации. Работы данного этапа могут осуществляться как локально, так и удаленно, с помощью защищенного подключения по технологии VPN.
Используемые методы:
Объекты тестирования:
Средняя продолжительность: 25-30 дней
Используемые методы:
- Пассивный сбор информации о подсети.
- Перехват и анализ сетевого трафика.
- Проведение сетевых атак.
- Сканирование узлов, доступных из пользовательского сегмента ЛВС, сбор информации об открытых портах, определение типов устройств, анализ сетевой сегментации.
- Проведение сканирования на наличие уязвимостей (если это возможно по условию внутреннего тестирования).
- Эксплуатация уязвимостей.
- Восстановление паролей и хеш-суммы паролей из оперативной памяти и реестра.
- Восстановление хеш-суммы паролей по словарю.
- Анализ Active Directory.
- Боковое перемещение (Lateral Movement) и повышение привилегий.
- Проверка возможности получения доступа к конфиденциальной информации и (или) информации ограниченного доступа.
- Производится проверка прав доступа к различным информационным ресурсам с привилегиями, полученными на различных этапах тестирования.
Объекты тестирования:
- СУБД
- Рабочие станции
- Серверы (FTP, почтовый, SQL и др.)
- Сетевые службы и сервисы
- Сетевое оборудование
- Средства защиты информации
Средняя продолжительность: 25-30 дней
Тестирование на проникновение сайта и веб-приложений направлено на поиск уязвимостей, в результате эксплуатации которых атакующий может получить доступ к хранимой и обрабатываемой информации или нарушить нормальную работу сайта или веб-приложения.
Используемые методы:
Ручная проверка проходит по методологии OWASP Top 10, но не ограничивается ею. Проверка включает в себя следующие категории:
Объекты тестирования:
Средняя продолжительность: 18-25 дней
Используемые методы:
- Получение предварительной информации о веб-ресурсе на основе источников информации, доступных потенциальному нарушителю.
- Анализ веб-приложения от имени аутентифицированного и анонимного пользователя.
- Автоматизированное сканирование на наличие веб-уязвимостей с использованием зарекомендовавших себя инструментальных средств.
- Ручная верификация и анализ результатов инструментального сканирования, проверка соответствия конфигурации веб-приложения рекомендациям по безопасной настройке программного обеспечения (CMS, фреймворков, веб-сервера, сервера приложений и т.п.).
Ручная проверка проходит по методологии OWASP Top 10, но не ограничивается ею. Проверка включает в себя следующие категории:
- Ошибки контроля доступа
- Криптографические сбои
- Инъекции
- Неправильные конфигурации
- Уязвимые и устаревшие компоненты
- Ошибки идентификации и аутентификации
- Ошибки целостности программного обеспечения и данных
- Регистрация безопасности и мониторинг сбоев
- Подделка запросов на стороне сервера
- Прочие атаки, целью которых является выполнение кода на стороне сервера
- Подбор паролей пользователей веб-приложения
Объекты тестирования:
- Операционные системы
- Системы управления сайтами (CMS)
Средняя продолжительность: 18-25 дней
Тестирование на проникновение мобильных приложений направлено на обнаружение уязвимостей, которые могут быть использованы злоумышленником для получения доступа к хранимой и обрабатываемой в приложении информации или нарушения его нормальной работы.
Методы, используемые при тестировании на проникновение мобильных приложений, включают получение предварительной информации о приложении, анализ его от имени авторизованного и неавторизованного пользователя, а также автоматизированное сканирование на наличие уязвимостей при помощи специальных инструментальных средств.
Ручная проверка проводится в соответствии с методологией OWASP Mobile Top 10 и включает проверку следующих категорий уязвимостей:
· Ошибки аутентификации и авторизации
· Недостаточная защита хранилища данных
· Недостаточная защита передачи данных
· Недостаточная защита сессий и временных файлов
· Небезопасная логика приложения
· Ошибки на стороне сервера
· Небезопасная конфигурация
· Недостаточная защита от социальной инженерии
· Небезопасная использование компонентов
Тестирование на проникновение мобильных приложений необходимо для обеспечения безопасности хранящейся в них информации и защиты бренда компании от негативных последствий возможных атак.
Методы, используемые при тестировании на проникновение мобильных приложений, включают получение предварительной информации о приложении, анализ его от имени авторизованного и неавторизованного пользователя, а также автоматизированное сканирование на наличие уязвимостей при помощи специальных инструментальных средств.
Ручная проверка проводится в соответствии с методологией OWASP Mobile Top 10 и включает проверку следующих категорий уязвимостей:
· Ошибки аутентификации и авторизации
· Недостаточная защита хранилища данных
· Недостаточная защита передачи данных
· Недостаточная защита сессий и временных файлов
· Небезопасная логика приложения
· Ошибки на стороне сервера
· Небезопасная конфигурация
· Недостаточная защита от социальной инженерии
· Небезопасная использование компонентов
Тестирование на проникновение мобильных приложений необходимо для обеспечения безопасности хранящейся в них информации и защиты бренда компании от негативных последствий возможных атак.
Тестирование на проникновение Wi-Fi сетей проводится на территории организации и направлено на выявление недостатков в использовании точек доступа и клиентских устройств, недостатков в архитектуре и организации беспроводного доступа.
Используемые методы:
Объекты тестирования:
Средняя продолжительность: 15-20 дней
Используемые методы:
- Сканирование диапазона Wi-Fi-сетей и получение информации о точках доступа.
- Проведение атак на сети Wi-Fi (WPS, PMKID, WPA, WPA2).
- Выявление недостатков в организации беспроводных сетей и недостатков конфигурации точек доступа, позволяющих проводить атаки на сетевое оборудование, сети и клиентов сетей.
- Проведение атак на WPA2 Enterprise.
Объекты тестирования:
- Беспроводные сети компании
- Аппаратное обеспечение сетей Wi-Fi
Средняя продолжительность: 15-20 дней
Социотехническое тестирование на проникновение позволяет оценить уровень осведомленности сотрудников организации в вопросах информационной безопасности, а также их готовность распознать фишинговые рассылки и мошеннические звонки.
Используемые методы:
Объекты тестирования:
Средняя продолжительность: 15-25 дней
Используемые методы:
- Поиск в сети интернет сведений, часто используемых при атаках (утечки данных, несанкционированное использование учетных записей и т.д.).
- Почтовые рассылки с имитацией вредоносного вложения.
- Почтовые рассылки с имитацией вредоносной ссылки.
- Почтовые рассылки с имитацией вредоносного офисного документа.
- Целевое общение с сотрудниками по телефону (корпоративному) с целью получения конфиденциальной информации.
Объекты тестирования:
- Персонал компании, в том числе сотрудники служб ИТ и ИБ
- Средства зашиты от фишинговых атак и эксплуатации уязвимостей нулевого дня
- Рабочие станции
Средняя продолжительность: 15-25 дней
Гарантия качества
При проведении тестирования на проникновение мы всегда совместно с заказчиком составляем соглашение об уровне предоставления услуг (Service Level Agreement, SLA), в котором прописываются все критические параметры: объекты исследований, уровень доступа к инфраструктуре заказчика, условия проведения атак, направленных на эксплуатацию уязвимостей и т. д. Таким образом заказчик платит только за требуемый ему набор услуг, приемлемый именно для его бизнеса.
Центр мониторинга и реагирования на инциденты информационной безопасности Infosecurity обладает официальным международным статусом CERT/Computer Emergency Response Team, что гарантирует наиболее эффективное проведение пентестов — мы плотно сотрудничаем с международным сообществом центров реагирования на инциденты ИБ, оперативно получаем актуальную информацию об угрозах и организовываем эффективное взаимодействие в противодействии киберпреступности.
Выбор подхода к проведению пентеста
Разработка методики и выбор инструментария для проведения тестирования на проникновение.
Cбор сведений о структуре и компонентах системы с использованием открытых источников.
Сбор информации
Использование открытых источников, для сбора сведений о структуре и компонентах системы. Поиск уязвимостей автоматизированными средствами и «ручными» методами.
Анализ инфраструктуры и поиск уязвимостей
1
2
3
4
Эксплуатация уязвимостей
Проверка получения доступа к конфиденциальной информации, интерфейсам администрирования, проведение сетевых атак.
5
Анализ результатов выполнения атак, контроль качества выполненных работ для оптимизации разрабатываемых рекомендаций по повышению защищенности систем.
Анализ полученных данных
6
Разработка отчета с рекомендациями
Список обнаруженных уязвимостей с указанием степени риска, рекомендации по устранению уязвимостей, а также общие выводы по уровню защищенности инфраструктуры.
Тестирование систем контроля физического доступа, СКУД, использование сетевых и USB-имплантов при социотехническом пентесте.
От обследования отдельных компонентов (Wi-Fi, сайт и т. д.) до комплексного обследований внешнего и внутреннего периметров, включая социотехнический пентест
Наши специалисты обладают 13-летним опытом и экспертизой в проведении пентестов и имеют необходимые сертификаты (OSCP, Pentesting)
Опыт проведения специфических работ
Проводим все виды пентеста
Сертифицированные специалисты
Используем высокотехнологичное аппаратное оборудование и собственную методологию, основанную на российском законодательстве и многолетнем опыте
Опыт работы с разными компаниями: финансовыми, государственными, промышленными, производственными
Используем уникальные методологии
13-летний опыт работы в различных отраслях
Доверьте пентест Infosecurity
100% социотехнических пентестов привело к контролируемой утечке чувствительных данных, а 90% внутреннних пентестов завершилось получением прав администратора
Высокие результаты пентестов
FAQ
Pentest (Penetration Testing) — это метод оценки безопасности информационных систем или приложений, с использованием техник и инструментов, подобных тем, которые могут использовать злоумышленники. Целью пентеста является выявление уязвимостей в безопасности системы и предоставление рекомендаций по их устранению.
Пентест выполняется специалистами в области информационной безопасности, которые имеют опыт в использовании специализированных инструментов и техник.
Пентест может включать в себя внешнее или внутреннее тестирование. Внешний пентест предполагает анализ системы с точки зрения внешнего злоумышленника, который пытается получить доступ к системе через Интернет. Внутренний пентест включает в себя анализ системы с позиции внутреннего пользователя или сотрудника, который имеет доступ к системе.
Результатом пентеста является доклад, в котором представлены выявленные уязвимости в безопасности системы и рекомендации по их устранению. Доклад помогает владельцам системы или приложения понять, какие угрозы существуют для их информационных систем и как их можно устранить. В докладе также может быть перечислена информация о проведенных тестах, их результатах и методах, использованных для выявления уязвимостей.
Пентест должен выполняться только с разрешения владельца системы и в соответствии с законодательством об информационной безопасности.
Пентест выполняется специалистами в области информационной безопасности, которые имеют опыт в использовании специализированных инструментов и техник.
Пентест может включать в себя внешнее или внутреннее тестирование. Внешний пентест предполагает анализ системы с точки зрения внешнего злоумышленника, который пытается получить доступ к системе через Интернет. Внутренний пентест включает в себя анализ системы с позиции внутреннего пользователя или сотрудника, который имеет доступ к системе.
Результатом пентеста является доклад, в котором представлены выявленные уязвимости в безопасности системы и рекомендации по их устранению. Доклад помогает владельцам системы или приложения понять, какие угрозы существуют для их информационных систем и как их можно устранить. В докладе также может быть перечислена информация о проведенных тестах, их результатах и методах, использованных для выявления уязвимостей.
Пентест должен выполняться только с разрешения владельца системы и в соответствии с законодательством об информационной безопасности.
Тестирование на проникновение (пентест/pentest, penetration test) – один из элементов аудита защищенности информационной системы. Пентест это не только элемент комплексного аудита информационной безопасности, но и самодостаточный инструмент для оценки реального уровня защищенности IT-инфраструктуры.
Автоматическая проверка является одним из этапов тестирования на проникновение. Сканер уязвимостей позволяет выявить базовые уязвимости в системе и собрать необходимую информацию для следующих этапов тестирования. Пентест же позволяет понять специалистам, каким образом найденными уязвимостями могут воспользоваться злоумышленники, и разработать рекомендации по их наиболее эффективному устранению. Тестирование на проникновение может включать в себя не только анализ информационных систем, но и инфраструктуры в целом: топологии сетей, настроек оборудования (в том числе Wi-Fi) и других потенциальных точек воздействия.
Анализ защищённости предназначен для поиска всех возможных уязвимостей в IT-инфраструктуре. При базовом анализе защищенности исследование прекращается после обнаружения недостатка, то есть услуги не включают в себя выполнение атаки с эксплуатацией найденной уязвимости, как при тестировании на проникновение.
Infosecurity проводит как комплексный анализ защищенности, включающий в себя тестирование на проникновение, так и отдельно пентест в зависимости от потребностей организации.
Infosecurity проводит как комплексный анализ защищенности, включающий в себя тестирование на проникновение, так и отдельно пентест в зависимости от потребностей организации.
Черный ящик (black box)
При тестировании методом «черного ящика» у специалистов нет информации о системе, они моделируют поведение злоумышленников, то есть неосведомленных людей. Этот подход наиболее близок к реальной атаке и требует высокой степени технических навыков. Пентестеру не предоставляются какие-либо схемы архитектуры или исходный код, т. е. сведения не являющиеся общедоступными.
Тест на проникновение методом «черного ящика» определяет уязвимости в системе, которые можно использовать вне сети. Тестирование основано на динамическом анализе работающих в данный момент программ и систем в сети. Специалист по тестированию использует инструменты автоматического сканирования и методологии ручного тестирования на проникновение. Также специалисты создают собственную карту сети на основе своих наблюдений. Основной недостаток метода — если специалисты не могут взломать периметр, любые уязвимости внутренних сервисов остаются не обнаруженными и не исправленными.
Серый ящик (grey box)
При тестировании методом «серого ящика» пентестер имеет ограниченное представление об уровне безопасности компании. Специалисту доступна информация о внутреннем устройстве сети, включая документацию, а также имеется непривилегированная внутренняя учетная запись к сети. Цель пентеста методом «серого ящика» — обеспечить более целенаправленную и эффективную оценку безопасности сети, чем оценка «черного ящика». Используя проектную документацию сети, пентестеры могут сосредоточить свои усилия на системах с наибольшим риском и ценностью с самого начала, а не тратить время на самостоятельное определение этой информации. Внутренняя учетная запись в системе также позволяет тестировать безопасность внутри усиленного периметра и имитирует злоумышленника с долгосрочным доступом к сети.
Белый ящик (white box)
При тестировании методом «белого ящика» внутренняя структура, устройство и реализация системы известны специалистам по пентесту. Тестирование методом «белого ящика» включает в себя анализ потока данных, потока управления, потока информации, методов кодирования. А также обработки ошибок в системе для проверки предполагаемого и непреднамеренного поведения ПО. Иными словами, метод заключается в том, что пентестер обладает правами доступа администратора и имеет полное представление об IT-инфраструктуре компании.
Тестирование методом «белого ящика» может быть выполнено:
При тестировании методом «черного ящика» у специалистов нет информации о системе, они моделируют поведение злоумышленников, то есть неосведомленных людей. Этот подход наиболее близок к реальной атаке и требует высокой степени технических навыков. Пентестеру не предоставляются какие-либо схемы архитектуры или исходный код, т. е. сведения не являющиеся общедоступными.
Тест на проникновение методом «черного ящика» определяет уязвимости в системе, которые можно использовать вне сети. Тестирование основано на динамическом анализе работающих в данный момент программ и систем в сети. Специалист по тестированию использует инструменты автоматического сканирования и методологии ручного тестирования на проникновение. Также специалисты создают собственную карту сети на основе своих наблюдений. Основной недостаток метода — если специалисты не могут взломать периметр, любые уязвимости внутренних сервисов остаются не обнаруженными и не исправленными.
Серый ящик (grey box)
При тестировании методом «серого ящика» пентестер имеет ограниченное представление об уровне безопасности компании. Специалисту доступна информация о внутреннем устройстве сети, включая документацию, а также имеется непривилегированная внутренняя учетная запись к сети. Цель пентеста методом «серого ящика» — обеспечить более целенаправленную и эффективную оценку безопасности сети, чем оценка «черного ящика». Используя проектную документацию сети, пентестеры могут сосредоточить свои усилия на системах с наибольшим риском и ценностью с самого начала, а не тратить время на самостоятельное определение этой информации. Внутренняя учетная запись в системе также позволяет тестировать безопасность внутри усиленного периметра и имитирует злоумышленника с долгосрочным доступом к сети.
Белый ящик (white box)
При тестировании методом «белого ящика» внутренняя структура, устройство и реализация системы известны специалистам по пентесту. Тестирование методом «белого ящика» включает в себя анализ потока данных, потока управления, потока информации, методов кодирования. А также обработки ошибок в системе для проверки предполагаемого и непреднамеренного поведения ПО. Иными словами, метод заключается в том, что пентестер обладает правами доступа администратора и имеет полное представление об IT-инфраструктуре компании.
Тестирование методом «белого ящика» может быть выполнено:
- Для проверки того, соответствует ли реализация кода предполагаемому замыслу
- Для проверки реализованных функций безопасности
- Для выявления уязвимостей, которые можно использовать
Пентест должен проводиться с такой же частотой, с какой обновляется целевое приложение. Если речь идёт о тестировании системы безопасности, такой анализ достаточно проводить 2–3 раза в год. Банки и НКО обязаны проводить пентест ежегодно, согласно положению 683-П ЦБ РФ.
Тестирование на проникновение позволяет:
- Соблюсти выполнение требований стандартов и нормативных документов. Например, положение 719-П ЦБ РФ, ГОСТ Р 57580.1-2017, требование пункта 11.3 стандарта PCI DSS и пр.
- Предупредить инциденты информационной безопасности
- Оценить эффективность используемых средств защиты информации
- Выявить и устранить уязвимости в защите информационных систем
- Оценить эффективность бизнес-процессов и менеджмента информационной безопасности
- Получить обоснование финансовых затрат на изменения в системе информационной безопасности
- Составить план реагирования на атаки, позволяющий снизить возможность их реализации
Банки и другие финансовые организации обязаны проводить пентест, исходя из Положения 683-П ЦБ РФ и ГОСТ 57580. Они обязывают банки проводить тестирование на проникновение для оценки уровня защиты информационных систем.
Объекты критической информационной инфраструктуры (КИИ) также обязаны проводить тестирование на проникновение, согласно Приказу ФСТЭК № 239.
Пентест проводится не только для соответствия требованиям законодательства и регуляторов. Тестирование на проникновение помогает частным и государственным компаниям объективно оценить уровень защищенности своей инфраструктуры и надежность систем защиты. Вовремя не выявленные уязвимости могут причинить серьезный финансовый и репутационный ущерб.
Объекты критической информационной инфраструктуры (КИИ) также обязаны проводить тестирование на проникновение, согласно Приказу ФСТЭК № 239.
Пентест проводится не только для соответствия требованиям законодательства и регуляторов. Тестирование на проникновение помогает частным и государственным компаниям объективно оценить уровень защищенности своей инфраструктуры и надежность систем защиты. Вовремя не выявленные уязвимости могут причинить серьезный финансовый и репутационный ущерб.
Напишите нам, чтобы повысить уровень защищенности компании
Нажимая кнопки на сайте Вы даете свое согласие на обработку Ваших персональных данных, в соответствии с №152-ФЗ «О персональных данных» от 27.07.2006 года. Не является публичной офертой.
