Тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест) является популярной во всем мире услугой в области информационной безопасности. Суть таких работ заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования аудитор выполняет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика.
В большинстве случаев внешний атакующий способен проникнуть во внутреннюю сеть атакуемой компании, используя внешние объекты в качестве опорной платформы для развития и расширения поверхности атаки. До 20% критичных уязвимостей выявляются на этапе сбора информации — при минимальном воздействии (снижен риск обнаружения атаки) на тестируемые объекты. Комбинированный тест на проникновение, включающий социальную инженерию, является наиболее эффективным — до 70% пользователей атакуемой системы восприимчивы к социотехническим атакам.
Выполняя тестирование на проникновение мы руководствуемся не только стандартами и методологиями, такими как OWASP, OSSTMM, NIST, но и используем лучшие мировые практики тестирования на проникновение, современные методы и инструменты, которые используют злоумышленники.Услуги предоставляются в соответствии с политиками аудита, базирующихся на методологии OSSTMM («The Open Source Security Testing Methodology Manual») и включают в себя действия:
- Определение скопа IP адресов;
- Пассивный сбор информации;
- Определение периметра сети;
- Сканирование портов;
- Определение типов и видов сетевого оборудования;
- Определение типов и видов ОС, в инфраструктуре сети;
- Определение типов и видов смежной периферии в инфраструктуре сети;
- Определение типов и видов специализированных устройств или их совокупности;
- Сбор баннеров / поиск публичных эксплойтов;
- Анализ данных;
- Определение «точек входа»;
- Сбор и анализ полученной информации;
- Описание векторов атаки;
- Попытки эксплуатации;
- Подтверждение полученных векторов;
- Составление отчета.
По результатам тестирования на проникновение будет предоставлен детальный отчет с выявленными уязвимостями, рекомендациями по устранению, примерами атак и описаниями возможных сценариев проникновения.
Все работы выполняются при условии предоставления технического задания (ТЗ) со стороны заказчика. Стоимость услуг рассчитывается индивидуально, согласно представленному ТЗ.