Тестирование на проникновение (Blackbox, Whitebox)

Тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест) является популярной во всем мире услугой в области информационной безопасности. Суть таких работ заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования аудитор выполняет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика.

В большинстве случаев внешний атакующий способен проникнуть во внутреннюю сеть атакуемой компании, используя внешние объекты в качестве опорной платформы для развития и расширения поверхности атаки. До 20% критичных уязвимостей выявляются на этапе сбора информации — при минимальном воздействии (снижен риск обнаружения атаки) на тестируемые объекты. Комбинированный тест на проникновение, включающий социальную инженерию, является наиболее эффективным — до 70% пользователей атакуемой системы восприимчивы к социотехническим атакам.

Выполняя тестирование на проникновение мы руководствуемся не только стандартами и методологиями, такими как OWASP, OSSTMM, NIST, но и используем лучшие мировые практики тестирования на проникновение, современные методы и инструменты, которые используют злоумышленники.Услуги предоставляются в соответствии с политиками аудита, базирующихся на методологии OSSTMM («The Open Source Security Testing Methodology Manual») и включают в себя действия:

  • Определение скопа IP адресов;
  • Пассивный сбор информации;
  • Определение периметра сети;
  • Сканирование портов;
  • Определение типов и видов сетевого оборудования;
  • Определение типов и видов ОС, в инфраструктуре сети;
  • Определение типов и видов смежной периферии в инфраструктуре сети;
  • Определение типов и видов специализированных устройств или их совокупности;
  • Сбор баннеров / поиск публичных эксплойтов;
  • Анализ данных;
  • Определение «точек входа»;
  • Сбор и анализ полученной информации;
  • Описание векторов атаки;
  • Попытки эксплуатации;
  • Подтверждение полученных векторов;
  • Составление отчета.

По результатам тестирования на проникновение будет предоставлен детальный отчет с выявленными уязвимостями, рекомендациями по устранению, примерами атак и описаниями возможных сценариев проникновения.

Все работы выполняются при условии предоставления технического задания (ТЗ) со стороны заказчика. Стоимость услуг рассчитывается индивидуально, согласно представленному ТЗ.