Услуга «Пентест (Pentest)» — это тестирование на проникновение, метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Цель испытаний на проникновение — оценить его возможность осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки. Испытание на проникновение является помощником при проверки безопасности информационных ресурсов компании и их слабых мест.
- Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании.
- Анализ ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы.
- Результатом работы является отчет, содержащий в себе все найденные уязвимости системы безопасности, а также может содержать рекомендации по их устранению.
- В основе испытаний на проникновение могут лежать несколько различных методик. Основными отличиями является наличие информации об исследуемой системе. При проверке закрытых систем (систем типа чёрный ящик) атакующий не имеет первоначальных сведений об устройстве атакуемой цели. Первоначальная задача такого вида проверки — сбор необходимой информации о расположении целевой системы, её инфраструктуры. Помимо закрытых систем существуют открытые (доступна полная информация о целевой системе), и полузакрытые (имеется лишь частичная информация).
- К целевым системам относятся компьютерные системы c доступом из сети Интернет. Испытание на проникновение должно проводиться до запуска целевой системы в массовое использование. Это дает определенный уровень гарантии, что любой атакующий не сможет нанести вред, прямой или косвенный, работе исследуемой системы.
Тест на проникновение или пентест – это попытка взлома информационного ресурса организации, направленная на получение объективной оценки уровня информационной безопасности исследуемого ресурса, обнаружение его уязвимостей и слабых мест. Тест на проникновение позволяет понять Заказчику, эффективны ли используемые средства защиты, и какова вероятность взлома и получения информации злоумышленником.
Для чего необходим пентест?
Пентест предназначен для получения объективной оценки защищенности информационной среды организации от внешних и внутренних угроз со стороны потенциального нарушителя безопасности. При проведении теста на проникновение, моделируются действий злоумышленника, направленные на проникновению в информационную систему Заказчика.
Пентест позволяет:
- Выявить наиболее уязвимые места в системе информационной безопасности;
- Понять каким способом, и через какие уязвимости злоумышленник может проникнуть в информационную среду организации;
- Получить объективную оценку общего уровня безопасности информационной среды организации;
- Оценить возможные последствия от таких действий.
Когда необходим пентест?
Основные причины, по которым компании задумываются о проведении данного вида аудита следующие:
- Оценка существующей системы управления информационной безопасности;
- Оценка защищенности отдельных ресурсов или средств защиты организации;
- Анализ возможного ущерба от действий злоумышленников;
- Оценка действий персонала организации.
Объекты теста на проникновение
При проведении теста помимо технических методик также используются методы социальной инженерии, позволяющие оценить уровень подготовки сотрудников в вопросах информационной безопасности. Может быть предпринята рассылка электронных писем, вынуждающих пользователей выполнить определенные действия, либо попытка узнать нужную информацию от сотрудников организации при помощи телефонного звонка в ИТ-службу. Все условия и действия заранее обговариваются и утверждаются с Заказчиком.
Пентест: методы, сроки.
Однозначно определить сроки проведения аудита достаточно сложно, они варьируются в зависимости от масштаба работы и уровня защищенности объектов тестирования. Минимальный срок теста на проникновение занимает от 2х недель. На первом этапе аудита используются автоматизированные средства, позволяющие определить известные и существующие уязвимости, если такие не находятся, то специалисты разрабатывают специализированные решения для теста на проникновение, при этом учитывается специфика атакуемого объекта и человеческий фактор.
Соглашение о неразглашении (NDA)
Перед проведением теста на проникновение, компания «Pointlane» и компания-Заказчик подписывают соглашение о неразглашении (NDA), данный документ гарантирует конфиденциальность информации полученной в ходе теста на проникновение.
Тест на проникновение: основные этапы
Основные этапы теста на проникновение:
- Анализ общедоступной информации о компании, и ее информационной среде;
- Проведение исследований связанных с социальной инженерией;
- Анализ уязвимостей внутренних и внешних ресурсов;
- Осуществление проникновения;
- Создание отчетной документации.
Тест на проникновение: результаты
- Детальное отображение выявленных уязвимостей и недостатков, представляющих угрозу для бизнес-процессов компании, уровень их рисков, оценка возможностей злоумышленника ими воспользоваться;
- Описание сценариев, при помощи которых проводилось проникновение;
- Подробное описание структуры объектов тестирования;
- Методы и средства, использованные во время проведения теста на проникновение;
- Рекомендации по устранению обнаруженных уязвимостей и недостатков.
Все работы выполняются при условии предоставления технического задания (ТЗ) со стороны заказчика. Стоимость услуг рассчитывается индивидуально, согласно представленному ТЗ.