8 (800) 775-97-69
Услуги и решения

Тестирование на проникновение (PenTest)

МАСКОМ Восток имеет большой опыт в сфере построения систем информационной безопасности на предприятиях различных уровней. Мы знаем, что построение эффективной системы защиты информации начинается с анализа уязвимости существующих систем. Для оценки эффективности текущей системы мы используем тестирование на проникновение или пентест.

Тестирование на проникновение Пентест и анализ уязвимостей

Что такое пентест?

Пентест – метод оценки защищенности компьютерной системы или сети, основанный на имитации действий внешнего злоумышленника. Оно позволяет оценить устойчивость системы к атакам, выявить существующие недостатки, определить пути для улучшения средств защиты. Тестирование производится в несколько этапов, которые позволяют структурированно и комплексно произвести оценку.

Для чего в основном требуется тестирование на проникновение?

  • финансовые или критические данные должны быть защищены при передаче их между различными системами или по сети;
  • многие клиенты просят ручное тестирование как часть цикла выпуска программного обеспечения;
  • для защиты пользовательских данных;
  • чтобы найти уязвимости безопасности в приложении;
  • чтобы обнаружить лазейки в системе;
  • оценить влияние успешных атак на бизнес;
  • для соблюдения требований информационной безопасности в организации;
  • для реализации эффективной стратегии безопасности в организации.

Любая организация должна идентифицировать проблемы безопасности, присутствующие во внутренней сети и компьютерах. Используя эту информацию, организация может спланировать защиту от любых попыток взлома. Конфиденциальность пользователей и безопасность данных являются самыми большими проблемами в настоящее время.

Преимуществом проведения пентеста является усиление защищенности информационной системы:

  • выявление максимального количества уязвимостей;
  • принятие мер на основе обоснованных рекомендаций;
  • уверенность в защищенности информации;
  • выполнение требований контролирующих органов/стандартов;
  • обоснование бюджетов подразделения на устранение упущений.

После завершения теста на проникновение мы готовим отчет, который показывает, как проблемы безопасности были идентифицированы и подтверждены во время теста. Также в отчете раскрывается список всех сетевых уязвимостей, обнаруженных в ходе пентеста и содержатся рекомендации по устранению неполадок.

Этапы проведения тестирования на проникновение

1. Планирование пентеста

На этом этапе определяются сроки, стоимость работ, которые будут проводиться, методы, которые будут применены, тип и количество информационных для тестирования и форма отчета.

2. Сбор публично доступных данных о целевых системах

Выполнение ручных проверок и проверок с использованием универсальных сканеров уязвимостей и специализированного ПО, позволяющих обнаруживать уязвимости приложений, операционной системы и сетевой инфраструктуры.

3. Поиск уязвимостей информационных систем (сканирование)

В зависимости от выбранных систем на этом этапе сканируются уязвимости различными программами-сканерами.

Специализация таких сканеров может быть ориентирована на тестирование периметра сети, web-сайтов, отдельных программ и сервисов: баз данных, VPN-устройств, устройств IP-телефонии и т. д.

4. Проникновение в систему (эксплуатация уязвимостей)

Найденные потенциальные уязвимости должны быть проверены вручную, чтобы отфильтровать все ложные срабатывания.

Этот этап предусматривает:

  • верификацию и исследование уязвимостей;
  • проведение атак на компоненты ИТ-инфраструктуры;
  • подбор паролей;
  • определение способов взаимодействия приложений;
  • подтверждение выявленных уязвимостей;
  • сбор доказательств.

5. Написание и предоставление отчета

Разработка рекомендаций по устранению уязвимостей

Составление экспертного заключения с перечнем всех выявленных уязвимостей и подробным планом действий для их устранения и минимизации рисков атак.

После проведения теста на проникновение разрабатывается отчет о тестировании, который обычно содержит:

  • описание границ, в рамках которых был проведен тест на проникновение;
  • методы и средства, которые использовались во время проведения теста на проникновение;
  • описание выявленных дефектов и недостатков, в частности, уровня их риска и возможности их использования злоумышленником;
  • описание примененных сценариев проникновения;
  • описание достигнутых результатов;
  • базовую оценку рисков информационной безопасности Компании;
  • базовую оценку процессов обеспечения информационной безопасности Компании;
  • рекомендации по устранению выявленных недостатков и совершенствованию процессов обеспечения информационной безопасности компании;
  • план работ по устранению найденных уязвимостей и совершенствованию процессов обеспечения информационной безопасности

Чтобы получить больше информации о том, как пентест может помочь защитить вашу организацию от киберугроз, напишите нам, используя форму ниже. Наши специалисты проконсультируют вас.

Задать вопрос или заказать пентест

Прикрепить документ
Ваше сообщение
успешно отправлено!
Мы свяжемся с вами в ближайшее время.
Ваша регистрация
прошла успешно!
В ближайшее время на вашу почту будет
направлено письмо.
Спасибо за уделенное время!
Ваше сообщение отправлено успешно