Агентство Активного Аудиту

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

penetration testing

ТЕСТ МЕРЕЖ І СИСТЕМ НА СТІЙКІСТЬ ДО ВЗЛОМУ
(pentest)

Що це таке?

Тест мереж і систем на стійкість до злому (pentest), або тест на проникнення, являє собою метод оцінки захищеності комп'ютерних систем або мереж за допомогою симуляції спрямованої атаки. Метою проведення тесту є виявлення вразливостей систем, які могли з'явитися в результаті неправильного налаштування, технічних і програмних помилок, а також операційних недоліків у процесах та технічних засобах контролю.

Підхід до тесту здійснюється з позиції потенційного зломщика і має на увазі активну експлуатацію вразливостей в безпеці, в той же час тест проводиться висококваліфікованими фахівцями, які дотримуються етики при його проведенні.

Будь-які знайдені відомості, що стосуються безпеки, представляються власникові системи разом з оцінкою потенційного збитку. Також надаються конкретні рекомендації щодо усунення знайдених вразливостей.

Тест на проникнення є компонентом аудиту інформаційної безпеки або може проводитися окремо.

Навіщо це потрібно?

замок из песка

У сучасних умовах ведення бізнесу інциденти інформаційної безпеки, як наприклад, розголошення клієнтської бази даних конкурентам або простій інтернет-магазину, можуть призвести не тільки до значних фінансових збитків для бізнесу, але і втрати довіри з боку клієнтів та партнерів.

Нові уразливості інформаційних систем виявляються кожен день, в той же час способи реалізації атак стають більш досконалими і доступними. Для того, щоб зберегти впевненість в захищеності Ваших інформаційних активів необхідно завчасно відвертати загрози безпеки, що вимагає безпосередньої уваги.

Тест на стійкість до злому (pentest) дозволить Вам об'єктивно оцінити реальну картину захищеності вашої інформаціоннай системи і уникнути інцидентів, які призведуть до фінансових втрат і підриву репутації.

Як здійснюється тест на проникнення?

Компанія «Агентство активного аудиту» проводить оцінку захищеності мережі як шляхом зовнішнього сканування, так і за допомогою сканування з внутрішньої мережі замовника.

У якості об'єктів дослідження можуть бути обрані:

  • Зовнішній периметр мережі з позиції хакера;
  • Внутрішній периметр мережі з позиції інсайдера;
  • Фізичне проникнення в приміщення з обмеженим доступом з метою отримання документів\даних або встановлення закладок;
  • Окремий WEB додаток(портал\служба\інтерфейс\сайт), в тому числі системи типу "Інтернет-банкінг";
  • Безпровідні мережі і точки доступу;
  • Тестування методами соціальної інженерії - обдзвін співробітників по телефону;
  • Тестування методами соціальної інженерії - підробні фішингові розсилки (наприклад фальшивий лист від імені начальника ІТ компанії, розісланий внутрішнім співробітникам, з проханням ввести логіни\паролі на підробний сайт корпоративної пошти)
  • Перевірка реакції відповідних підрозділів і систем IPS на виникнення інцидентів інформаційної безпеки, пов'язаних з проведенням хакерських атак;
  • Перевірка на практиці налагодженості процесів управління вразливостями, встановлення критичних оновлень і заплаток, реакції на інциденти, управління доступом, управління змінами, управління конфігураціями, політики паролів та інших;
  • Аналіз безпеки архітектури мережі;
  • Аналіз безпеки налаштувань мережевого обладнання та серверів;

Методика проведення тесту на проникнення «Агентства активного аудиту» розроблена на основі загальновизнаних міжнародних методик, а саме:

  • Information Systems Security Assessment Framework (OISSG);
  • The Open Source Security Methodology Manual (OSSTMM);
  • NIST Guideline on Network Security Testing;
  • ISACA Switzerland – Testing IT Systems Security With Tiger Teams;
  • Cybersecurity Vulnerability Assessment Methodologies (Cybersecurity VAMs).
  • OWASP Testing Guide v4.
Оцінка захищеності проводиться поетапно нашими фахівцями, і включає в себе наступне:pentest

Після застосування контрзаходів, при необхідності, проводиться повторний тест.

В результаті тестування стійкості до злому Ви отримуєте звіт, який містить детальний опис проведених робіт, всі виявлені вразливості системи та способи їх реалізації. Також звіт містить конкретні рекомендації щодо усунення знайдених вразливостей.

 

Читайте також:

Требования к тесту на проникновение (Penetration Test Requirements)