Тестирование на проникновение

Тестирование на проникновение (пентест, тест на преодоление защиты) является наиболее реалистичным методом проверки защищенности объектов информатизации, на практике выявляющий эффективность внедренных систем защиты и принятых мер безопасности, а также является отличной проверкой работы службы безопасности в реальных условиях. Данный метод подразумевает санкционированную имитацию действий настоящего злоумышленника специалистами нашей компании и направлен на доступ к защищаемым данным посредством обнаружения и последующей эксплуатации выявленных цепочек уязвимостей в сетевом оборудовании, средствах защиты информации, серверном, системном и прикладном программном обеспечении. В отличие от реальной атаки хакеров, тестирование на проникновение не подразумевает нанесение ущерба компании и полностью контролируется. В рамках заданного срока и заранее определенной модели нарушителя проводится исследование ИТ-инфраструктуры и выявление возможных уязвимостей. По результатам такого тестирования формируется отчет с перечнями выявленных уязвимостей, возможных векторов атак и рекомендациями по их устранению или применению компенсационных мер. Регулярное периодическое тестирование на проникновение является требованием стандартов PCI DSS и ISO 27001, а также позволяет оценить уровень защищенности компании в динамике. В зависимости от текущего состояния защищенности компании и ее активов, ставятся разные цели перед пентестом: начиная от выявления максимального количества уязвимостей и получения максимального административного доступа ко всем элементам системы, включая закрытые исходные коды продуктов компании, заканчивая полным отсутствием какой-либо информации об исследуемой системе. Тестирование на проникновение может подразделяться на несколько видов в зависимости от степени раскрытия информации для наших специалистов, а также информированности службы безопасности заказчиков.

Может включать в себя следующие этапы работ:

• Инвентаризация ресурсов
• Мониторинг и поиск утечек информации
• Социально-техническое тестирование
• Подготовка отчетной документации о результатах тестирования

Квалификация специалистов АСС АйТи предоставляет возможность проводить не только комплексные работы по тестированию на проникновение, но и предлагать отдельные экспертные услуги в рамках данного направления в соответствие с требуемыми задачами и направленностями бизнеса заказчика.

Отдельные экспертные услуги:

1. Сбор разведданных, инвентаризация и мониторинг утечек информации
2. Внешнее тестирование на проникновение в сеть
3. Внутренне тестирование на проникновение в сеть
4. Тестирование на физическое проникновение
5. Тестирование безопасности Wi-Fi сетей
6. Пентест Web-приложений
7. ATM Security (безопасность банкоматов)
8. Выявление внутреннего фрода
9. Услуги консультационного характера, заключающиеся в аналитике имеющейся информации, консалтинге на тему повышения уровня защищенности и утилизации рисков информационной безопасности