Тестирование на проникновение

Тестирование на проникновение (пентест, тест на преодоление защиты) является наиболее реалистичным методом проверки защищенности объектов информатизации, на практике выявляющий эффективность внедренных систем защиты и принятых мер безопасности, а также является отличной проверкой работы службы безопасности в реальных условиях. Данный метод подразумевает санкционированную имитацию действий настоящего злоумышленника специалистами нашей компании и направлен на доступ к защищаемым данным посредством обнаружения и последующей эксплуатации выявленных цепочек уязвимостей в сетевом оборудовании, средствах защиты информации, серверном, системном и прикладном программном обеспечении. В отличие от реальной атаки хакеров, тестирование на проникновение не подразумевает нанесение ущерба компании и полностью контролируется. В рамках заданного срока и заранее определенной модели нарушителя проводится исследование ИТ-инфраструктуры и выявление возможных уязвимостей. По результатам такого тестирования формируется отчет с перечнями выявленных уязвимостей, возможных векторов атак и рекомендациями по их устранению или применению компенсационных мер. Регулярное периодическое тестирование на проникновение является требованием стандартов PCI DSS и ISO 27001, а также позволяет оценить уровень защищенности компании в динамике. В зависимости от текущего состояния защищенности компании и ее активов, ставятся разные цели перед пентестом: начиная от выявления максимального количества уязвимостей и получения максимального административного доступа ко всем элементам системы, включая закрытые исходные коды продуктов компании, заканчивая полным отсутствием какой-либо информации об исследуемой системе. Тестирование на проникновение может подразделяться на несколько видов в зависимости от степени раскрытия информации для наших специалистов, а также информированности службы безопасности заказчиков.

Может включать в себя следующие этапы работ:

  • Инвентаризация ресурсов
  • Мониторинг и поиск утечек информации
  • Социально-техническое тестирование
  • Подготовка отчетной документации о результатах тестирования
Квалификация специалистов АСС АйТи предоставляет возможность проводить не только комплексные работы по тестированию на проникновение, но и предлагать отдельные экспертные услуги в рамках данного направления в соответствие с требуемыми задачами и направленностями бизнеса заказчика.

Отдельные экспертные услуги:

  1. Сбор разведданных, инвентаризация и мониторинг утечек информации
  2. Внешнее тестирование на проникновение в сеть
  3. Внутренне тестирование на проникновение в сеть
  4. Тестирование на физическое проникновение
  5. Тестирование безопасности Wi-Fi сетей
  6. Пентест Web-приложений
  7. ATM Security (безопасность банкоматов)
  8. Выявление внутреннего фрода
  9. Услуги консультационного характера, заключающиеся в аналитике имеющейся информации, консалтинге на тему повышения уровня защищенности и утилизации рисков информационной безопасности
Имеются вопросы?
Вопросы?
Задайте их нашим специалистам
Аттестация объектов информатизации
Аттестация автоматизированной системы (АС)
Аттестация защищаемого помещения (ЗП)
Аттестация информационных систем персональных данных (ИСПДн)
Аттестация объектов критической информационной инфраструктуры (КИИ)
Аттестация государственных информационных систем (ГИС)
Периодический контроль
Консалтинг по лицензированию
Консалтинг ФСТЭК разработка и производство СЗКИ
Консалтинг ФСТЭК ТЗКИ
Консалтинг ФСБ
Контрольно-измерительное оборудование (КИО)
Аудит ИБ
Соответствие ПДн
Соответствие ГИС
Соответствие КИИ
Соответствие GDPR
Соответствие PCI DSS
Соответствие НПС
Соответствие ГОСТ-Р 57580.1
Тестирование на проникновение
Аутсорсинг
Техническая поддержка
Сопровождение аттестованных объектов
Проектирование и внедрение
Системы информационной безопасности
Заказная разработка ПО
Заказная разработка ПО
Reverse Engineering
Продукты
s-terra
CyberArk
Huawei
FortiNet
R-Vision
Gemalto
Indeed ID
UserGate
intel
APC
epson
IBM
Xerox
VMware
Veeam
Эшелон
TmaxSoft
DrWeb
Powercom
Blue coat
Secret Net (Код безопасности)
Аладдин Р.Д.
КРИПТО-ПРО
DELL
Positive Technologies
Solar Security
Lexmark
ZEBRA
Microsoft
МФИ Софт
Motorola
Kraftway
citrix
InfoTeCS
IP Matika
HP
Extreme Networks
D-Link
Check Point
Касперский
Autodesk
АЛТЭКС-СОФТ
Aruba
Dell
Acronis
cisco
Avaya
eset
aquarius
Infowatch