Тестирование на проникновение (
пентест, тест на преодоление защиты) является наиболее реалистичным методом проверки защищенности объектов информатизации, на практике выявляющий эффективность внедренных систем защиты и принятых мер безопасности, а также является отличной проверкой работы службы безопасности в реальных условиях. Данный метод подразумевает санкционированную имитацию действий настоящего злоумышленника специалистами нашей компании и направлен на доступ к защищаемым данным посредством обнаружения и последующей эксплуатации выявленных цепочек уязвимостей в сетевом оборудовании, средствах защиты информации, серверном, системном и прикладном программном обеспечении. В отличие от реальной атаки хакеров, тестирование на проникновение не подразумевает нанесение ущерба компании и полностью контролируется. В рамках заданного срока и заранее определенной модели нарушителя проводится исследование ИТ-инфраструктуры и выявление возможных уязвимостей.
По результатам такого тестирования формируется отчет с перечнями выявленных уязвимостей, возможных векторов атак и рекомендациями по их устранению или применению компенсационных мер.
Регулярное периодическое тестирование на проникновение является требованием стандартов
PCI DSS и ISO 27001, а также позволяет оценить уровень защищенности компании в динамике.
В зависимости от текущего состояния защищенности компании и ее активов, ставятся разные цели перед пентестом: начиная от выявления максимального количества уязвимостей и получения максимального административного доступа ко всем элементам системы, включая закрытые исходные коды продуктов компании, заканчивая полным отсутствием какой-либо информации об исследуемой системе.
Тестирование на проникновение может подразделяться на несколько видов в зависимости от степени раскрытия информации для наших специалистов, а также информированности службы безопасности заказчиков.
Может включать в себя следующие этапы работ:
- Инвентаризация ресурсов
- Мониторинг и поиск утечек информации
- Социально-техническое тестирование
- Подготовка отчетной документации о результатах тестирования
Квалификация специалистов АСС АйТи предоставляет возможность проводить не только комплексные работы по тестированию на проникновение, но и предлагать отдельные экспертные услуги в рамках данного направления в соответствие с требуемыми задачами и направленностями бизнеса заказчика.
Отдельные экспертные услуги:
- Сбор разведданных, инвентаризация и мониторинг утечек информации
- Внешнее тестирование на проникновение в сеть
- Внутренне тестирование на проникновение в сеть
- Тестирование на физическое проникновение
- Тестирование безопасности Wi-Fi сетей
- Пентест Web-приложений
- ATM Security (безопасность банкоматов)
- Выявление внутреннего фрода
- Услуги консультационного характера, заключающиеся в аналитике имеющейся информации, консалтинге на тему повышения уровня защищенности и утилизации рисков информационной безопасности