Тестирование на проникновение

Тестирование на проникновение (пентест) — реальная защита вашего бизнеса

Информационная безопасность – непрерывный процесс. Можно закупить, установить и правильно настроить самые современные средства защиты, но и это не будет гарантировать 100% безопасность, так как технологии развиваются, обнаруживаются все новые уязвимости, совершенствуются техники кибератак.

Регулярный пентест — это must have

Киберугрозы эволюционируют

Кибератаки способны парализовать работу компаний

Пентест необходим для соответствия стандартам (PCI DSS, ISO27001 и др.).

Пентест — эффективный инструмент для оценки уровня защищенности компании. Он позволяет оценить безопасность систем или сетей путем моделирования реальной хакерской атаки.

Почему это важно?

Пентест – составная часть стратегии развития бизнеса. Комплексный пентест позволяет оперативно выявить и закрыть найденные уязвимости, и тем самым усилить кибербезопасность компании.

Мы умеем делать:
Внутренний пентест – тестирование на проникновение внутри организации для оценки защищенности внутренних систем.

Внешний пентест – проверку безопасности систем извне, имитирующую действия злоумышленника с целью обратить внимание заказчика на уязвимости в его системе информационной безопасности.

Анализ защищенности вэб-приложений – выявлять уязвимости и проводить проверку защищённости веб-приложений.

Анализ защищенности мобильных приложений – выполнять анализ кода и проверку безопасности интерфейсов мобильного приложения.

Социотехническое тестирование – проводить симуляцию атак, направленных на сотрудников организации.

Анализ защищенности беспроводной инфраструктуры – исследование уровня безопасности беспроводных сетей.

В каких случаях необходим пентест?
Когда столкнулись с инцидентом или утечкой данных

Пентест не проводили больше года

Перед запуском новых сервисов, новой инфраструктуры (допустим, облачной платформы)

Перед акциями и крупными мероприятиями, где используется онлайн-платформа, когда ожидается пик нагрузки

При смене руководителя ИБ-направления

Для подтверждения соответствия нормативным требованиям

Когда выполнены рекомендации из отчета по итогам пентеста

Что покажет пентест

Готова ли служба ИБ к предотвращению атак, а персонал к таким вызовам?

Будет ли работать политика безопасности организации в условиях постоянно возникающих угроз?

Какая модель нарушителя и модель угроз актуальна сегодня?

Как мы работаем

Погружаемся в ваш бизнес: выясняем цели, задачи, особенности.

Формируем прозрачное ТЗ: четко определяем объекты тестирования, его границы, сценарии атаки, критерии результата.

Используем актуальные сценарии: от технических взломов до социальной инженерии.

Демонстрируем реальные риски, при этом соблюдаем полную конфиденциальность

Что вы получаете по итогам пентеста?
Подробный отчет с анализом уязвимостей: модель нарушителя, уровень воздействия

Оценку того, какие процессы и данные находятся под угрозой, как это может сказаться на компании

Рекомендации по устранению уязвимостей: пошаговый план, включая предложения по оптимизации настроек, выбор средств защиты, обучение персонала.

Возможность оперативного устранения уязвимостей, которые выявляются в ходе тестирования

Наши преимущества
Более 10 лет опыта и успешные проекты для крупнейших компаний России

Сертифицированные специалисты с глубоким отраслевым опытом, постоянное обучение и тренировки на лучших мировых площадках (PortSwigger, HackTheBox)

Гибкий подход: проводим как экспресс-проверки, так и глубокий комплексный пентест

Чем руководствуемся

Учитываем методики и рекомендации: NIST, ISO27001, PCI DSS, PTES, OWASP Testing Guide, OSSTMM, СТО БР РФ, ФСТЭК и т.д.

Мы соблюдаем конфиденциальность, в ходе тестирований сохраняется работоспособность информационных систем. По результатам пентеста вы оперативно получаете полноценный и всесторонний отчет.

Модели

Тестирование может проводиться по модели «черного ящика» и «белого ящика».

В первом случае пентестеры не имеют никаких сведений об ИТ-инфраструктуре и системе защиты заказчика, их цель – смоделировать классическую внешнюю хакерскую атаку. Как правило, используются методы социальной инженерии (фишинговые письма сотрудникам, сбор информации в открытых источниках и т.д.), естественно, персонал не предупрежден о такой проверке.

Модель «белого ящика» предполагает, что «атакующие» имеют полную информацию о системе заказчика, т.е. имитируется вариант атаки с использованием инсайдерской информации.

Бывает и промежуточный вариант, когда «атакующий» все-таки располагает некоторой информацией о системе заказчика, но она неполная (модель «серого ящика»).

Объекты исследования

Внутренние системы: корпоративные сети, СУБД, сервера, прикладное ПО, ОС, сетевое оборудование, средства защиты информации и т.д.),

Внешние системы: мобильные, веб-приложения и т.д.

Основные методики

1. Пентест, проводимый техническими методами
2. Пентест с применением методов социальной инженерии
3. Социотехнический пентест, совмещающий предыдущие подходы.

Специалисты компании ARinteg проводят тестирование на проникновение корпоративных систем (как внутренней ИТ-инфраструктуры заказчика, так и веб-ресурсов, мобильных приложений и т.д.) любыми из вышеизложенных методик с предоставлением детального отчета и рекомендаций по безопасности.

Во время пентеста подсвечиваем заказчику уязвимости, чтобы по возможности он мог их сразу устранять или принимать компенсирующие меры. Если есть понимание критичности выявленной уязвимости, то такая работа выполняется максимально оперативно.

В отчете описываются:

потенциально опасные уязвимости и векторы атак; 

оценки временных и материальных затрат на проведение атаки; 

модель нарушителя; 

Даются рекомендации по устранению уязвимостей в системе и построению эффективной системы защиты.

После того как компания отработает данные ей рекомендации, можно выходить на проверочный пентест, который покажет, как прошла работа над ошибками, удалось ли прийти в нужную точку или нет. Будет видна динамика, что станет весомым аргументом для руководства в проведении регулярных тестирований, которые позволят повысить защищенность компании и поддерживать ее на высоком уровне.

Мы советуем максимально оперативно закрывать уязвимости, точно следовать рекомендациям отчета и настраиваться на регулярные пентесты, это уже best practices, важный элемент ИБ-стратегии немалого числа компаний.