Пентест

Многочисленные атаки на банки, социальные сети и государственные инфраструктуры заставляют предпринимателей задумываться об информационной безопасности больше, чем о физической. Невидимые враги, хакеры, представляют реальную угрозу не только для предприятия, но и для его клиентов. Сотрудники нашей компании проведут полный аудит системы безопасности, обнаружат слабые места и предоставят полный отчет об уязвимостях системы безопасности, рисках и способах их устранения. Лучший метод борьбы с атакой хакеров — имитация и предотвращение.

Что такое пентест и для чего он нужен

Умышленное нападение на систему безопасности предприятия с разрешения собственника бизнеса называют penetration test, сокращенно — пентест. В ходе этого мероприятия специалисты обнаруживают уязвимые места внутри системы, описывают всевозможные способы проникновения и вероятные места утечки информации.

Этот тип тестирования не может заменить полноценную проверку системы безопасности. Наши специалисты оценят только следствия, но не причины плохой организации защиты предприятия.

Многие управленцы пренебрегают услугами пентестеров, ограничиваясь возможностями собственного штата и полноценным исследованием системы безопасности после ее создания. К сожалению, этих мер недостаточно. В сегодняшних реалиях, эксперимент является единственным объективным критерием. Подчиненные, проектировавшие систему безопасности, так же как и разработчики приложения, неспособны самостоятельно оценить ее неприступность. Именно поэтому мы рекомендуем заказать пентест в нашей фирме.

Почему пентестер – это не хакер

Перспектива проникновения стороннего человека в информационные ресурсы организации зачастую пугает собственников. Владельцы бизнеса не должны бояться услуг наших сотрудников: каждое их действие регламентировано нормами закона.

Прежде чем приступить к испытаниям, работник подписывает договор о неразглашении данных, полученных в ходе исследования. Кроме того, пентестер не имеет права на осуществление доступа к конфиденциальной информации работников фирмы, клиентов или партнеров даже в том случае, если может его получить технически. Пентестеры не используют «грязных» методов запугивания, угроз и шантажа на этапе проведения социального теста на проникновение.

Существенное отличие состоит и в методике поиска слабых мест. Хакер, обнаруживший дыру в системе безопасности, перейдет к развитию атаки и прекратит изучение периметра. Задача пентестера состоит в методичном обследовании всей системы и обнаружении каждого недочета. Специалисты нашей компании составят отчет о проделанной работе, в котором подробно опишут все вероятные места для проникновения.

Этапы пентестинга

Проведение комплексного теста на проникновение ведется по четкому плану. Специалисты условно подразделяют проводимые мероприятия на три составляющих:

  • Исследование — непосредственно попытка получить доступ к информационным ресурсам компании.
  • Отчет — самая объемная составляющая работы. Работники подробно описывают обнаруженные изъяны, составляют рекомендации по модернизации системы безопасности. К составлению отчета мы привлекаем не только пентестеров, но и широких специалистов в сфере информационной безопасности. Отчет составляется в виде понятном не только аналитикам, но и собственнику бизнеса.
  • Демонстрация — упрощенная форма отчетности. По окончанию периода проведения испытаний, наши служащие сообщат, какие именно данные могли бы быть скомпрометированы. В документе, предназначенном для демонстрации, отражены наиболее успешные достижения с точки зрения атаки хакерами. Таковыми могут стать база данных клиентов, личная информация работников, договора и другая документация. Основная задача демонстрации — подтвердить важность проведенного испытания и необходимость во внедрении предложенных мер.

После выполнения комплексного теста на проникновение, собственник бизнеса получит не только представление о реальном положении вещей, но и рекомендации по повышению уровня безопасности. 

Классификация тестирования

Классифицировать пентесты можно по многим факторам. Одним из самых важных является конечная цель взлома. Для наших работников этот параметр определяется заказчиком: в зависимости от цели строится стратегия проведения атаки.

Определять конкретную задачу не обязательно: зачастую, заказ пентеста сопровождается просьбой «просто взломать систему». В этом случае специалисты стремятся получить доступ к инфраструктуре на правах администратора. Более узкие задачи сводятся к захвату баз данных, отчетов или договоров. Для банковских учреждений самым опасным является получение доступа к личной информации клиентов: если пентестеру не удается выполнить эту задачу, тест можно считать успешно пройденным.

Базовые знания о системе

Технология атаки во многом зависит от начальных знаний злоумышленника о системе. Для пентестера их подразделяют на три типа:

  • White box – абсолютно прозрачная система, в которой известна каждая мелочь. Взлом такой структуры во многом напоминает полноценный аудит. В этом случае сотрудники не стремятся смоделировать ситуацию атаки, но проверяют периметр на слабые места.
  • Black box – неизвестная система, черный ящик. Хакер не имеет связей внутри предприятия и начинает взлом с нуля.
  • Gray box – промежуточный вариант, наиболее популярный для проведения комплексного теста на проникновение на практике. В этой ситуации специалисты пытаются повысить свой уровень доступа и завладеть конфиденциальной информацией. К примеру, получить права администратора, будучи рядовым пользователем. Такая технология особенно популярна для пентеста сайта и других структур, где каждый пользователь имеет личный кабинет.

Ошибочно полагать, что отсутствие информации о системе делает ее взлом невозможной. Сотрудники нашей компании, сталкивающиеся с «черным ящиком», с высоким процентом вероятности смогут получить доступ к внутренней информации.

В зависимости от модели знаний о системе определяют тип злоумышленника. На месте хакера может быть как сторонний человек, получивший заказ на проникновение, так и служащий предприятия. Задача наших специалистов состоит в том, чтобы никто из них не смог осуществить задуманное. 

Сценарии атак

Комплексный тест на проникновение подразумевает проведение всевозможных сценариев атак. Тем не менее, ограниченный бюджет или время на испытания, заставляют сокращать этот список до минимума. В зависимости от специфики компании, наши работники выбирают одну из базовых методик:

  • Внешний тест инфраструктуры — попытка проникнуть в систему извне, используя интернет и другие средства удаленного доступа. В большинстве случаев такой вид атаки заканчивается успехом из-за элементарной халатности персонала.
  • Теневые IT технологии — зачастую сотрудники отдела безопасности даже не задумываются о том, что нападение на телефонию или систему видео-наблюдения также представляет опасность. Если сервера с данными охраняются тщательно, колл-центр и система физической охраны являются легкой добычей для злоумышленника.
  • Внутренний тест инфраструктуры — нападение извне, заражение одной из составляющих. Идеальная система должна быть построена таким образом, что повреждение одного из узлов не вредит остальным составляющим.
  • Пентест сайта — анализ всевозможных интерактивных элементов, порталов и приложений, связанных с компанией. Здесь особенную опасность представляют личные кабинеты пользователей. Окончательной целью атаки, чаще всего, являются данные клиентов.
  • DdoS атака — проще говоря, многократное повторяющееся обращение к системе безопасности, приводящее к некорректной работе ее элементов. Простым примером является «падение» сайтов интернет магазинов во время крупных распродаж, когда множество пользователей совершают эквивалентные действия.
  • Пентестинг мобильных приложений — в последнее время программы для смартфонов приобрели высокую популярность. Об их безопасности стоит заботиться не меньше: возможность скачать мобильный клиент и подробно исследовать его перед атакой делает этот вид взлома одним из тривиальных.
  • Социальная атака — представляет собой работу со штатом компании. Зачем использовать мудреные методы взлома, если некомпетентный сотрудник готов сообщить пароль каждому, кто представиться администратором по телефону.
  • Взлом через wi-fi – вопреки сложившемуся мнению такая атака не является разновидностью взлома внутренней инфраструктуры. Сеть Wi-Fi сильнее других подвержена нападению, которое не требует особенных навыков. Так, хакер может создать сеть с таким-же именем, а мобильный телефон сотрудника предпримет попытку подключения к данной сети. В результате взломщик станет обладателем пароля к сети компании.

Методы пентестинга

Наши специалисты используют сертифицированные инструменты пентестов:

  • Penetration Testing Execution Standard - общепринятая модель, используемая для учебных пособий. Отличается развитой структурой.
  • Information Systems Security Assessment Framework — предлагает несколько критериев оценки, тем самым позволяя упростить процесс создания отчета и повысить его информативность.
  • Payment Card Industry Data Security Standard — создан специально для банков, систем переводов или онлайн-денег. Позволяет уделить повышенное внимание защите личной информации клиентов. 

Выбор конкретного инструмента зависит от потребностей фирмы, пожеланий собственника бизнеса. Сотрудники нашей компании помогут определить, какой из стандартов поспособствует качественному проведению анализа.

Рекомендуемый интервал между проведением комплексного анализа систем безопасности составляет не менее одного года. Средства, потраченные на наем специалистов, окупятся отсутствием форс-мажоров, сохранностью внутренних данных и стабильной работой предприятия в целом.

keyboard_backspace К списку всех услуг
Пентест
Цена:
по запросу

Оформить заявку

Другие продукты и услуги
Технический писатель
Технический писатель
Технический писатель на аутсорсинге качественной реализации проектов в IT или в других сферах

Бриф на разработку дизайна и верстки
Бриф на разработку дизайна и верстки
Бриф на разработку дизайна и верстки
1900 руб.

Проектирование сайта
Проектирование сайта
Поставьте нам задачу по проектировке вашего сайта.

Тестировщик удаленно
Тестировщик удаленно
Удаленный специалист по тестированию IT-продуктов: веб сайтов, программного обеспечения, приложений.

Рекрутинг
Рекрутинг
Делегировать поиск it-специалистов на требуемые должности.