Комплексный пентест информационных систем

Пентест — или тест на проникновение — показывает, насколько легко злоумышленнику проникнуть в корпоративную информационную систему. В ходе тестирования на проникновение «Перспективный мониторинг» моделирует действия злоумышленника и даёт оценку, сколько ресурсов и времени потребуется для успешной кибератаки на заказчика. Мы выявляем вероятные направления атак и даём рекомендации, как устранить слабые места в защите и повысить уровень ИБ.

Чем полезны пентесты

Тест на проникновение показывает, как будет действовать потенциальный злоумышленник во время кибератаки на организацию. Знание векторов атак даёт возможность подготовиться к ним и снизить негативные последствия.

Пентестер находит и эксплуатирует уязвимости в сетевом оборудовании, средствах защиты информации, серверном, системном, прикладном ПО, узнаёт, насколько актуальны знания сотрудников атакуемой организации в области ИБ. «Перспективный мониторинг» даёт заказчикам подробные рекомендации, как можно устранить обнаруженные уязвимости или принять компенсационные меры, и, если необходимо, помогает это сделать.

Регулярные периодические пентесты помогают оценить уровень защищённости информационной системы в динамике (меняются настройки средств защиты, приходят и уходят люди, появляются новые атаки) и ответить на вопрос — «Наша защита стала лучше после того, как мы поставили эту „железку“ за кучу денег?!». Пентестеры «Перспективного мониторинга» выясняют, насколько группа реагирования на инциденты готова противостоять действиям злоумышленника.

Также регулярное тестирование на проникновение — требование PCI DSS и ISO 27001. Согласно этим стандартам пентесты проводятся ежегодно или после существенных изменений в информационной инфраструктуре.

Приказы ФСТЭК России № 17, № 21 и № 31 требуют анализировать защищённость информационных систем. Приказ № 21 содержит требование к периодичности — не реже одного раза в 3 года.

Виды тестов на проникновение

Наша компания проводит три вида пентестов:

  1. Тест на проникновение, основанный на технических методах. В рамках него мы находим и эксплуатируем уязвимости оборудования и ПО. Мы используем инструменты автоматического и ручного тестирования, которые детектирует IPS/IDS заказчика. Поэтому этот вид пентеста проводится на заранее определённые системы в согласованное со службой ИБ время.
  2. Тест на проникновение, основанный на методах социальной инженерии. Мы проверяем уровень осведомлённости сотрудников заказчика в вопросах информационной безопасности. Любопытство, жадность и желание развлечься — лучшие инструменты злоумышленников, которыми они успешно пользуются. Для планирования атак мы пользуемся инструментами The Social Engineering Framework и Social Engineer Toolkit (SET).
  3. Социотехнический пентест. Он совмещает преимущества первых двух и помогает выявить наибольшее число вероятных направлений атак и уязвимостей.

Тесты отличаются по степени информированности пентестера о средствах защиты, сетевой инфраструктуре, аппаратном и программном обеспечении заказчика:

  • внешний без учётных данных,
  • внешний с учётными данными клиента,
  • внутренний без учётных данных,
  • внутренний с учётными данными клиента,
  • внутренний с учётными данными администратора.

Мы разработали собственную методику тестирования, которая базируется на Draft Guideline on Network Security Testing (от NIST), Open-Source Security Testing Methodology (OSSTM) и The OWASP Testing Framework.

Объекты исследований

  • Сайты и веб-приложения.
  • СУБД.
  • Сетевые службы и сервисы (электронная почта, прокси, VoIP, FTP и пр.).
  • Протоколы различных уровней сетевой модели OSI.
  • Сетевое оборудование.
  • Беспроводные технологии.
  • Средства защиты информации.
  • Серверные и пользовательские операционные системы.
  • Прикладное ПО.

Сроки

Сбор информации — от 1 до 5 дней.

Подготовка к пентесту — до 5 дней.

Атака — 1–2 дня.

Подготовка отчёта — до 5 дней.

«Разбор полётов» с заказчиком — до 10 дней.

Обучение сотрудников заказчика — от 1 до 10 дней.

Результат

Отчёт о тестировании на проникновение содержит:

  • перечень проведённых тестов;
  • перечень выявленных уязвимостей с оценкой по методике Common Vulnerability Scoring System (CVSS);
  • описание способов эксплуатации уязвимостей для проведения атак;
  • описание применённых техник социнженерии с результатами проверки;
  • протокол действий службы реагирования;
  • рекомендации по устранению уязвимостей.

При необходимости мы разработаем программу повышения осведомлённости сотрудников в вопросах ИБ.