Пентест — или тест на проникновение — показывает, насколько легко злоумышленнику проникнуть в корпоративную информационную систему. В ходе тестирования на проникновение «Перспективный мониторинг» моделирует действия злоумышленника и даёт оценку, сколько ресурсов и времени потребуется для успешной кибератаки на заказчика. Мы выявляем вероятные направления атак и даём рекомендации, как устранить слабые места в защите и повысить уровень ИБ.

Чем отличаются пентест, аудит ИБ и анализ защищённости.

Чем полезны пентесты

Тест на проникновение показывает, как будет действовать потенциальный злоумышленник во время кибератаки на организацию. Знание векторов атак даёт возможность подготовиться к ним и снизить негативные последствия.

Пентестер находит и эксплуатирует уязвимости в сетевом оборудовании, средствах защиты информации, серверном, системном, прикладном ПО, узнаёт, насколько актуальны знания сотрудников атакуемой организации в области ИБ. «Перспективный мониторинг» даёт заказчикам подробные рекомендации, как можно устранить обнаруженные уязвимости или принять компенсационные меры, и, если необходимо, помогает это сделать.

Регулярные периодические пентесты помогают оценить уровень защищённости информационной системы в динамике (меняются настройки средств защиты, приходят и уходят люди, появляются новые атаки) и ответить на вопрос — «Наша защита стала лучше после того, как мы поставили эту „железку“ за кучу денег?!». Пентестеры «Перспективного мониторинга» выясняют, насколько группа реагирования на инциденты готова противостоять действиям злоумышленника.

Также регулярное тестирование на проникновение — требование PCI DSS и ISO 27001. Согласно этим стандартам пентесты проводятся ежегодно или после существенных изменений в информационной инфраструктуре.

Приказы ФСТЭК России № 17, № 21 и № 31 требуют анализировать защищённость информационных систем. Приказ № 21 содержит требование к периодичности — не реже одного раза в 3 года.

Виды тестов на проникновение

Наша компания проводит три вида пентестов:

  1. Тест на проникновение, основанный на технических методах. В рамках него мы находим и эксплуатируем уязвимости оборудования и ПО. Мы используем инструменты автоматического и ручного тестирования, которые детектирует IPS/IDS заказчика. Поэтому этот вид пентеста проводится на заранее определённые системы в согласованное со службой ИБ время.
  2. Тест на проникновение, основанный на методах социальной инженерии. Мы проверяем уровень осведомлённости сотрудников заказчика в вопросах информационной безопасности. Любопытство, жадность и желание развлечься — лучшие инструменты злоумышленников, которыми они успешно пользуются. Для планирования атак мы пользуемся инструментами The Social Engineering Framework и Social Engineer Toolkit (SET).
  3. Социотехнический пентест. Он совмещает преимущества первых двух и помогает выявить наибольшее число вероятных направлений атак и уязвимостей.

Тесты отличаются по степени информированности пентестера о средствах защиты, сетевой инфраструктуре, аппаратном и программном обеспечении заказчика:

  • внешний без учётных данных,
  • внешний с учётными данными клиента,
  • внутренний без учётных данных,
  • внутренний с учётными данными клиента,
  • внутренний с учётными данными администратора.

Мы разработали собственную методику тестирования, которая базируется на Draft Guideline on Network Security Testing (от NIST), Open-Source Security Testing Methodology (OSSTM) и The OWASP Testing Framework.

Объекты исследований

  • Сайты и веб-приложения.
  • СУБД.
  • Сетевые службы и сервисы (электронная почта, прокси, VoIP, FTP и пр.).
  • Протоколы различных уровней сетевой модели OSI.
  • Сетевое оборудование.
  • Беспроводные технологии.
  • Средства защиты информации.
  • Серверные и пользовательские операционные системы.
  • Прикладное ПО.

Сроки

Сроки выполнения работ рассчитываются индивидуально, после заполнения опросного листа (получить его вы можете, написав на нашу почту info@amonitoring.ru).

Результаты

  • перечень проведённых тестов;
  • перечень выявленных уязвимостей с оценкой по методике Common Vulnerability Scoring System (CVSS);
  • описание способов эксплуатации уязвимостей для проведения атак;
  • описание применённых техник социнженерии с результатами проверки;
  • протокол действий службы реагирования;
  • рекомендации по устранению уязвимостей.

При необходимости мы разработаем программу повышения осведомлённости сотрудников в вопросах ИБ.

Реализованные проекты
Пентест веб-ресурсов Автоторгбанка
Цель данного исследования — симулировать атаки потенциального нарушителя на веб-ресурсы банка, оценить уровень их защищённости, обнаружить уязвимости, разработать рекомендации по их устранению.
Подробнее
Анализ защищённости периметра «Московской биржи»
Московская биржа — крупнейший российский биржевой холдинг. Московская биржа является организатором торгов акциями, облигациями, производными инструментами, валютой, инструментами денежного рынка, драгоценными металлами и зерном.
Подробнее
Пентест с элементами социальной инженерии
Заказчик — компания «ПРАЙМ ГРУП». Наши исследователи провели комплексный пентест информационной системы.
Подробнее
Аудит информационной безопасности компании «Красный дом»
Заказчик — ООО «Красный дом. Эта компания осуществляет полный цикл управления объектами коммерческой недвижимости в Москве, начиная от оценки проекта, до сдачи офисов, складов и производственных помещений в аренду с их последующим обслуживанием. Перед исследователями стояла задача проверить уровень обеспечения информационной безопасности компании.
Подробнее
Пентест компании в режиме «чёрного ящика»
Мы провели фишинг-атаку на заказчика и отправили сотрудникам 2 «новостных» письма, содержащих ссылки на скрипт, который перехватывает аутентификационные данные пользователей соответствующих машин. Более половины сотрудников перешли хотя бы по одной ссылке. Никто из них не сообщил об инциденте в службу ИБ. В результате мы получили полный доступ к IT-инфраструктуре заказчика. Протокол действий службы ИБ заказчика был включён в состав отчёта.
Подробнее
Пентест сетевых ресурсов ИнфоТеКС
ИнфоТеКС — разработчик и производитель высокотехнологичных программных и программно-аппаратных средств защиты информации. ИнфоТеКС входит в ТОП-5 крупнейших компаний России в сфере защиты информации (согласно рейтингу CNews), а в штате компании трудится более 1000 сотрудников.
Подробнее
Оставить заявку или задать вопрос
Связанные услуги