Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Статьи:
Решения:
Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Пентест
Тестирование на проникновение
Социотех. тестирование
Лицензии ФСТЭК России:
Л024-00107-00/00581563, Л024-00107-00/00582823
Социотехническое тестирование
Мобильных приложений
Внешнего периметра
Анализ исходного кода
Сайта и веб-приложений
Внутреннего периметра
Continuous Penetration Testing
Wi-Fi сетей
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Сертифицированные сотрудники
со стажем более 13 лет
со стажем более 13 лет
Опыт работы в различных отраслях
крупных компаний
крупных компаний
Наши специалисты
входят в топ-10 пентестеров России
входят в топ-10 пентестеров России
Незаменимый инструмент для CISO
Найдите уязвимости и получите объективную оценку защищенности ИТ-инфраструктуры.
Выполняйте требования регуляторов
Соответствуйте требованиям регуляторов и Банка России (382-П, 683-П, 684-П, ГОСТ Р 57580.1-2017, Указ 250 и пр.)
Повысьте уровень защищенности
Получите рекомендации от экспертов по защите активов компании, сократите экономические и репутационные риски
Выявляйте и устраняйте уязвимости
Оцените уровень защиты выстроенной инфраструктуры во внешнем и внутреннем периметре
Каким компаниям важно проводить пентест
В первую очередь, услуги пентеста необходимы организациям, которые должны соответствовать требованиям регуляторов, обрабатывают и хранят конфиденциальную информацию и данные третьих лиц, кто является объектами КИИ или имеют сложную ИТ-инфраструктуру.
-
Банкам и финансовым организациямВажно проводить ежегодное тестирование на проникновение и анализ уязвимостей согласно положению 683-П, 719-П, 757-П Банка России, ГОСТ 57580, PCI DISS. -
Электронной коммерцииНеобходимо предупреждать возможность инцидентов заранее. E-commerce находится в группе повышенного риска для хакерских атак, эксплуатации уязвимостей и утечки конфиденциальных данных. -
Значимым объектам КИИПентест необходимо проводить до ввода объекта в эксплуатацию согласно приказу ФСТЭК России № 239, Указ №250. -
Крупному и среднему бизнесуТестирование на проникновение и анализ уязвимостей необходимо проводить компаниям из различных отраслей: Банкам, Страховым организациям, Авиакомпаниям, Промышленным предприятиям, Девелоперам, Медицинским, Государственным организациям и др. – минимум раз в год. -
Разработчикам приложенийДля соответствия стандартам безопасности и предотвращения возможной эксплуатации уязвимостей необходимо проводить пентест как минимум раз в полгода, а также после каждого крупного релиза или обновления функционала приложения. -
Сервис-провайдерамРекомендуется проводить тестирование на проникновение для поддержания бесперебойной работы сервисов, снижения риска финансовых потерь и утечек конфиденциальных данных.
Виды пентеста
Контролируйте изменения в инфраструктуре ежедневно и своевременно выявляйте уязвимости. Получайте детальную информацию:
Средняя продолжительность
Объекты сканирования
Используемые инструменты
- о состоянии защищенности периметра;
- топ критических уязвимостей;
- полное описание по каждой уязвимости;
- рекомендации по устранению уязвимостей.
Средняя продолжительность
- Ежедневное непрерывное сканирование ИТ-периметра.
Объекты сканирования
- Web ресурсы.
- Net ресурсы.
Используемые инструменты
- ETHIC.CPT – сервис непрерывного мониторинга периметра и веб-приложений.
Анализируйте исходный код, выявляйте уязвимости и тестируйте на безопасность в контролируемой среде.
Средняя продолжительность от 10 дней
Объекты сканирования
Состав работ
Средняя продолжительность от 10 дней
- Время анализа зависит от объема сканируемых ресурсов.
Объекты сканирования
- Цифровые активы компании.
Состав работ
- Получение предварительной информации и доступа к исходному коду тестируемого проекта.
- Проведение статического анализа кода с применением инструментов для обнаружения потенциальных ошибок и уязвимостей.
- Проведение анализа безопасности с целью ручного поиска веб-уязвимостей, таких как SQL-инъекции, межсайтовый скриптинг, и т.д.
- Проверка корректности обработки входных данных. Оценка соблюдения принципов безопасной разработки.
- Проведение анализа производительности для оценки эффективности алгоритмов и структур данных.
- Проведение анализа структуры кода для проверки организации кода и соответствия его архитектурным принципам.
- Проведение анализа безопасности используемых библиотек и плагинов в исходном коде.
- Подготовка отчета по результатам тестирования.
Защитите свою внутреннюю сеть от кибератак. Найдите уязвимости и ошибки в конфигурации устройств, сетевых служб и приложений раньше злоумышленников.
Средняя продолжительность 18-25 дней
Объекты тестирования
Используемые методы
Средняя продолжительность 18-25 дней
Объекты тестирования
- Операционные системы.
- Средства защиты информации.
- Сетевые сервисы и службы.
Используемые методы
- OSINT (Open-Source Intelligence) исследование — получение предварительной информации о сетевом периметре на основе открытых источников, доступных потенциальному нарушителю (поисковые системы, СМИ, конференции и т.п.).
- Сканирование хостов сетевого периметра, определение типов устройств, операционных систем и приложений.
- Проведение сканирования на наличие уязвимостей.
- Анализ защищенности сервисов сетевой инфраструктуры и электронной почты.
- Анализ защищенности систем совместной работы SharePoint, OWA, Confluence и других.
- Проведение брутфорс-атак.
- Идентификация уязвимостей сетевых служб и приложений.
- Эксплуатация наиболее критичных уязвимостей с целью преодоления сетевого периметра.
- Анализ возможностей развития атаки во внутреннюю сеть.
Поможем защитить внутренний контур (локальную сеть) организации от атак со стороны нарушителя. Проведем пентест внутреннего периметра как локально, так и удаленно, с помощью защищенного подключения по технологии VPN.
Средняя продолжительность 25-30 дней
Объекты тестирования
Используемые методы
Средняя продолжительность 25-30 дней
Объекты тестирования
- СУБД.
- Рабочие станции.
- Серверы (FTP, почтовый, SQL и др.).
- Сетевые службы и сервисы.
- Сетевое оборудование.
- Средства защиты информации.
Используемые методы
- Пассивный сбор информации о подсети.
- Перехват и анализ сетевого трафика. Проведение сетевых атак.
- Сканирование узлов, доступных из пользовательского сегмента ЛВС, сбор информации об открытых портах, определение типов устройств, анализ сетевой сегментации.
- Проведение сканирования на наличие уязвимостей (если это возможно по условию внутреннего тестирования).
- Эксплуатация уязвимостей.
- Восстановление паролей и хеш-суммы паролей из оперативной памяти и реестра.
- Восстановление хеш-суммы паролей по словарю.
- Анализ Active Directory.
- Боковое перемещение (Lateral Movement) и повышение привилегий.
- Проверка возможности получения доступа к конфиденциальной информации и (или) информации ограниченного доступа.
- Проверка прав доступа к различным информационным ресурсам с привилегиями, полученными на различных этапах тестирования.
Защитите работу сайта и веб-приложений организации.
Средняя продолжительность 18-25 дней
Объекты тестирования
Используемые методы
Ручная проверка проходит по методологии OWASP Top 10, но не ограничивается ею. Проверка включает в себя следующие категории:
Средняя продолжительность 18-25 дней
Объекты тестирования
- Операционные системы.
- Системы управления сайтами (CMS).
Используемые методы
- Получение предварительной информации о веб-ресурсе на основе источников информации, доступных потенциальному нарушителю.
- Анализ веб-приложения от имени аутентифицированного и анонимного пользователя.
- Автоматизированное сканирование на наличие веб-уязвимостей с использованием зарекомендовавших себя инструментальных средств.
- Ручная верификация и анализ результатов инструментального сканирования, проверка соответствия конфигурации веб-приложения рекомендациям по безопасной настройке программного обеспечения (CMS, фреймворков, веб-сервера, сервера приложений и т.п.).
Ручная проверка проходит по методологии OWASP Top 10, но не ограничивается ею. Проверка включает в себя следующие категории:
- ошибки контроля доступа;
- криптографические сбои;
- инъекции;
- неправильные конфигурации;
- уязвимые и устаревшие компоненты;
- ошибки идентификации и аутентификации;
- ошибки целостности программного обеспечения и данных;
- регистрация безопасности и мониторинг сбоев;
- подделка запросов на стороне сервера;
- прочие атаки, целью которых является выполнение кода на стороне сервера;
- подбор паролей пользователей веб-приложения.
Обеспечьте безопасность мобильных приложений, защитите бренд компании от негативных последствий возможных атак.
Средняя продолжительность от 10 дней
Объекты сканирования
Ручная проверка проводится в соответствии с методологией OWASP Mobile Top 10 и включает проверку следующих категорий уязвимостей:
Средняя продолжительность от 10 дней
- Зависит от количества приложений.
Объекты сканирования
- Мобильные приложения.
- Получение предварительной информации о приложении.
- Анализ приложения от имени авторизованного и неавторизованного пользователя.
- Автоматизированное сканирование на наличие уязвимостей при помощи специальных инструментальных средств.
Ручная проверка проводится в соответствии с методологией OWASP Mobile Top 10 и включает проверку следующих категорий уязвимостей:
- ошибки аутентификации и авторизации;
- недостаточная защита хранилища данных;
- недостаточная защита передачи данных;
- недостаточная защита сессий и временных файлов;
- небезопасная логика приложения;
- ошибки на стороне сервера;
- небезопасная конфигурация;
- недостаточная защита от социальной инженерии;
- небезопасная использование компонентов.
Найдите уязвимости в архитектуре и организации беспроводного доступа и клиентских устройств.
Средняя продолжительность 15-20 дней
Объекты тестирования
Используемые методы
Средняя продолжительность 15-20 дней
Объекты тестирования
- Беспроводные сети компании.
- Аппаратное обеспечение сетей Wi-Fi.
Используемые методы
- Сканирование диапазона Wi-Fi-сетей и получение информации о точках доступа.
- Проведение атак на сети Wi-Fi (WPS, PMKID, WPA, WPA2).
- Выявление недостатков в организации беспроводных сетей и недостатков конфигурации точек доступа, позволяющих проводить атаки на сетевое оборудование, сети и клиентов сетей.
- Проведение атак на WPA2 Enterprise.
Оцените уровень осведомленности сотрудников организации в вопросах информационной безопасности, а также их готовность распознать фишинговые рассылки и мошеннические звонки.
Средняя продолжительность 15-25 дней
Объекты тестирования
Используемые методы
Средняя продолжительность 15-25 дней
Объекты тестирования
- Персонал компании, в том числе сотрудники служб ИТ и ИБ.
- Средства зашиты от фишинговых атак и эксплуатации уязвимостей нулевого дня.
- Рабочие станции.
Используемые методы
- Поиск в сети интернет сведений, часто используемых при атаках (утечки данных, несанкционированное использование учетных записей и т.д.).
- Почтовые рассылки с имитацией вредоносного вложения.
- Почтовые рассылки с имитацией вредоносной ссылки.
- Почтовые рассылки с имитацией вредоносного офисного документа.
- Целевое общение с сотрудниками по телефону (корпоративному) с целью получения конфиденциальной информации.
Continuous Penetration Testing
Пентест внешнего периметра
Пентест внутреннего периметра
Пентест сайта и веб-приложений
Пентест мобильных приложений
Анализ исходного кода
Пентест сетей Wi-Fi
Социотехнический пентест
Узнайте степень защищенности своего периметра
— попытайтесь его взломать прямо сейчас
— попытайтесь его взломать прямо сейчас
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.
Специалисты Infosecurity входят в топ-10 пентестеров России
Команда сертифицированных пентестеров с экспертизой в разных отраслях.
Наш партнер
-
С 2019 года Infosecurity сотрудничает с Академией КодебайПентестеры Infosecurity традиционно занимают только первые и вторые места в CTF-соревнованиях «Игры Кодебай».
Подсветим критичные уязвимости сразу,
как только найдём
как только найдём
Проводим пентест методами «черного ящика» (black box) и «серого ящика» (grey box) без уведомления системных администраторов/ИT-специалистов заказчика.
Работаем по всемирным методикам и стандартам
-
PTES (Penetration Testing Execution Standard) — это стандарт, который определяет набор процессов и методологий для проведения тестирования на проникновение. Цель PTES — установить четкие и последовательные принципы для выполнения таких тестов, чтобы обеспечить высокий уровень качества и эффективности.
-
OWASP Testing Guide — это подробное руководство, разработанное проектом OWASP, которое предоставляет методологии и процедуры для тестирования безопасности веб-приложений. Целью руководства является помощь разработчикам, тестировщикам и аудиторам в идентификации и устранении уязвимостей в приложениях.
- 100%Социотехнических пентестов
приводит к контролируемой утечке чувствительных данных - 90%Внутренних пентестов
завершается получением прав администратора
Результат пентеста – пошаговый план по ликвидации уязвимостей
Оставьте заявку и получите пример отчёта
Как мы работаем
Нам можно доверять – фиксируем в договоре все критические параметры. Прописываем все что, важно именно вашему бизнесу: объекты исследований, уровень доступа к вашей инфраструктуре, условия проведения атак, направленных на эксплуатацию уязвимостей и т. д.
1
Собираем информацию и анализируем инфраструктуру клиента
Собираем сведения о структуре и компонентах системы с использованием открытых источников.
2
Выбираем подход к проведению пентеста
Разрабатываем методику и выбираем инструментарий для проведения тестирования на проникновение. Определяем удобный канал коммуникации для решения оперативных вопросов.
3
Ищем и эксплуатируем уязвимости – анализируем полученную информацию
Используем в работе автоматизированные средства и «ручные» методы для получения доступа к конфиденциальной информации.
4
Разрабатываем отчет с рекомендациями
Формируем список обнаруженных уязвимостей с указанием степени риска, прописываем рекомендации по устранению уязвимостей, а также общие выводы по уровню защищенности инфраструктуры.
Continuous Penetration Testing
Пентест внешнего периметра
Пентест внутреннего периметра
Пентест сайта и веб-приложений
Пентест мобильных приложений
Анализ исходного кода
Пентест сетей Wi-Fi
Социотехнический пентест
Узнайте траекторию атаки киберпреступника
Найдите уязвимость раньше злоумышленника
и повысьте уровень защищенности
и повысьте уровень защищенности
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.
Акции и специальные предложения
Для оценки защищенности
специалисты Infosecurity также рекомендуют
Экспресс аудит ИБ
Проведите оперативную независимую оценку текущего состояния ИТ-инфраструктуры и систем защиты.
Получите дорожную карту проектов для повышения уровня защищенности
Получите дорожную карту проектов для повышения уровня защищенности
FAQ
Pentest (Penetration Testing) — это метод оценки безопасности информационных систем или приложений, с использованием техник и инструментов, подобных тем, которые могут использовать злоумышленники. Цель пентеста — выявление уязвимостей в безопасности системы и предоставление рекомендаций по их устранению.
Пентест выполняется специалистами в области информационной безопасности, которые имеют опыт в использовании профессиональных инструментов и техник.
Пентест может включать в себя внешнее или внутреннее тестирование. Внешний пентест предполагает анализ системы с точки зрения внешнего злоумышленника, который пытается получить доступ к системе через Интернет. Внутренний пентест включает в себя анализ системы с позиции внутреннего пользователя или сотрудника, который имеет доступ к системе.
Результатом пентеста является отчет, в котором представлены выявленные уязвимости в безопасности системы и рекомендации по их устранению. Он помогает владельцам системы или приложения понять, какие угрозы существуют для их информационных систем и как их можно устранить. В отчете также может быть перечислена информация о проведенных тестах, их результатах и методах, использованных для выявления уязвимостей.
Пентест должен выполняться только с разрешения владельца системы и в соответствии с законодательством об информационной безопасности.
Пентест выполняется специалистами в области информационной безопасности, которые имеют опыт в использовании профессиональных инструментов и техник.
Пентест может включать в себя внешнее или внутреннее тестирование. Внешний пентест предполагает анализ системы с точки зрения внешнего злоумышленника, который пытается получить доступ к системе через Интернет. Внутренний пентест включает в себя анализ системы с позиции внутреннего пользователя или сотрудника, который имеет доступ к системе.
Результатом пентеста является отчет, в котором представлены выявленные уязвимости в безопасности системы и рекомендации по их устранению. Он помогает владельцам системы или приложения понять, какие угрозы существуют для их информационных систем и как их можно устранить. В отчете также может быть перечислена информация о проведенных тестах, их результатах и методах, использованных для выявления уязвимостей.
Пентест должен выполняться только с разрешения владельца системы и в соответствии с законодательством об информационной безопасности.
Continuous Penetration Testing (CPT) — это методика обеспечения информационной безопасности, при которой проводятся постоянные, непрерывные тесты на проникновение, что позволяет более оперативно выявлять и устранять уязвимости.
Отличительные особености CPT:
1. Тестирование проводится на постоянной основе, а не периодически.
2. Использование автоматизированных инструментов и процессов для мониторинга и анализа безопасности.
3. Быстрая реакция на изменения в инфраструктуре, программном обеспечении или методах атак.
Преимущества CPT:
1. Позволяет оперативно выявлять и устранять уязвимости.
2. Автоматизация и непрерывность процесса позволяют снизить затраты на проведение пентестов и устранение уязвимостей.
3. Постоянное тестирование способствует улучшению общего уровня безопасности и снижению вероятности успешных атак.
Отличительные особености CPT:
1. Тестирование проводится на постоянной основе, а не периодически.
2. Использование автоматизированных инструментов и процессов для мониторинга и анализа безопасности.
3. Быстрая реакция на изменения в инфраструктуре, программном обеспечении или методах атак.
Преимущества CPT:
1. Позволяет оперативно выявлять и устранять уязвимости.
2. Автоматизация и непрерывность процесса позволяют снизить затраты на проведение пентестов и устранение уязвимостей.
3. Постоянное тестирование способствует улучшению общего уровня безопасности и снижению вероятности успешных атак.
Пентест нужен для оценки уровня безопасности информационных систем или приложений. Самый эффективный способ проверить защищенность периметра ИБ — попытаться его взломать. Протестировать функционирующие в компании системы намного дешевле, чем устранять последствия от утечки данных или взлома сетевого периметра.
В рамках тестирования специалисты Infosecurity применяют различные методы оценки защищенности: ручной и автоматизированный поиск уязвимостей и нарушений конфигураций, социотехническое и нагрузочное тестирование, эксплуатация обнаруженных уязвимостей и проведение атак. Пентест помогает защитить активы компании, и выстроить грамотный план инвестиций в системы безопасности без лишних трат и использования ресурсов.
Регулярное проведение пентеста помогает своевременно выявлять и устранять уязвимости, минимизируя риски для бизнеса и обеспечивая надежную защиту информационных активов.
В рамках тестирования специалисты Infosecurity применяют различные методы оценки защищенности: ручной и автоматизированный поиск уязвимостей и нарушений конфигураций, социотехническое и нагрузочное тестирование, эксплуатация обнаруженных уязвимостей и проведение атак. Пентест помогает защитить активы компании, и выстроить грамотный план инвестиций в системы безопасности без лишних трат и использования ресурсов.
Регулярное проведение пентеста помогает своевременно выявлять и устранять уязвимости, минимизируя риски для бизнеса и обеспечивая надежную защиту информационных активов.
Тестирование на проникновение (пентест/pentest, penetration test) – один из элементов аудита защищенности информационной системы. Пентест это не только элемент комплексного аудита информационной безопасности, но и самодостаточный инструмент для оценки реального уровня защищенности IT-инфраструктуры.
Пентест проверяет насколько уязвим бизнес и его информационные системы для злоумышленников в текущий момент времени.
Аудит ИБ позволяет выстроить или оценить ИБ и ИТ-процессы глобально, чтобы обеспечить необходимый уровень защиты чувствительной информации компании.
Пентест проверяет насколько уязвим бизнес и его информационные системы для злоумышленников в текущий момент времени.
Аудит ИБ позволяет выстроить или оценить ИБ и ИТ-процессы глобально, чтобы обеспечить необходимый уровень защиты чувствительной информации компании.
Автоматическая проверка является одним из этапов тестирования на проникновение. Сканер уязвимостей позволяет выявить базовые уязвимости в системе и собрать необходимую информацию для следующих этапов тестирования. Пентест же позволяет понять специалистам, каким образом найденными уязвимостями могут воспользоваться злоумышленники, и разработать рекомендации по их наиболее эффективному устранению. Тестирование на проникновение может включать в себя не только анализ информационных систем, но и инфраструктуры в целом: топологии сетей, настроек оборудования (в том числе Wi-Fi) и других потенциальных точек воздействия.
Анализ защищённости предназначен для поиска всех возможных уязвимостей в IT-инфраструктуре. При базовом анализе защищенности исследование прекращается после обнаружения недостатка, то есть услуги не включают в себя выполнение атаки с эксплуатацией найденной уязвимости, как при тестировании на проникновение.
Infosecurity проводит как комплексный анализ защищенности, включающий в себя тестирование на проникновение, так и отдельно пентест в зависимости от потребностей организации.
Infosecurity проводит как комплексный анализ защищенности, включающий в себя тестирование на проникновение, так и отдельно пентест в зависимости от потребностей организации.
Черный ящик (Black Box)
При тестировании методом «черного ящика» специалисты не имеют доступа к внутренней инфраструткуре и моделируют действия злоумышленников, не обладающих специальными знаниями о системе. Пентестеры не получают архитектурные схемы или исходный код, что делает тестирование максимально приближенным к реальной атаке и требует высоких технических навыков. Основной недостаток метода — если периметр не взломан, уязвимости внутренних сервисов остаются незамеченными и неисправленными.
Серый ящик (Grey Box)
Метод «серого ящика» предполагает, что пентестеры имеют ограниченную информацию о системе, включая документацию и непривилегированную учетную запись. Это позволяет более целенаправленно и эффективно оценивать безопасность, сосредотачиваясь на наиболее критичных системах с самого начала. Также тестирование может включать проверку безопасности внутри усиленного периметра, имитируя злоумышленника с долгосрочным доступом к сети.
Белый ящик (White Box)
При тестировании методом «белого ящика» пентестеры обладают полным доступом к внутренней структуре и реализации системы. Этот метод включает анализ потоков данных, управления, информации, а также методов кодирования и обработки ошибок. Пентестеры имеют административные права и полное представление об IT-инфраструктуре компании, что позволяет им проводить всестороннюю проверку безопасности.
Тестирование методом «белого ящика» может быть выполнено:
При тестировании методом «черного ящика» специалисты не имеют доступа к внутренней инфраструткуре и моделируют действия злоумышленников, не обладающих специальными знаниями о системе. Пентестеры не получают архитектурные схемы или исходный код, что делает тестирование максимально приближенным к реальной атаке и требует высоких технических навыков. Основной недостаток метода — если периметр не взломан, уязвимости внутренних сервисов остаются незамеченными и неисправленными.
Серый ящик (Grey Box)
Метод «серого ящика» предполагает, что пентестеры имеют ограниченную информацию о системе, включая документацию и непривилегированную учетную запись. Это позволяет более целенаправленно и эффективно оценивать безопасность, сосредотачиваясь на наиболее критичных системах с самого начала. Также тестирование может включать проверку безопасности внутри усиленного периметра, имитируя злоумышленника с долгосрочным доступом к сети.
Белый ящик (White Box)
При тестировании методом «белого ящика» пентестеры обладают полным доступом к внутренней структуре и реализации системы. Этот метод включает анализ потоков данных, управления, информации, а также методов кодирования и обработки ошибок. Пентестеры имеют административные права и полное представление об IT-инфраструктуре компании, что позволяет им проводить всестороннюю проверку безопасности.
Тестирование методом «белого ящика» может быть выполнено:
- Для проверки того, соответствует ли реализация кода предполагаемому замыслу
- Для проверки реализованных функций безопасности
- Для выявления уязвимостей, которые можно использовать
Проверять свою инфраструктуру нужно как минимум раз в год и постоянно мониторить на возможные уязвимости.
В каких случаях нужно проводить пентест:
- Банки и НКО обязаны проводить пентест ежегодно, согласно положению 683-П ЦБ РФ, не реже 2 раз в год
- Пентест системы безопасности достаточно проводить 2–3 раза в год
- Пентест приложений нужно проводить с такой же частотой, с которой оно обновляется
В каких случаях нужно проводить пентест:
- Как только выстроили новый ИТ-ландшафт
- Если планируете масштабировать свою инфраструктуру
- Когда внесли изменения в существующий периметр
Тестирование на проникновение позволяет:
- Соблюсти выполнение требований стандартов и нормативных документов. Например, положение 719-П ЦБ РФ, ГОСТ Р 57580.1-2017, требование пункта 11.3 стандарта PCI DSS и пр.
- Предупредить инциденты информационной безопасности
- Оценить эффективность используемых средств защиты информации
- Выявить и устранить уязвимости в защите информационных систем
- Оценить эффективность бизнес-процессов и менеджмента информационной безопасности
- Получить обоснование финансовых затрат на изменения в системе информационной безопасности
- Составить план реагирования на атаки, позволяющий снизить возможность их реализации
Банки и другие финансовые организации обязаны проводить пентест, исходя из Положения 683-П ЦБ РФ и ГОСТ 57580. Они обязывают банки проводить тестирование на проникновение для оценки уровня защиты информационных систем.
Объекты критической информационной инфраструктуры (КИИ) также обязаны проводить тестирование на проникновение, согласно Приказу ФСТЭК № 239.
Пентест проводится не только для соответствия требованиям законодательства и регуляторов. Тестирование на проникновение помогает частным и государственным компаниям объективно оценить уровень защищенности своей инфраструктуры и надежность систем защиты. Вовремя не выявленные уязвимости могут причинить серьезный финансовый и репутационный ущерб.
Объекты критической информационной инфраструктуры (КИИ) также обязаны проводить тестирование на проникновение, согласно Приказу ФСТЭК № 239.
Пентест проводится не только для соответствия требованиям законодательства и регуляторов. Тестирование на проникновение помогает частным и государственным компаниям объективно оценить уровень защищенности своей инфраструктуры и надежность систем защиты. Вовремя не выявленные уязвимости могут причинить серьезный финансовый и репутационный ущерб.