Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Нажимая кнопки на сайте Вы даете свое согласие на обработку Ваших персональных данных, в соответствии с №152-ФЗ «О персональных данных» от 27.07.2006 года. Оставляя заявку на сайте, Вы соглашаетесь на обработку персональных данных. Не является публичной офертой.
Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Нажимая кнопки на сайте Вы даете свое согласие на обработку Ваших персональных данных, в соответствии с №152-ФЗ «О персональных данных» от 27.07.2006 года. Оставляя заявку на сайте, Вы соглашаетесь на обработку персональных данных. Не является публичной офертой.
Тестирование
на проникновение
Тестирование на проникновение (pentest, penetration test) позволяет выявить уязвимости, получить объективную оценку защищенности компании, а также помогает защитить ее активы и выстроить грамотный план инвестиций в системы безопасности без лишних затрат.
Для чего нужен пентест?
Существует лишь один способ проверить защищенность периметра ИБ — попытаться его взломать. Протестировать функционирующие в компании системы намного дешевле, чем устранять последствия от утечки данных или взлома сетевого периметра.
В рамках тестирования специалисты Infosecurity применяют различные методы оценки защищенности: ручной и автоматизированный поиск уязвимостей и нарушений конфигураций, социотехническое и нагрузочное тестирование, эксплуатация обнаруженных уязвимостей и проведение атак. Тестирование на проникновение помогает защитить активы компании, и выстроить грамотный план инвестиций в системы безопасности без лишних трат и использования ресурсов.
В рамках тестирования специалисты Infosecurity применяют различные методы оценки защищенности: ручной и автоматизированный поиск уязвимостей и нарушений конфигураций, социотехническое и нагрузочное тестирование, эксплуатация обнаруженных уязвимостей и проведение атак. Тестирование на проникновение помогает защитить активы компании, и выстроить грамотный план инвестиций в системы безопасности без лишних трат и использования ресурсов.
Оценка уровня защищенности
Оценить применяемые меры защиты компании и устойчивости функционирующих сервисов от компрометации
Оценить применяемые меры защиты компании и устойчивости функционирующих сервисов от компрометации
Выявление уязвимостей
Узнать, какие существуют уязвимости во внешнем и внутреннем периметре корпоративной сети
Узнать, какие существуют уязвимости во внешнем и внутреннем периметре корпоративной сети
Выполнение требований регуляторов
Привести защищенность инфраструктуры в соответствие требованиям регуляторов (382-П, 683-П, 684-П, ГОСТ Р 57580.1-2017, Указ 250 и пр.)
Привести защищенность инфраструктуры в соответствие требованиям регуляторов (382-П, 683-П, 684-П, ГОСТ Р 57580.1-2017, Указ 250 и пр.)
Повышение уровня защищенности
Получить экспертные рекомендации для устранения уязвимостей и повысить эффективность защиты
ИТ-инфраструктуры
Получить экспертные рекомендации для устранения уязвимостей и повысить эффективность защиты
ИТ-инфраструктуры
Виды пентеста
Пентест внешнего периметра
Тестирование на проникновение внешнего периметра направлено на поиск путей проникновения внешнего нарушителя во внутреннюю сеть с использованием уязвимостей и ошибок конфигурации устройств, доступных из сети Интернет, сетевых служб и приложений.
Используемые методы:
Используемые методы:
- OSINT (Open-Source Intelligence) исследование — получение предварительной информации о сетевом периметре на основе источников информации, доступных потенциальному нарушителю (поисковые системы, новости, конференции и т.п.). Сканирование хостов сетевого периметра, определение типов устройств, операционных систем и приложений.
- Проведение сканирования на наличие уязвимостей.
- Анализ защищенности сервисов сетевой инфраструктуры и электронной почты.
- Анализ защищенности систем совместной работы SharePoint, OWA, Confluence и других.
- Проведение брутфорс-атак.
- Идентификация уязвимостей сетевых служб и приложений.
- Эксплуатация наиболее критичных уязвимостей с целью преодоления сетевого периметра.
- Анализ возможностей развития атаки во внутреннюю сеть.
Пентест внутреннего периметра
Тестирование на проникновение внутреннего периметра направлено на анализ защищенности внутреннего контура от атак со стороны нарушителя, имеющего доступ к локальной сети организации. Работы данного этапа могут осуществляться как локально, так и удаленно, с помощью защищенного подключения по технологии VPN.
Используемые методы:
Используемые методы:
- Пассивный сбор информации о подсети.
- Перехват и анализ сетевого трафика.
- Проведение сетевых атак.
- Сканирование узлов, доступных из пользовательского сегмента ЛВС, сбор информации об открытых портах, определение типов устройств, анализ сетевой сегментации.
- Проведение сканирования на наличие уязвимостей (если это возможно по условию внутреннего тестирования).
- Эксплуатация уязвимостей.
- Восстановление паролей и хеш-суммы паролей из оперативной памяти и реестра.
- Восстановление хеш-суммы паролей по словарю.
- Анализ Active Directory.
- Боковое перемещение (Lateral Movement) и повышение привилегий.
- Проверка возможности получения доступа к конфиденциальной информации и (или) информации ограниченного доступа.
- Производится проверка прав доступа к различным информационным ресурсам с привилегиями, полученными на различных этапах тестирования.
Пентест веб-приложений
Тестирование на проникновение веб-приложений направлено на поиск уязвимостей, в результате эксплуатации которых атакующий может получить доступ к хранимой и обрабатываемой информации или нарушить нормальную работу сайта или веб-приложения.
Используемые методы:
Ручная проверка проходит по методологии OWASP Top 10, но не ограничивается ею. Проверка включает в себя следующие категории:
Используемые методы:
- Получение предварительной информации о веб-ресурсе на основе источников информации, доступных потенциальному нарушителю.
- Анализ веб-приложения от имени аутентифицированного и анонимного пользователя.
- Автоматизированное сканирование на наличие веб-уязвимостей с использованием зарекомендовавших себя инструментальных средств.
- Ручная верификация и анализ результатов инструментального сканирования, проверка соответствия конфигурации веб-приложения рекомендациям по безопасной настройке программного обеспечения (CMS, фреймворков, веб-сервера, сервера приложений и т.п.).
Ручная проверка проходит по методологии OWASP Top 10, но не ограничивается ею. Проверка включает в себя следующие категории:
- Ошибки контроля доступа
- Криптографические сбои
- Инъекции
- Неправильные конфигурации
- Уязвимые и устаревшие компоненты
- Ошибки идентификации и аутентификации
- Ошибки целостности программного обеспечения и данных
- Регистрация безопасности и мониторинг сбоев
- Подделка запросов на стороне сервера
- Прочие атаки, целью которых является выполнение кода на стороне сервера
- Подбор паролей пользователей веб-приложения
Пентест сетей Wi-Fi
Тестирование на проникновение Wi-Fi сетей проводится на территории организации и направлено на выявление недостатков в использовании точек доступа и клиентских устройств, недостатков в архитектуре и организации беспроводного доступа.
Используемые методы:
Используемые методы:
- Сканирование диапазона Wi-Fi-сетей и получение информации о точках доступа.
- Проведение атак на сети Wi-Fi (WPS, PMKID, WPA, WPA2).
- Выявление недостатков в организации беспроводных сетей и недостатков конфигурации точек доступа, позволяющих проводить атаки на сетевое оборудование, сети и клиентов сетей.
- Проведение атак на WPA2 Enterprise.
Социотехническое тестирование
Социотехническое тестирование позволяет оценить уровень осведомленности сотрудников организации в вопросах информационной безопасности, а также их готовность распознать фишинговые рассылки и мошеннические звонки.
Используемые методы:
Используемые методы:
- Поиск в сети интернет сведений, часто используемых при атаках (утечки данных, несанкционированное использование учетных записей и т.д.).
- Почтовые рассылки с имитацией вредоносного вложения.
- Почтовые рассылки с имитацией вредоносной ссылки.
- Почтовые рассылки с имитацией вредоносного офисного документа.
- Размещение USB-носителей, содержание которых имитирует вредоносное программное обеспечение, на территории организации.
- Целевое общение с сотрудниками по телефону (корпоративному) с целью получения конфиденциальной информации.
- Оценка возможности преодоления физического периметра на объектах организации (в том числе, скрытного копирования электронных ключей СКУД).
Этапы тестирования на проникновение
Выбор подхода к проведению пентеста
Разработка методики и выбор инструментария для проведения тестирования на проникновение.
Cбор сведений о структуре и компонентах системы с использованием открытых источников.
Сбор информации
Использование открытых источников, для сбора сведений о структуре и компонентах системы. Поиск уязвимостей автоматизированными средствами и «ручными» методами.
Анализ инфраструктуры и поиск уязвимостей
1
2
3
4
Эксплуатация уязвимостей
Проверка получения доступа к конфиденциальной информации, интерфейсам администрирования, проведение сетевых атак.
5
Анализ результатов выполнения атак, контроль качества выполненных работ для оптимизации разрабатываемых рекомендаций по повышению защищенности систем.
Анализ полученных данных
6
Разработка отчета с рекомендациями
Список обнаруженных уязвимостей с указанием степени риска, рекомендации по устранению уязвимостей, а также общие выводы по уровню защищенности инфраструктуры.
Вы можете ознакомиться с примерами отчетов по тестированию внешнего, внутреннего периметров и веб-приложения
Заполните свои контактные данные и мы отправим пример отчета на указанную почту.
Нажимая кнопку Вы даете свое согласие на обработку Ваших персональных данных, в соответствии с №152-ФЗ «О персональных данных» от 27.07.2006 года. Не является публичной офертой.
Преимущества пентеста с Infosecurity
Использование международных методик
Наши эксперты по пентестам используют как международные методики тестирования, так и собственные.
Наши эксперты по пентестам используют как международные методики тестирования, так и собственные.
Качество услуг
Более 90% внутренних пентестов, проведенных нами, завершилось получением прав администратора домена и доступом к конфиденциальной информации.
Более 90% внутренних пентестов, проведенных нами, завершилось получением прав администратора домена и доступом к конфиденциальной информации.
Работа с различными сферами
У наших специалистов большой опыт проведения пентестов в различных сферах: банки, промышленный сектор, производство и многих других.
У наших специалистов большой опыт проведения пентестов в различных сферах: банки, промышленный сектор, производство и многих других.
Опыт проведения специфических работ
Тестирование систем контроля физического доступа, СКУД, использование сетевых и USB-имплантов при социотехническом пентесте.
Тестирование систем контроля физического доступа, СКУД, использование сетевых и USB-имплантов при социотехническом пентесте.
Напишите нам, чтобы повысить уровень защищенности компании
Нажимая кнопки на сайте Вы даете свое согласие на обработку Ваших персональных данных, в соответствии с №152-ФЗ «О персональных данных» от 27.07.2006 года. Не является публичной офертой.
Оперативное предоставление информации:
Мы в соц. сетях
Сервисы
О компании
Входит в группу
Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее. Продолжая пользоваться сайтом вы соглашаетесь с политикой конфиденциальности.
ОК