Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Проектирование и внедрение систем защиты
Консалтинг и соответствие требованиям ИБ
Тестирование на проникновение
Безопасность финансовых организаций
Защита КИИ, АСУ ТП, ГИС
Контроль и автоматизация доступа
Обучение сотрудников навыкам ИБ
Безопасная разработка
Сетевая безопасность
Управление информационной безопасностью
Защита конечных точек сети
Решения:
Статьи:
Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Аттестация объектов информатизации и подключение к ГИС
Статьи:
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Статьи:
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Услуги:
Статьи:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Услуги:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Статьи:
Услуги:
Сервис обучения сотрудников навыкам кибербезопасности
24 интерактивных курса по информационной безопасности для ваших сотрудников
Разработка индивидуальных обучающих материалов для решения ваших задач
Статьи:
Пентест
Тестирование на проникновение
Лицензии ФСТЭК России:
Л024-00107-00/00581563, Л024-00107-00/00582823
Социотех. тестирование
Социотехническое тестирование
Мобильных приложений
Внешнего периметра
Анализ исходного кода
Сайта и веб-приложений
Внутреннего периметра
Continuous Penetration Testing
Wi-Fi сетей
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Сертифицированные сотрудники
со стажем более 13 лет
со стажем более 13 лет
Опыт работы в различных отраслях
крупных компаний
крупных компаний
Наши специалисты
входят в топ-10 пентестеров России
входят в топ-10 пентестеров России
Незаменимый инструмент для CISO
Найдите уязвимости и получите объективную оценку защищенности ИТ-инфраструктуры.
Выполняйте требования регуляторов
Соответствуйте требованиям регуляторов и Банка России (851-П, 821-П, 757-П, ГОСТ Р 57580.1-2017, Указ 250 и пр.)
Повысьте уровень защищенности
Получите рекомендации от экспертов по защите активов компании, сократите экономические и репутационные риски
Выявляйте и устраняйте уязвимости
Оцените уровень защиты выстроенной инфраструктуры во внешнем и внутреннем периметре
Каким компаниям важно проводить пентест
В первую очередь, услуги пентеста необходимы организациям, которые должны соответствовать требованиям регуляторов, обрабатывают и хранят конфиденциальную информацию и данные третьих лиц, кто является объектами КИИ или имеют сложную ИТ-инфраструктуру.
-
Банкам и финансовым организациямВажно проводить ежегодное тестирование на проникновение и анализ уязвимостей согласно положению 683-П, 719-П, 757-П Банка России, ГОСТ 57580, PCI DISS. -
Электронной коммерцииНеобходимо предупреждать возможность инцидентов заранее. E-commerce находится в группе повышенного риска для хакерских атак, эксплуатации уязвимостей и утечки конфиденциальных данных. -
Значимым объектам КИИПентест необходимо проводить до ввода объекта в эксплуатацию согласно приказу ФСТЭК России № 239, Указ №250. -
Крупному и среднему бизнесуТестирование на проникновение и анализ уязвимостей необходимо проводить компаниям из различных отраслей: Банкам, Страховым организациям, Авиакомпаниям, Промышленным предприятиям, Девелоперам, Медицинским, Государственным организациям и др. – минимум раз в год. -
Разработчикам приложенийДля соответствия стандартам безопасности и предотвращения возможной эксплуатации уязвимостей необходимо проводить пентест как минимум раз в полгода, а также после каждого крупного релиза или обновления функционала приложения. -
Сервис-провайдерамРекомендуется проводить тестирование на проникновение для поддержания бесперебойной работы сервисов, снижения риска финансовых потерь и утечек конфиденциальных данных.
Виды пентеста
Контролируйте изменения в инфраструктуре ежедневно и своевременно выявляйте уязвимости. Получайте детальную информацию:
Средняя продолжительность
Объекты сканирования
Используемые инструменты
- о состоянии защищенности периметра;
- топ критических уязвимостей;
- полное описание по каждой уязвимости;
- рекомендации по устранению уязвимостей.
Средняя продолжительность
- Ежедневное непрерывное сканирование ИТ-периметра.
Объекты сканирования
- Web ресурсы.
- Net ресурсы.
Используемые инструменты
- ETHIC.CPT – сервис непрерывного мониторинга периметра и веб-приложений.
Анализируйте исходный код, выявляйте уязвимости и тестируйте на безопасность в контролируемой среде.
Средняя продолжительность от 10 дней
Объекты сканирования
Состав работ
Средняя продолжительность от 10 дней
- Время анализа зависит от объема сканируемых ресурсов.
Объекты сканирования
- Цифровые активы компании.
Состав работ
- Получение предварительной информации и доступа к исходному коду тестируемого проекта.
- Проведение статического анализа кода с применением инструментов для обнаружения потенциальных ошибок и уязвимостей.
- Проведение анализа безопасности с целью ручного поиска веб-уязвимостей, таких как SQL-инъекции, межсайтовый скриптинг, и т.д.
- Проверка корректности обработки входных данных. Оценка соблюдения принципов безопасной разработки.
- Проведение анализа производительности для оценки эффективности алгоритмов и структур данных.
- Проведение анализа структуры кода для проверки организации кода и соответствия его архитектурным принципам.
- Проведение анализа безопасности используемых библиотек и плагинов в исходном коде.
- Подготовка отчета по результатам тестирования.
Защитите свою внутреннюю сеть от кибератак. Найдите уязвимости и ошибки в конфигурации устройств, сетевых служб и приложений раньше злоумышленников.
Средняя продолжительность 18-25 дней
Объекты тестирования
Используемые методы
Средняя продолжительность 18-25 дней
Объекты тестирования
- Операционные системы.
- Средства защиты информации.
- Сетевые сервисы и службы.
Используемые методы
- OSINT (Open-Source Intelligence) исследование — получение предварительной информации о сетевом периметре на основе открытых источников, доступных потенциальному нарушителю (поисковые системы, СМИ, конференции и т.п.).
- Сканирование хостов сетевого периметра, определение типов устройств, операционных систем и приложений.
- Проведение сканирования на наличие уязвимостей.
- Анализ защищенности сервисов сетевой инфраструктуры и электронной почты.
- Анализ защищенности систем совместной работы SharePoint, OWA, Confluence и других.
- Проведение брутфорс-атак.
- Идентификация уязвимостей сетевых служб и приложений.
- Эксплуатация наиболее критичных уязвимостей с целью преодоления сетевого периметра.
- Анализ возможностей развития атаки во внутреннюю сеть.
Поможем защитить внутренний контур (локальную сеть) организации от атак со стороны нарушителя. Проведем пентест внутреннего периметра как локально, так и удаленно, с помощью защищенного подключения по технологии VPN.
Средняя продолжительность 25-30 дней
Объекты тестирования
Используемые методы
Средняя продолжительность 25-30 дней
Объекты тестирования
- СУБД.
- Рабочие станции.
- Серверы (FTP, почтовый, SQL и др.).
- Сетевые службы и сервисы.
- Сетевое оборудование.
- Средства защиты информации.
Используемые методы
- Пассивный сбор информации о подсети.
- Перехват и анализ сетевого трафика. Проведение сетевых атак.
- Сканирование узлов, доступных из пользовательского сегмента ЛВС, сбор информации об открытых портах, определение типов устройств, анализ сетевой сегментации.
- Проведение сканирования на наличие уязвимостей (если это возможно по условию внутреннего тестирования).
- Эксплуатация уязвимостей.
- Восстановление паролей и хеш-суммы паролей из оперативной памяти и реестра.
- Восстановление хеш-суммы паролей по словарю.
- Анализ Active Directory.
- Боковое перемещение (Lateral Movement) и повышение привилегий.
- Проверка возможности получения доступа к конфиденциальной информации и (или) информации ограниченного доступа.
- Проверка прав доступа к различным информационным ресурсам с привилегиями, полученными на различных этапах тестирования.
Защитите работу сайта и веб-приложений организации.
Средняя продолжительность 18-25 дней
Объекты тестирования
Используемые методы
Ручная проверка проходит по методологии OWASP Top 10, но не ограничивается ею. Проверка включает в себя следующие категории:
Средняя продолжительность 18-25 дней
Объекты тестирования
- Операционные системы.
- Системы управления сайтами (CMS).
Используемые методы
- Получение предварительной информации о веб-ресурсе на основе источников информации, доступных потенциальному нарушителю.
- Анализ веб-приложения от имени аутентифицированного и анонимного пользователя.
- Автоматизированное сканирование на наличие веб-уязвимостей с использованием зарекомендовавших себя инструментальных средств.
- Ручная верификация и анализ результатов инструментального сканирования, проверка соответствия конфигурации веб-приложения рекомендациям по безопасной настройке программного обеспечения (CMS, фреймворков, веб-сервера, сервера приложений и т.п.).
Ручная проверка проходит по методологии OWASP Top 10, но не ограничивается ею. Проверка включает в себя следующие категории:
- ошибки контроля доступа;
- криптографические сбои;
- инъекции;
- неправильные конфигурации;
- уязвимые и устаревшие компоненты;
- ошибки идентификации и аутентификации;
- ошибки целостности программного обеспечения и данных;
- регистрация безопасности и мониторинг сбоев;
- подделка запросов на стороне сервера;
- прочие атаки, целью которых является выполнение кода на стороне сервера;
- подбор паролей пользователей веб-приложения.
Обеспечьте безопасность мобильных приложений, защитите бренд компании от негативных последствий возможных атак.
Средняя продолжительность от 10 дней
Объекты сканирования
Ручная проверка проводится в соответствии с методологией OWASP Mobile Top 10 и включает проверку следующих категорий уязвимостей:
Средняя продолжительность от 10 дней
- Зависит от количества приложений.
Объекты сканирования
- Мобильные приложения.
- Получение предварительной информации о приложении.
- Анализ приложения от имени авторизованного и неавторизованного пользователя.
- Автоматизированное сканирование на наличие уязвимостей при помощи специальных инструментальных средств.
Ручная проверка проводится в соответствии с методологией OWASP Mobile Top 10 и включает проверку следующих категорий уязвимостей:
- ошибки аутентификации и авторизации;
- недостаточная защита хранилища данных;
- недостаточная защита передачи данных;
- недостаточная защита сессий и временных файлов;
- небезопасная логика приложения;
- ошибки на стороне сервера;
- небезопасная конфигурация;
- недостаточная защита от социальной инженерии;
- небезопасная использование компонентов.
Найдите уязвимости в архитектуре и организации беспроводного доступа и клиентских устройств.
Средняя продолжительность 15-20 дней
Объекты тестирования
Используемые методы
Средняя продолжительность 15-20 дней
Объекты тестирования
- Беспроводные сети компании.
- Аппаратное обеспечение сетей Wi-Fi.
Используемые методы
- Сканирование диапазона Wi-Fi-сетей и получение информации о точках доступа.
- Проведение атак на сети Wi-Fi (WPS, PMKID, WPA, WPA2).
- Выявление недостатков в организации беспроводных сетей и недостатков конфигурации точек доступа, позволяющих проводить атаки на сетевое оборудование, сети и клиентов сетей.
- Проведение атак на WPA2 Enterprise.
Оцените уровень осведомленности сотрудников организации в вопросах информационной безопасности, а также их готовность распознать фишинговые рассылки и мошеннические звонки.
Средняя продолжительность 15-25 дней
Объекты тестирования
Используемые методы
Средняя продолжительность 15-25 дней
Объекты тестирования
- Персонал компании, в том числе сотрудники служб ИТ и ИБ.
- Средства зашиты от фишинговых атак и эксплуатации уязвимостей нулевого дня.
- Рабочие станции.
Используемые методы
- Поиск в сети интернет сведений, часто используемых при атаках (утечки данных, несанкционированное использование учетных записей и т.д.).
- Почтовые рассылки с имитацией вредоносного вложения.
- Почтовые рассылки с имитацией вредоносной ссылки.
- Почтовые рассылки с имитацией вредоносного офисного документа.
- Целевое общение с сотрудниками по телефону (корпоративному) с целью получения конфиденциальной информации.
Continuous Penetration Testing
Пентест внешнего периметра
Пентест внутреннего периметра
Пентест сайта и веб-приложений
Пентест мобильных приложений
Анализ исходного кода
Пентест сетей Wi-Fi
Социотехнический пентест
Узнайте реальную степень защищенности своего периметра — закажите пентест
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.
Специалисты Infosecurity входят в топ-10 пентестеров России
Команда сертифицированных пентестеров с экспертизой в разных отраслях.
Наш партнер
-
С 2019 года Infosecurity сотрудничает с Академией КодебайПентестеры Infosecurity традиционно занимают только первые и вторые места в CTF-соревнованиях «Игры Кодебай».
Подсветим критичные уязвимости сразу,
как только найдём
как только найдём
Проводим пентест методами «черного ящика» (black box) и «серого ящика» (grey box) без уведомления системных администраторов/ИT-специалистов заказчика.
Работаем по всемирным методикам и стандартам
-
PTES (Penetration Testing Execution Standard) — это стандарт, который определяет набор процессов и методологий для проведения тестирования на проникновение. Цель PTES — установить четкие и последовательные принципы для выполнения таких тестов, чтобы обеспечить высокий уровень качества и эффективности.
-
OWASP Testing Guide — это подробное руководство, разработанное проектом OWASP, которое предоставляет методологии и процедуры для тестирования безопасности веб-приложений. Целью руководства является помощь разработчикам, тестировщикам и аудиторам в идентификации и устранении уязвимостей в приложениях.
- 100%Социотехнических пентестов
приводит к контролируемой утечке чувствительных данных - 90%Внутренних пентестов
завершается получением прав администратора
Результат пентеста – пошаговый план по ликвидации уязвимостей
Оставьте заявку и получите пример отчёта
Как мы работаем
Нам можно доверять – фиксируем в договоре все критические параметры. Прописываем все что, важно именно вашему бизнесу: объекты исследований, уровень доступа к вашей инфраструктуре, условия проведения атак, направленных на эксплуатацию уязвимостей и т. д.
Собираем информацию и анализируем инфраструктуру клиента
Собираем сведения о структуре и компонентах системы с использованием открытых источников.
Выбираем подход к проведению пентеста
Разрабатываем методику и выбираем инструментарий для проведения тестирования на проникновение. Определяем удобный канал коммуникации для решения оперативных вопросов.
Ищем и эксплуатируем уязвимости – анализируем полученную информацию
Используем в работе автоматизированные средства и «ручные» методы для получения доступа к конфиденциальной информации.
Разрабатываем отчет с рекомендациями
Формируем список обнаруженных уязвимостей с указанием степени риска, прописываем рекомендации по устранению уязвимостей, а также общие выводы по уровню защищенности инфраструктуры.
Continuous Penetration Testing
Пентест внешнего периметра
Пентест внутреннего периметра
Пентест сайта и веб-приложений
Пентест мобильных приложений
Анализ исходного кода
Пентест сетей Wi-Fi
Социотехнический пентест
Узнайте траекторию атаки киберпреступника
Найдите уязвимость раньше злоумышленника
и повысьте уровень защищенности
и повысьте уровень защищенности
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.
Для оценки защищенности
специалисты Infosecurity также рекомендуют
Экспресс аудит ИБ
Проведите оперативную независимую оценку текущего состояния ИТ-инфраструктуры и систем защиты.
Получите дорожную карту проектов для повышения уровня защищенности
Получите дорожную карту проектов для повышения уровня защищенности
FAQ
Pentest (Penetration Testing) — это метод оценки безопасности информационных систем или приложений, с использованием техник и инструментов, подобных тем, которые могут использовать злоумышленники. Цель пентеста — выявление уязвимостей в безопасности системы и предоставление рекомендаций по их устранению.
Пентест выполняется специалистами в области информационной безопасности, которые имеют опыт в использовании профессиональных инструментов и техник.
Пентест может включать в себя внешнее или внутреннее тестирование. Внешний пентест предполагает анализ системы с точки зрения внешнего злоумышленника, который пытается получить доступ к системе через Интернет. Внутренний пентест включает в себя анализ системы с позиции внутреннего пользователя или сотрудника, который имеет доступ к системе.
Результатом пентеста является отчет, в котором представлены выявленные уязвимости в безопасности системы и рекомендации по их устранению. Он помогает владельцам системы или приложения понять, какие угрозы существуют для их информационных систем и как их можно устранить. В отчете также может быть перечислена информация о проведенных тестах, их результатах и методах, использованных для выявления уязвимостей.
Пентест должен выполняться только с разрешения владельца системы и в соответствии с законодательством об информационной безопасности.
Пентест выполняется специалистами в области информационной безопасности, которые имеют опыт в использовании профессиональных инструментов и техник.
Пентест может включать в себя внешнее или внутреннее тестирование. Внешний пентест предполагает анализ системы с точки зрения внешнего злоумышленника, который пытается получить доступ к системе через Интернет. Внутренний пентест включает в себя анализ системы с позиции внутреннего пользователя или сотрудника, который имеет доступ к системе.
Результатом пентеста является отчет, в котором представлены выявленные уязвимости в безопасности системы и рекомендации по их устранению. Он помогает владельцам системы или приложения понять, какие угрозы существуют для их информационных систем и как их можно устранить. В отчете также может быть перечислена информация о проведенных тестах, их результатах и методах, использованных для выявления уязвимостей.
Пентест должен выполняться только с разрешения владельца системы и в соответствии с законодательством об информационной безопасности.
Continuous Penetration Testing (CPT) — это методика обеспечения информационной безопасности, при которой проводятся постоянные, непрерывные тесты на проникновение, что позволяет более оперативно выявлять и устранять уязвимости.
Отличительные особености CPT:
1. Тестирование проводится на постоянной основе, а не периодически.
2. Использование автоматизированных инструментов и процессов для мониторинга и анализа безопасности.
3. Быстрая реакция на изменения в инфраструктуре, программном обеспечении или методах атак.
Преимущества CPT:
1. Позволяет оперативно выявлять и устранять уязвимости.
2. Автоматизация и непрерывность процесса позволяют снизить затраты на проведение пентестов и устранение уязвимостей.
3. Постоянное тестирование способствует улучшению общего уровня безопасности и снижению вероятности успешных атак.
Отличительные особености CPT:
1. Тестирование проводится на постоянной основе, а не периодически.
2. Использование автоматизированных инструментов и процессов для мониторинга и анализа безопасности.
3. Быстрая реакция на изменения в инфраструктуре, программном обеспечении или методах атак.
Преимущества CPT:
1. Позволяет оперативно выявлять и устранять уязвимости.
2. Автоматизация и непрерывность процесса позволяют снизить затраты на проведение пентестов и устранение уязвимостей.
3. Постоянное тестирование способствует улучшению общего уровня безопасности и снижению вероятности успешных атак.
Пентест нужен для оценки уровня безопасности информационных систем или приложений. Самый эффективный способ проверить защищенность периметра ИБ — попытаться его взломать. Протестировать функционирующие в компании системы намного дешевле, чем устранять последствия от утечки данных или взлома сетевого периметра.
В рамках тестирования специалисты Infosecurity применяют различные методы оценки защищенности: ручной и автоматизированный поиск уязвимостей и нарушений конфигураций, социотехническое и нагрузочное тестирование, эксплуатация обнаруженных уязвимостей и проведение атак. Пентест помогает защитить активы компании, и выстроить грамотный план инвестиций в системы безопасности без лишних трат и использования ресурсов.
Регулярное проведение пентеста помогает своевременно выявлять и устранять уязвимости, минимизируя риски для бизнеса и обеспечивая надежную защиту информационных активов.
В рамках тестирования специалисты Infosecurity применяют различные методы оценки защищенности: ручной и автоматизированный поиск уязвимостей и нарушений конфигураций, социотехническое и нагрузочное тестирование, эксплуатация обнаруженных уязвимостей и проведение атак. Пентест помогает защитить активы компании, и выстроить грамотный план инвестиций в системы безопасности без лишних трат и использования ресурсов.
Регулярное проведение пентеста помогает своевременно выявлять и устранять уязвимости, минимизируя риски для бизнеса и обеспечивая надежную защиту информационных активов.
Тестирование на проникновение (пентест/pentest, penetration test) – один из элементов аудита защищенности информационной системы. Пентест это не только элемент комплексного аудита информационной безопасности, но и самодостаточный инструмент для оценки реального уровня защищенности IT-инфраструктуры.
Пентест проверяет насколько уязвим бизнес и его информационные системы для злоумышленников в текущий момент времени.
Аудит ИБ позволяет выстроить или оценить ИБ и ИТ-процессы глобально, чтобы обеспечить необходимый уровень защиты чувствительной информации компании.
Пентест проверяет насколько уязвим бизнес и его информационные системы для злоумышленников в текущий момент времени.
Аудит ИБ позволяет выстроить или оценить ИБ и ИТ-процессы глобально, чтобы обеспечить необходимый уровень защиты чувствительной информации компании.
Автоматическая проверка является одним из этапов тестирования на проникновение. Сканер уязвимостей позволяет выявить базовые уязвимости в системе и собрать необходимую информацию для следующих этапов тестирования. Пентест же позволяет понять специалистам, каким образом найденными уязвимостями могут воспользоваться злоумышленники, и разработать рекомендации по их наиболее эффективному устранению. Тестирование на проникновение может включать в себя не только анализ информационных систем, но и инфраструктуры в целом: топологии сетей, настроек оборудования (в том числе Wi-Fi) и других потенциальных точек воздействия.
Анализ защищённости предназначен для поиска всех возможных уязвимостей в IT-инфраструктуре. При базовом анализе защищенности исследование прекращается после обнаружения недостатка, то есть услуги не включают в себя выполнение атаки с эксплуатацией найденной уязвимости, как при тестировании на проникновение.
Infosecurity проводит как комплексный анализ защищенности, включающий в себя тестирование на проникновение, так и отдельно пентест в зависимости от потребностей организации.
Infosecurity проводит как комплексный анализ защищенности, включающий в себя тестирование на проникновение, так и отдельно пентест в зависимости от потребностей организации.
Черный ящик (Black Box)
При тестировании методом «черного ящика» специалисты не имеют доступа к внутренней инфраструткуре и моделируют действия злоумышленников, не обладающих специальными знаниями о системе. Пентестеры не получают архитектурные схемы или исходный код, что делает тестирование максимально приближенным к реальной атаке и требует высоких технических навыков. Основной недостаток метода — если периметр не взломан, уязвимости внутренних сервисов остаются незамеченными и неисправленными.
Серый ящик (Grey Box)
Метод «серого ящика» предполагает, что пентестеры имеют ограниченную информацию о системе, включая документацию и непривилегированную учетную запись. Это позволяет более целенаправленно и эффективно оценивать безопасность, сосредотачиваясь на наиболее критичных системах с самого начала. Также тестирование может включать проверку безопасности внутри усиленного периметра, имитируя злоумышленника с долгосрочным доступом к сети.
Белый ящик (White Box)
При тестировании методом «белого ящика» пентестеры обладают полным доступом к внутренней структуре и реализации системы. Этот метод включает анализ потоков данных, управления, информации, а также методов кодирования и обработки ошибок. Пентестеры имеют административные права и полное представление об IT-инфраструктуре компании, что позволяет им проводить всестороннюю проверку безопасности.
Тестирование методом «белого ящика» может быть выполнено:
При тестировании методом «черного ящика» специалисты не имеют доступа к внутренней инфраструткуре и моделируют действия злоумышленников, не обладающих специальными знаниями о системе. Пентестеры не получают архитектурные схемы или исходный код, что делает тестирование максимально приближенным к реальной атаке и требует высоких технических навыков. Основной недостаток метода — если периметр не взломан, уязвимости внутренних сервисов остаются незамеченными и неисправленными.
Серый ящик (Grey Box)
Метод «серого ящика» предполагает, что пентестеры имеют ограниченную информацию о системе, включая документацию и непривилегированную учетную запись. Это позволяет более целенаправленно и эффективно оценивать безопасность, сосредотачиваясь на наиболее критичных системах с самого начала. Также тестирование может включать проверку безопасности внутри усиленного периметра, имитируя злоумышленника с долгосрочным доступом к сети.
Белый ящик (White Box)
При тестировании методом «белого ящика» пентестеры обладают полным доступом к внутренней структуре и реализации системы. Этот метод включает анализ потоков данных, управления, информации, а также методов кодирования и обработки ошибок. Пентестеры имеют административные права и полное представление об IT-инфраструктуре компании, что позволяет им проводить всестороннюю проверку безопасности.
Тестирование методом «белого ящика» может быть выполнено:
- Для проверки того, соответствует ли реализация кода предполагаемому замыслу
- Для проверки реализованных функций безопасности
- Для выявления уязвимостей, которые можно использовать
Проверять свою инфраструктуру нужно как минимум раз в год и постоянно мониторить на возможные уязвимости.
В каких случаях нужно проводить пентест:
- Банки и НКО обязаны проводить пентест ежегодно, согласно положению 683-П ЦБ РФ, не реже 2 раз в год
- Пентест системы безопасности достаточно проводить 2–3 раза в год
- Пентест приложений нужно проводить с такой же частотой, с которой оно обновляется
В каких случаях нужно проводить пентест:
- Как только выстроили новый ИТ-ландшафт
- Если планируете масштабировать свою инфраструктуру
- Когда внесли изменения в существующий периметр
Тестирование на проникновение позволяет:
- Соблюсти выполнение требований стандартов и нормативных документов. Например, положение 719-П ЦБ РФ, ГОСТ Р 57580.1-2017, требование пункта 11.3 стандарта PCI DSS и пр.
- Предупредить инциденты информационной безопасности
- Оценить эффективность используемых средств защиты информации
- Выявить и устранить уязвимости в защите информационных систем
- Оценить эффективность бизнес-процессов и менеджмента информационной безопасности
- Получить обоснование финансовых затрат на изменения в системе информационной безопасности
- Составить план реагирования на атаки, позволяющий снизить возможность их реализации
Банки и другие финансовые организации обязаны проводить пентест, исходя из Положения 683-П ЦБ РФ и ГОСТ 57580. Они обязывают банки проводить тестирование на проникновение для оценки уровня защиты информационных систем.
Объекты критической информационной инфраструктуры (КИИ) также обязаны проводить тестирование на проникновение, согласно Приказу ФСТЭК № 239.
Пентест проводится не только для соответствия требованиям законодательства и регуляторов. Тестирование на проникновение помогает частным и государственным компаниям объективно оценить уровень защищенности своей инфраструктуры и надежность систем защиты. Вовремя не выявленные уязвимости могут причинить серьезный финансовый и репутационный ущерб.
Объекты критической информационной инфраструктуры (КИИ) также обязаны проводить тестирование на проникновение, согласно Приказу ФСТЭК № 239.
Пентест проводится не только для соответствия требованиям законодательства и регуляторов. Тестирование на проникновение помогает частным и государственным компаниям объективно оценить уровень защищенности своей инфраструктуры и надежность систем защиты. Вовремя не выявленные уязвимости могут причинить серьезный финансовый и репутационный ущерб.