Услуги

Тестирование на проникновение

Информационная безопасность – это непрерывный процесс, а не готовый продукт «из коробки» и не разовое мероприятие.  Даже если в компании закуплены, установлены и правильно настроены самые современные средства защиты – это  не гарантирует 100% безопасность. Ежедневно внедряются новейшие технологии и программное обеспечение, обнаруживаются уязвимости и «закладки», вредоносные программы, совершенствуются техники кибератак. 
Перед специалистами ИБ встают следующие вопросы: 
  • Как проверить ИТ-инфраструктуру компании  в  условиях реальной кибератаки? 
  • Готова ли служба ИБ к предотвращению атак?
  • Будет ли работать политика безопасности организации в условиях постоянно возникающих угроз и готов ли персонал к таким вызовам?
  • Какая модель нарушителя и модель угроз актуальна сегодня?
Чтобы получить ответы на эти вопросы, необходимо провести тестирование системы на проникновение. 
Тестирование на проникновение (penetration testing, пентест) — это способ оценить безопасность систем или сетей путем моделирования реальной хакерской атаки.  Такое исследование проводится с позиции атакующей стороны, используются все возможные уязвимости системы, после проведения пентеста заказчику предоставляется отчет, в котором содержится следующая информация:
  • потенциально опасные уязвимости и вектора атак;
  • оценка временных и материальных затрат на проведение атаки;
  • модель нарушителя;
  • рекомендации по устранению уязвимостей в системе и построению эффективной системы защиты.

Виды тестирования различаются в зависимости от степени информированности «атакующих» о системах заказчика:
  • внешний пентест  без предоставления какой-либо информации от заказчика и учетных данных;
  • внешний пентест с предоставлением учетных данных и информации от заказчика;
  • внутренний пентест без предоставления учетных данных;
  • внутренний пентест с предоставлением учетных данных.

Методики проведения тестов на проникновения, как правило, бывают следующие:
  • пентест, проводимый техническими методами, т.е. поиск уязвимостей оборудования и ПО заказчика и эксплуатация их. Такой вид тестирования согласовывается заранее со службой ИБ и руководством предприятия. 
  • пентест с применением методов социальной инженерии. Тестируется персонал компании на знание и применение политики безопасности организации. 
  • пентест,  совмещающий предыдущие два подхода (социотехнический).

Среди специалистов ИБ также принята следующая терминология: тестирование по модели «черного ящика» и «белого ящика».  В первом случае, пентестеры вообще не имеют никаких сведений об ИТ-инфраструктуре и системе защиты заказчика, их цель смоделировать классическую внешнюю хакерскую атаку. Как правило, используются методы социальной инженерии (фишинговые письма сотрудникам компании, сбор информации в открытых источниках и т.д.), естественно, персонал не предупрежден о такой проверке.
Модель «белого ящика» предполагает, что «атакующие» имеют полную информацию о системе заказчика, т.е. в данном случае, имитируется вариант атаки с использованием инсайдерской информации.  Бывает еще и промежуточный вариант, когда «атакующий» все-таки располагает некоторой информацией о системе заказчика, но она не полная (модель «серого ящика»). 
Объектами исследования при проведении пентеста являются, как внутренние системы заказчика (корпоративные сети, СУБД, сервера, прикладное ПО, ОС, сетевое оборудование, средства защиты информации и т.д.), так и внешние системы, такие как веб-приложения и мобильные приложения. 
В тестировании на проникновение веб-сайтов и мобильных приложений есть свои особенности. «Атака» на веб-ресурсы компании подразумевает компрометацию веб-серверов, информации из БД, персональных данных клиентов, при этом эксплуатируются достаточно известные уязвимости из OWASP TOP 10 (например, XSS).
Мобильные приложения пентестер может закачать из открытых источников и провести детальное исследование, которое включает запуск приложения в «песочнице» (Sandbox), восстановление исходного кода и его анализ на наличие уязвимостей, изучение взаимодействия мобильного приложения с сервером. 
«Атакующая сторона» также исследует «теневую» ИТ-инфраструктуру компании (Shadow IT), например, системы IP-телефонии, видеонаблюдения  и т.д.  ПО этих систем своевременно не обновляется и не защищено, такие системы часто не учтены ИТ-департаментом, в то время как «атакующий» ищет любой самый краткий путь, чтобы проникнуть в корпоративную сеть компании. 
При проведении тестирования на проникновение необходимо учитывать методики и рекомендации:  NIST, ISO27001, PCI DSS, PTES, OWASP Testing Guide, OSSTMM, СТО БР РФ, документы ФСТЭК и т.д.
Специалисты компании «ITCS» проведут тестирование на проникновение корпоративных систем (как внутренней ИТ-инфраструктуры заказчика, так и веб-ресурсов, мобильных приложений и т.д.)  любыми из вышеизложенных методик с предоставлением детального отчета и рекомендаций по безопасности. 

Заполните форму, чтобы заказать один из наших продуктов,
и наши специалисты свяждутся с вами