Регулярное экспертное проведение пентеста

Что такое пентест и почему он так важен для ИТ-инфраструктуры организации?

ИТ-инфраструктура компании, где содержатся, обрабатываются и распространяются информационные сведенья, должна быть надёжно защищенной от атак злоумышленников. Естественно, чем многообразнее функциональные процессы компании, тем более технологично-инновационной должна быть ее ИТ-инфраструктура. Для того чтобы конкретно проверить, насколько действенно и эффективно работает система кибербезопасности, был разработан специальный метод, который называют пентестом (тестом на проникновение).

Проведение пентеста — это анализ безопасности ИТ-инфраструктуры, сотрудников или компании в общем методами и тактикой этического хакинга. В процессе этого, эксперты по безопасности моделируют действия компьютерных хакеров, с целью оценивания вполне вероятного несанкционированного доступа, утечки конфиденциальных сведений, прерывания работы сервиса, физического проникновения или других инцидентов информационной безопасности. Проверка как сайта, так и приложения, сети или организации на проникновение предоставляет предельно неопровержимые, определенные и действенные рекомендационные инструкции по увеличению безопасности.

Таким образом, пентест необходим для проверки уровня информационной безопасности инфраструктуры разных компаний, а так же требуется банкам и некредитным финансовым организациям.

Виды пентестов

• Black Box. При использовании Black Box, специалисты, проводящие PenTest, ничего не знают об ИТ-инфраструктуре, они просто имитируют атаку хакеров.
• White Box. Если используется White Box, специалисты, проводящие penetration, получают от заказчика всю необходимую информации об ИТ-инфраструктуре.

Можно долго спорить о преимуществах и недостатках того или иного вида, но эксперты в области кибербезопасности сходятся во мнении, что лучше провести оба вида пентеста. Это предоставит наиболее полный результат и максимально объёмную информацию об уязвимостях системы.

В процессе своей работе, ведущие специалисты компании Roundsec сначала проводят тестирование Black Box, а затем White Box. Для поведения анализа кода на уязвимости эксперты детально изучают ИТ-инфраструктуру проверяемой организации.

Мы рекомендуем:

• проводить pentest и снаружи и внутри ИТ-инфраструктуры компании;
• проводить penetration testing несколько раз в году, сразу после практического использования новых систем, либо после значительных изменений в существующих механизмах.

Этапы исполнения комплексного penetration testing

Предоставляя услуги пентестинга работа специалистов Roundsec company основывается на современных популярных методологиях и состоит из следующих этапов:

• планирование penetration testing. На этой стадии работы определяются и утверждаются с клиентом-заказчиком временные рамки, стоимость запланированных работ, механизмы тестирования, ответственность сторон, вид и количество информационных систем для тестирования, а также форма и содержание отчета.
• целенаправленный сбор необходимой информации;
• очертание периметра сети;
• полное сканирование портов;
• установление типов сетевого оборудования;
• установление видов операционной системы в инфраструктуре сети;
• определение видов смежной периферии в инфраструктуре сети;
• определение типов специализированных устройств или их совокупности;
• сбор баннеров и поиск публичных эксплойтов. Как правило, уже на этой стадии процесса возможно нахождение значительных уязвимостей, например, таких, как забытые ничейные сервисы, которые не требуют авторизации, но которые способствуют доступу к внутренним сетям, доступная конфиденциальная информация, пароли, коды, ключи и другие критические информационные данные;
• изучение собранных информационных данных. При выполнении работ по анализу защищенности используются распространённые сканеры уязвимостей, разрешающие находить потенциально-возможные угрозы в приложениях, операционных системах и сетевой информационной инфраструктуре, а также специализированного программного обеспечения;
• определение «точек входа»;
• очертание векторов нежелательных вторжений;
• попытки использования проблемных позиций;
• подтверждение и обоснование вычисленных векторов;
• подготовка отчетной документации.

Отчет, как показатель проведения работы

После осуществления полного объективного penetration testing экспертами Roundsec company в области компьютерной безопасности разрабатывается отчетная документация о проведении тестирования, которая, как правило, содержит следующую информацию:

• определение и анализ участков, в рамках которых осуществлялся тест на проникновение;
• приемы, техники, тактики и средства, которые применялись в период осуществления комплексного тестирования на проникновение;
• описание диагностированных неисправностей и изъянов, в том числе степени их опасности и вероятности их примиения злоумышленником;
• анализ потенциальных схем проникновения;
• обозначение достигнутых итогов;
• опорный анализ рисков информационной безопасности организации;
• базовый анализ механизмов обеспечения информационной безопасности организации;
• инструкции по нейтрализации диагностированных изъянов и усовершенствования механизмов обеспечения информационной безопасности организации;
• проект этапов работы по предотвращению диагностированных изъянов и усовершенствования механизмов обеспечения информационной безопасности организации, соразмерно приоритезированный с критичностью незащищенностей.

Стоимость и заказ услуг по пентесту

Компания Roundsec предоставляет возможность заказать комплексную услугу, либо сформировать индивидуальный пакетный запрос на пентест отдельных компонентов ИТ-инфраструктуры.

В зависимости от объема услуг цена и сроки выполнения работ могут отличаться.

Для более детальной информации свяжитесь с нами по телефону  +7 (495) 128 38 71 или по электронной почте info@roundsec.io

Поделиться публикацией в социальных сетях: