Пентест
Эксперты Roundsec проведут анализ внутреннего устройства используемого ПО, помогут выявить и устранить проблемы безопасности.
Объектом анализа может стать любая, даже самая специфичная система. Наши эксперты успешно реализуют проекты по исследованию средств защиты информации, IoT-устройств, автомобильной электроники, банкоматов. В исследовании мы применяем такие подходы, как аудит исходного кода, фаззинг и reverse engineering.
Услуги:
Веб ИТ-инфраструктуры постоянно растут и изменяются. Вместе с новыми сервисами в инфраструктуру привносятся и новые угрозы информационной безопасности. Противостоять этим угрозам поможет регулярный аудит.
Подробнее об услугеМобильные корпоративные ИТ-инфраструктуры постоянно растут и изменяются. Вместе с новыми сервисами в инфраструктуру привносятся и новые угрозы информационной безопасности. Противостоять этим угрозам поможет регулярный аудит.
Подробнее об услугеКорпоративные ИТ-инфраструктуры постоянно растут и изменяются. Вместе с новыми сервисами в инфраструктуру привносятся и новые угрозы информационной безопасности. Противостоять этим угрозам поможет регулярный аудит.
Подробнее об услугеДля кого предназначена услуга
страхование
логистика
Бесплатная консультация
Оставьте заявку и получите персональный расчет стоимости услуг для вашей компании
Наши сертификаты
CISSP
Certified Information Systems Security Professional
CEH
Certified Ethical Hacker
CISM
Certified Information Security Manager
CCSK
Certificate of Cloud Security Knowledge
CСSP
Certified Cloud Security Professional
Нам доверяют
Тестирование на проникновение (пентест) – это независимый анализ защищенности информационных систем, который проводится в рамках аудита информационной безопасности.
Цель этого вида тестирования – определить уязвимости и другие недостатки, способные привести к нарушению конфиденциальности, целостности или доступности данных.
Также, оценивается вероятность эксплуатации найденных уязвимостей потенциальным злоумышленником, собираются данные о количестве времени и других ресурсов, требуемых для успешной атаки.
Для проведения анализа существует ряд методологий:
- Information System Security Assessment Framework (ISSAF);
- OWASP (Open Web Application Security Project);
- Penetration Testing Execution Standard (PTES);
- NIST Special Publication 800-115 (NIST SP800-115)
- The Open Source Security Testing Methodology Manual (OSSTMM).
Каждая из них имеет свои принципы работы и кроме наличия общей части, выполняет оценку дополнительных критериев безопасности.
Зачастую используется одна методология, но эксперты могут применять и комплексный подход. Выбор зависит от сферы деятельности компании, особенностей её бизнес-процессов и систем информационной безопасности.
Пентест — это не автоматизированная "экспресс" проверка системы безопасности с использованием программных сканеров, а полноценный анализ защищенности информационных систем.
Важно понимать, какие уязвимости существуют в инфраструктуре, и как этим может воспользоваться злоумышленник. Это могут быть недостатки в аппаратном или сетевом оборудовании, программном обеспечении, или даже уязвимости на организационном уровне.
В зависимости от области исследования, услуга пентест подразделяется на следующие категории:
Анализ защищенности веб-приложений
Корпоративные веб-приложения отнюдь не всегда имеют высокую степень защиты. Более 90% из них характеризуются наличием уязвимостей, которые могут быть использованы хакерами.
Злоумышленники пытаются перенаправить запрос на подконтрольный ресурс, похитить персональные данные или получить доступ для входа в систему с помощью фишинговых атак. И таким образом, спровоцировать сбой в работе системы, что повлечет за собой экономические и репутационные потери.
Анализ защищенности мобильных приложений
В настоящее время пятая часть всего интернет-трафика приходится на мобильный трафик с использованием смартфонов и планшетов. Поэтому стоит помнить о важности анализа уязвимостей мобильных приложений. Особенно, если они связаны с финансовыми операциями или человеческими жизнями.
В большинстве случаев, уязвимости могут быть использованы хакерами даже без физического доступа к устройству и без наличия административных прав. Небезопасное взаимодействие с другими приложениями, незащищённое хранение резервных копий данных или ключевой информации о пользователе — все это может нести угрозу как для владельца телефона, так и для компании, через приложение которой совершается атака.
Пентест проверяет степень защищенности мобильных приложений и выявляет их уязвимости путем тестирования клиентской и серверной части. Дополнительно анализируются их сетевые протоколы общения.
Анализ защищенности Desktop-приложений
Desktop-приложения не связаны с большим количеством пользователей, в отличие от мобильных и веб-приложений. Но вместе с тем, их важность не стоит недооценивать. Зачастую эти программы используются в компаниях для внутренних процессов: учета, проектирования, производства и тому подобное.
Своевременное выявление уязвимостей с последующим их устранением, поможет избежать нарушения рабочих процессов, потери или кражи данных компании.
Пентест имеет огромное значение для компаний, чьи системы подпадают под законодательство о защите информации. Проверка регуляторов в этом направлении является обязательной. Имитация действий хакеров определит слабые места в системе и позволит разработать необходимые меры по их устранению. И это, в свою очередь, защитит важные данные и позволит избежать штрафов. К примеру, штрафы для субъектов КИИ составляют от 20 тыс. до 500 тыс. рублей.
Зная недостатки в системе обеспечения информационной безопасности, можно проранжировать их по степени важности и сформировать план действий для последующего устранения угроз.
Специалисты компании Roundsec являются сертифицированными экспертами в области информационной безопасности. Оставьте заявку на бесплатную консультацию, и вы получите персональный план анализа безопасности информационных систем для вашего бизнеса.