Пентест
Эксперты Roundsec проведут анализ внутреннего устройства используемого ПО, помогут выявить и устранить проблемы безопасности.
Объектом анализа может стать любая, даже самая специфичная система. Наши эксперты успешно реализуют проекты по исследованию средств защиты информации, IoT-устройств, автомобильной электроники, банкоматов. В исследовании мы применяем такие подходы, как аудит исходного кода, фаззинг и reverse engineering.

Услуги:
Веб ИТ-инфраструктуры постоянно растут и изменяются. Вместе с новыми сервисами в инфраструктуру привносятся и новые угрозы информационной безопасности. Противостоять этим угрозам поможет регулярный аудит.
Подробнее об услугеМобильные корпоративные ИТ-инфраструктуры постоянно растут и изменяются. Вместе с новыми сервисами в инфраструктуру привносятся и новые угрозы информационной безопасности. Противостоять этим угрозам поможет регулярный аудит.
Подробнее об услугеКорпоративные ИТ-инфраструктуры постоянно растут и изменяются. Вместе с новыми сервисами в инфраструктуру привносятся и новые угрозы информационной безопасности. Противостоять этим угрозам поможет регулярный аудит.
Подробнее об услугеДля кого предназначена услуга

страхование










логистика
Бесплатная консультация
Оставьте заявку и получите персональный расчет стоимости услуг для вашей компании
Наши сертификаты
Нам доверяют
Тестирование на проникновение (пентест) – это независимый анализ защищенности информационных систем, который проводится в рамках аудита информационной безопасности.
Цель этого вида тестирования – определить уязвимости и другие недостатки, способные привести к нарушению конфиденциальности, целостности или доступности данных.
Также, оценивается вероятность эксплуатации найденных уязвимостей потенциальным злоумышленником, собираются данные о количестве времени и других ресурсов, требуемых для успешной атаки.
Для проведения анализа существует ряд методологий:
- Information System Security Assessment Framework (ISSAF);
- OWASP (Open Web Application Security Project);
- Penetration Testing Execution Standard (PTES);
- NIST Special Publication 800-115 (NIST SP800-115)
- The Open Source Security Testing Methodology Manual (OSSTMM).
Каждая из них имеет свои принципы работы и кроме наличия общей части, выполняет оценку дополнительных критериев безопасности.
Зачастую используется одна методология, но эксперты могут применять и комплексный подход. Выбор зависит от сферы деятельности компании, особенностей её бизнес-процессов и систем информационной безопасности.
Пентест — это не автоматизированная "экспресс" проверка системы безопасности с использованием программных сканеров, а полноценный анализ защищенности информационных систем.
Важно понимать, какие уязвимости существуют в инфраструктуре, и как этим может воспользоваться злоумышленник. Это могут быть недостатки в аппаратном или сетевом оборудовании, программном обеспечении, или даже уязвимости на организационном уровне.
В зависимости от области исследования, услуга пентест подразделяется на следующие категории:
Анализ защищенности веб-приложений
Корпоративные веб-приложения отнюдь не всегда имеют высокую степень защиты. Более 90% из них характеризуются наличием уязвимостей, которые могут быть использованы хакерами.
Злоумышленники пытаются перенаправить запрос на подконтрольный ресурс, похитить персональные данные или получить доступ для входа в систему с помощью фишинговых атак. И таким образом, спровоцировать сбой в работе системы, что повлечет за собой экономические и репутационные потери.
Анализ защищенности мобильных приложений
В настоящее время пятая часть всего интернет-трафика приходится на мобильный трафик с использованием смартфонов и планшетов. Поэтому стоит помнить о важности анализа уязвимостей мобильных приложений. Особенно, если они связаны с финансовыми операциями или человеческими жизнями.
В большинстве случаев, уязвимости могут быть использованы хакерами даже без физического доступа к устройству и без наличия административных прав. Небезопасное взаимодействие с другими приложениями, незащищённое хранение резервных копий данных или ключевой информации о пользователе — все это может нести угрозу как для владельца телефона, так и для компании, через приложение которой совершается атака.
Пентест проверяет степень защищенности мобильных приложений и выявляет их уязвимости путем тестирования клиентской и серверной части. Дополнительно анализируются их сетевые протоколы общения.
Анализ защищенности Desktop-приложений
Desktop-приложения не связаны с большим количеством пользователей, в отличие от мобильных и веб-приложений. Но вместе с тем, их важность не стоит недооценивать. Зачастую эти программы используются в компаниях для внутренних процессов: учета, проектирования, производства и тому подобное.
Своевременное выявление уязвимостей с последующим их устранением, поможет избежать нарушения рабочих процессов, потери или кражи данных компании.
Пентест имеет огромное значение для компаний, чьи системы подпадают под законодательство о защите информации. Проверка регуляторов в этом направлении является обязательной. Имитация действий хакеров определит слабые места в системе и позволит разработать необходимые меры по их устранению. И это, в свою очередь, защитит важные данные и позволит избежать штрафов. К примеру, штрафы для субъектов КИИ составляют от 20 тыс. до 500 тыс. рублей.
Зная недостатки в системе обеспечения информационной безопасности, можно проранжировать их по степени важности и сформировать план действий для последующего устранения угроз.
Специалисты компании Roundsec являются сертифицированными экспертами в области информационной безопасности. Оставьте заявку на бесплатную консультацию, и вы получите персональный план анализа безопасности информационных систем для вашего бизнеса.