fbpx

PENTEST – анализ реальной защищенности информационной системы

 

Пентест (Pentest) наиболее эффективный инструмент анализа защищенности информационных систем и сетевых ресурсов компании.

Тенденция развития современного общества такова, что мировая экономика неминуемо переходит в цифровую плоскость. И пока компании перестраивают и автоматизируют бизнес-процессы, а информационные ресурсы начинают активно интегрироваться с сетью Интернет, злоумышленники также перемещают свой фокус на киберпространство. Теперь для кражи “кошелька”, ограбления банка или начала войны, хакерам нет необходимости выходить из дома. При этом одна масштабная вредоносная кампания способна нанести ущерб, сопоставимый с доходами небольшого государства.

Сегодня государственные организации и частный бизнес уделяют большое внимание реальной защите данных и минимизации возможного ущерба от инцидентов информационной безопасности.

Не ждите, когда злоумышленники воспользуются уязвимостями предприятия! Будьте на шаг впереди!

Самый эффективный способ провести анализ защищенности сетевых ресурсов компании – провести тестирование на проникновение или пентест.

Пентест (Pentest или Penetration test – тест на проникновение) – процедура анализа защищенности информационных систем путем поиска в них уязвимостей и их эксплуатации. В процессе пентеста анализируются различные внутренние и внешние информационные системы.

Пентест проводится, когда необходимо:

выявить «слабые» места инфраструктуры (оценить, что может предпринять хакер для проникновения в Вашу систему);

оценить эффективность системы безопасности и получить рекомендации по устранению уязвимостей (быстрое повышение реального уровня защиты);

проверить качество работы исполнителей по направлению ИБ.

Компания Инжиниринговый центр РЕГИОНАЛЬНЫЕ СИСТЕМЫ имеет большой ПРАКТИЧЕСКИЙ опыт проведения тестов на проникновение. Наши наработанные методики уже доказали свою эффективность.
ЗАКАЗАТЬ ПЕНТЕСТ

Пентест (Pentest) – варианты проведения

анализ внутренней инфраструктуры (поиск уязвимостей в сетевых сервисах на серверах и АРМ во внутренней сети);

анализ внешних ресурсов (поиск уязвимостей веб-сайтов, серверов электронной почты и иных сервисов, доступных из сети Интернет);

анализ беспроводных сетей;

анализ внутренней сети на предмет устойчивости к атакам на канальном уровне по протоколам (STP, VTP, CDP, ARP, DTP);

анализ сетевого трафика на предмет содержания критически важной информации, передаваемой в открытом виде (логины, пароли, конфиденциальные документы).

Кроме того, возможно проведение анализа методами социальной инженерии (используется невнимательность сотрудников, излишняя доверчивость и отсутствие базовых знаний в области ИБ): имитация злоумышленных действий, выполняющихся в адрес персонала Заказчика с использованием корпоративной почты (фишинг-ссылки, рассылка зараженного документа и т.д.).

Ключевое преимущество пентеста

Многие останавливаются на этапе «бумажной безопасности», когда формируются все необходимые документы по информационной безопасности, не подозревая о фактически существующих проблемах в безопасности предприятия и о тех последствиях, которые возникнут при использовании их злоумышленниками.

Проведение пентеста показывает реальное состояние защищенности, которое, к сожалению, в 99% случаев отличается от описанного в документах. Вот почему мы рекомендуем не ограничиваться проведением мероприятий по информационной безопасности, требуемых по законодательству, а обязательно проверить систему в «боевом режиме», заказав проведение пентеста.

Кому необходимо проводить тестирования на проникновение объектов информационной инфраструктуры

№ п/п Регламентирующий документ Статус Тип организации и/или информационной системы Требования к защищенности организации и/или информационной системы Периодичность проведения работ Необходимость проведения работ
I. Финансовые организации
1 Положение Банка России от 17 апреля 2019 г. N 683-П (п. 3.2) Вступило в силу Кредитные финансовые организации Усиленный уровень защиты Не реже 1 раза в год Обязательно
Стандартный уровень защиты
2 Положение Банка России от 17 апреля 2019 г. № 684-П (п. 5.4) С 1 января 2021 г. Некредитные финансовые организации Усиленный уровень защиты Не реже 1 раза в год Обязательно
Стандартный уровень защиты Не реже 1 раза в 3 года Обязательно
3 Положение Банка России от 9 июня 2012 г. № 382-П (абзац 3, пп.2.5.5.1, п. 2.5) С 1 января 2020 г. Операторы по переводу денежных средств Все организации Не реже 1 раза в год Обязательно
Операторы услуг платежной инфраструктуры
II. Информационные системы
4 Приказ ФСТЭК России от 11 февраля 2013 г. № 17 (п.18.2; п.18.7; мера защиты АНЗ.1) Вступило в силу Государственные информационные системы (ГИС) К1 Не реже 1 раза в год Обязательно
К2, К3 Не реже 1 раза в 2 года Обязательно
5 Приказ ФСТЭК России от 18 февраля 2013 г. № 21 (п.11, раздел II; мера защиты АНЗ.1) Вступило в силу Информационные системы персональных данных УЗ 3, УЗ 2, УЗ 1 При аттестации Опционально
6 Приказ ФСТЭК России от 25 декабря 2017 г. № 239 (пп. (д), п.12.6; мера защиты АУД.2) Вступило в силу Значимые объекты критической информационной инфраструктуры Для всех категорий значимости При внедрении организационных и технических мер по обеспечению безопасности значимого объекта и вводе объекта в действие Опционально
7 Приказ ФСТЭК России от 14 марта 2014 г. № 31 (п.15.7; мера защиты АУД.2) Вступило в силу Автоматизированные системы управления производственными и технологическими процессами Для всех классов защищённости При внедрении системы защиты автоматизированной системы управления и вводе системы защиты в действие Опционально

Как мы работаем?

1. Совместно определим задачи с точки зрения злоумышленника (получение административных прав в домене, получение доступа к базе данных, вмешательство в технологический процесс, установка вредоносных программ, остановка работы определенных сервисов и т.д.).

2. Согласуем детали работ, в т.ч. границы оказания услуги.

3. Проверим возможные способы, которыми злоумышленник может достичь цели.

 

Анализ защищенности проводится с использованием следующих методов:

«Черный ящик» У злоумышленника нет санкционированного доступа, нет данных о конфигурации сети и средствах защиты информации. Имитируются действия хакера.

«Серый ящик». Имеется санкционированный доступ в систему и ограниченные знания об организации, ее корпоративной сети и средствах защиты информации. Имитируются действия «инсайдера», т.е., локального пользователя, имеющего ограниченные привилегии в отдельно взятых системах.

Безопасность проведения

Пентест – очень деликатная услуга. Поэтому перед началом работ мы предварительно заключаем «Соглашение о конфиденциальности», направляем опросный лист для оценки стоимости услуги. Далее детально обговариваем границы проведения работ, чтобы при проведении пентеста не оказать влияния на ход бизнес-процессов, информационные ресурсы и инфраструктуру. Поэтому пентест возможно проводить даже на работающей системе. Наши специалисты никогда не эксплуатируют найденные уязвимости без согласования с Заказчиком.

При проведении работ на территории заказчика, Ваш представитель обеспечивает постоянное сопровождение нашего специалиста. При постановке задач, связанных с доступом к данным, охраняемым Федеральным законодательством наши специалисты остановятся за шаг до цели. Последнее действие будет производиться Вашим специалистом, уполномоченным на соответствующие действия. Целенаправленная работа с базами, содержащими данные, защищаемые Федеральным законодательством, не производится. В ходе выполнения по анализу защищенности мы осуществляем протоколирование проводимой работы, при необходимости, используем АРМ Заказчика.

Закажите пентест и получите экспертное заключение, содержащее перечень обнаруженных уязвимостей, подробный план действий по их устранению и защите ресурсов компании от проникновений злоумышленников.
ЗАКАЗАТЬ ПЕНТЕСТ
   
Знаете для чего вам нужно проведение Пентеста! У Вас есть исходные данные! Вам нужна стоимость проведения Пентеста? Заполните опросный лист и мы предоставим Вам ТКП максимально удовлетворяющее ваши задачи.

Если в Вашей системе есть уязвимости – значит, ими обязательно воспользуются злоумышленники!

Пентест поможет Вам увидеть эти уязвимости первым и устранить их!