Узнайте стоимость безопасности вашего предприятия.
Не ждите, когда злоумышленники воспользуются уязвимостями предприятия! Будьте на шаг впереди!
Пентест (penetration test, пенетрейшн тест) – процедура анализа защищенности информационных систем путем поиска в них уязвимостей и их эксплуатации. В процессе пентеста анализируются различные внутренние и внешние информационные системы.
Пентест проводится, когда необходимо:
- выявить «слабые» места инфраструктуры (оценить, что может предпринять хакер для проникновения в Вашу систему);
- оценить эффективность системы безопасности и получить рекомендации по устранению уязвимостей (быстрое повышение реального уровня защиты);
- проверить качество работы исполнителей по направлению ИБ.
Наши преимущества
- 150 ИТ/ИБ-специалистов в штате.
- Выделено отдельное направление по работам с промышленным (20 специалистов) и банковским (7 специалистов) сектором.
- 10 лет практического опыта в информационной безопасности.
- Собственные методики работ.
- Более 30 крупных проектов в год.
- Свыше 20 объектов в одном проекте, распределенных между собой на расстояние до 3000 км.
- Партнерство с российскими и зарубежными вендорами.
- Необходимые лицензии ФСТЭК и ФСБ.
- Гибкая система оплаты, в т.ч. оплата по результатам работ.
|
|
Для каких целей необходимо проводить пентест:
- поиск уязвимостей и определения способов их эксплуатации злоумышленниками;
- проверка способов получения доступа к целевым системам (в т.ч. к автоматизированным системам управления технологическими процессами (АСУ ТП), к автоматизированным банковским системам (АБС), к целевому интернет-ресурсу, к среде разработки, к ресурсам, предоставляемым с помощью разработанного приложения и т.п.);
- анализ эффективности принятых мер по информационной безопасности (ИБ);
- оценка уровня защищенности целевой системы;
- выявление уязвимостей ИБ и способы устранения;
- получение рекомендаций по повышению уровня защищенности целевой системы и снижению рисков возникновения кибер-инцидентов, в т.ч.:
- несанкционированного изменения производственного процесса;
- отказа в обслуживании компонентов автоматизированной банковской системы;
- остановки критичных сервисов интернет-магазина;
- обеспечение безопасного процесса разработки.
- быстрые способы повышения уровня ИБ после инцидента;
- обеспечение защиты чувствительных данных от утечек (рецептуры, ноу-хау, персональные данные (ПДн) клиентов и контрагентов, коммерческая тайна, исходные коды и т.п.);
- обеспечение контроля над ИТ-инфраструктурой;
- проверка качества работы подрядчиков по направлению ИБ.
Ключевое преимущество пентеста
Многие останавливаются на этапе «бумажной безопасности», когда формируются все необходимые документы по информационной безопасности, не подозревая о фактически существующих проблемах в безопасности предприятия и о тех последствиях, которые возникнут при использовании их злоумышленниками.
Проведение пентеста показывает реальное состояние защищенности, которое, к сожалению, в 99% случаев отличается от описанного в документах. Вот почему мы рекомендуем не ограничиваться проведением мероприятий по информационной безопасности, требуемых по законодательству, а обязательно проверить систему в «боевом режиме», заказав проведение пентеста.
Penetration test – варианты проведения
Анализ внутренней инфраструктуры: поиск уязвимостей в сетевых сервисах на серверах и АРМ во внутренней сети.
Анализ внешних ресурсов: поиск уязвимостей веб-сайтов, серверов электронной почты и иных сервисов, доступных из сети Интернет.
Анализ беспроводных сетей.
Анализ внутренней сети на предмет устойчивости к атакам на канальном уровне по протоколам (STP, VTP, CDP, ARP, DTP).
Анализ сетевого трафика на предмет содержания критически важной информации, передаваемой в открытом виде (логины, пароли, конфиденциальные документы).
Стресс-тестирование. Один из видов анализа защищенности, этап работ, использующийся для выявления степени стабильности функционирования инфраструктуры при повышении нагрузки на нее, превышающей расчётную или среднестатистическую нагрузку.
Кроме того, возможно проведение анализа методами социальной инженерии (используется невнимательность сотрудников, излишняя доверчивость и отсутствие базовых знаний в области ИБ): имитация злоумышленных действий, выполняющихся в адрес персонала Заказчика с использованием корпоративной почты (фишинг-ссылки, рассылка зараженного документа и т.д.).
Анализ защищенности проводится с использованием следующих методов
|
|
|
|
|
«Черный ящик» |
«Белый ящик» |
«Серый ящик» |
|
Метод, при котором заказчиком не предоставляется никакой информации о тестируемой системе. Специалист по тестированию на проникновение собирает всю информацию самостоятельно, тем самым полностью имитирует действия злоумышленника. |
При данном методе предусматривается передача исполнителю всех значимых с точки зрения безопасности сведений о системе, которые он запросит. Речь идет о таких вещах как: схема сети, описание внутренней архитектуры системы, применяемых средствах защиты и т.д. |
Данный метод является компромиссом между «Черным ящиком» и «Белым ящиком». При использовании этого метода заказчик передает экспертам по пентесту заранее согласованный набор сведений, процедура теста на проникновения проводится по заранее оговоренному сценарию. |
|
Узнайте стоимость безопасности вашего предприятия.
|
Пентест - типовые этапы проведения
Сбор исходных данных: обследование информационных ресурсов и инфраструктуры, доступность компонентов системы, определение доступных для нарушителя сервисов.
Идентификация и анализ уязвимостей: определение первоначальных возможностей нарушителя, начальных точек атаки на систему - фронтенд, бэкенд, базы данных, ОС и т.д.
Эксплуатация выявленных уязвимостей.
Отчет о проведенных работах + рекомендации по устранению уязвимостей.
Как проходит penetration test?
- Совместно определим задачи с точки зрения злоумышленника (получение административных прав в домене, получение доступа к базе данных, вмешательство в технологический процесс, установка вредоносных программ, остановка работы определенных сервисов и т.д.).
- Согласуем детали работ, в т.ч. границы оказания услуги.
- Проверим возможные способы, которыми злоумышленник может достичь цели.
Безопасность проведения
Пентест – очень деликатная услуга. Поэтому перед началом работ мы предварительно заключаем «Соглашение о конфиденциальности», направляем опросный лист для оценки стоимости услуги. Далее детально обговариваем границы проведения работ, чтобы при проведении пентеста не оказать влияния на ход бизнес-процессов, информационные ресурсы и инфраструктуру. Поэтому пентест возможно проводить даже на работающей системе. Наши специалисты никогда не эксплуатируют найденные уязвимости без согласования с Заказчиком.
При проведении работ на территории заказчика, Ваш представитель обеспечивает постоянное сопровождение нашего специалиста. При постановке задач, связанных с доступом к данным, охраняемым Федеральным законодательством наши специалисты остановятся за шаг до цели. Последнее действие будет производиться Вашим специалистом, уполномоченным на соответствующие действия. Целенаправленная работа с базами, содержащими данные, защищаемые Федеральным законодательством, не производится. В ходе выполнения по анализу защищенности мы осуществляем протоколирование проводимой работы, при необходимости, используем АРМ Заказчика.
Стоимость работ по проведению пентеста
| 1. | Консультация | Бесплатно | Получить предложение |
| 2. | Ознакомиться с отчетом о проведении пентеста | Бесплатно | Получить предложение |
| 3. | Аудит ИБ | от 250 000 руб. | Получить предложение |
| 4. | Внешний пентест | от 140 000 руб. | Получить предложение |
| 5. | Внутренний пентест | от 100 000 руб. | Получить предложение |
| 6. | Стресс-тест | от 140 000 руб. | Получить предложение |
| 7. | Пентест web-приложений | от 90 000 руб. | Получить предложение |
| 8. | Социальная инженерия | от 100 000 руб. | Получить предложение |
| 9. | Анализ кода приложений | от 300 000 руб. | Получить предложение |
| 10. | Пентест мобильных приложений | от 150 000 руб. | Получить предложение |
Кому необходимо проводить тестирования на проникновение объектов информационной инфраструктуры
| № п/п | Регламентирующий документ | Статус | Тип организации и/или информационной системы | Требования к защищенности организации и/или информационной системы | Периодичность проведения работ | Необходимость проведения работ |
|---|---|---|---|---|---|---|
| Требования ЦБ РФ | ||||||
| 1 | Положение Банка России от 17 апреля 2019 г. № 683-П (п. 3.2) | Вступило в силу | Кредитные финансовые организации | Усиленный и стандартный уровни защиты | Не реже 1 раза в год | Обязательно |
| 2 | Положение Банка России от 17 апреля 2019 г. № 684-П (п. 5.4) | С 1 января 2021 г. | Некредитные финансовые организации | Усиленный и стандартный уровни защиты | - | Обязательно |
| 3 | Положение Банка России от 9 июня 2012 г. № 382-П (абзац 3, пп.2.5.5.1, п. 2.5) | Вступило в силу | Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры | Все организации | Не реже 1 раза в год | Обязательно |
| 4 |
Анализ уязвимостей по требованиям к оценочному уровняю доверия (ОУД) не ниже, чем ОУД4. (подробнее) |
Вступило в силу | Кредитные финансовые организации | Все организации | При обновлении ПО | Обязательно |
| Некредитные финансовые организации | Усиленный уровень защиты | |||||
| Стандартный уровень защиты | ||||||
| Требования ФСТЭК к операторам персональных данных | ||||||
| 5 | Приказ ФСТЭК России от 18 февраля 2013 г. № 21 (п.11, раздел II; мера защиты АНЗ.1) | Вступило в силу | Информационные системы персональных данных | УЗ 3, УЗ 2, УЗ 1 | При аттестации | Опционально |
| Требования ФСТЭК к субъектам КИИ | ||||||
| 6 | Приказ ФСТЭК России от 25 декабря 2017 г. № 239 (пп. (д), п.12.6; мера защиты АУД.2) | Вступило в силу | Значимые объекты критической информационной инфраструктуры | Для всех категорий значимости | При внедрении организационных и технических мер по обеспечению безопасности значимого объекта и вводе объекта в действие | Опционально |
| № п/п | Регламентирующий документ | Статус | Тип организации и/или информационной системы | Требования к защищенности организации и/или информационной системы | Периодичность проведения работ | Необходимость проведения работ |
|---|---|---|---|---|---|---|
| Требования ФСТЭК к субъектам КИИ | ||||||
| 1 | Приказ ФСТЭК России от 25 декабря 2017 г. № 239 (пп. (д), п.12.6; мера защиты АУД.2) | Вступило в силу | Значимые объекты критической информационной инфраструктуры | Для всех категорий значимости | При внедрении организационных и технических мер по обеспечению безопасности значимого объекта и вводе объекта в действие | Опционально |
| Требования ФСТЭК к обеспечению защиты информации в АСУ | ||||||
| 2 |
Приказ ФСТЭК России от 14 марта 2014 г. № 31 (п.15.7; мера защиты АУД.2) |
Вступило в силу | Автоматизированные системы управления производственными и технологическими процессами | Для всех классов защищённости | При внедрении системы защиты автоматизированной системы управления и вводе системы защиты в действие | Опционально |
| Требования ФСТЭК к операторам персональных данных | ||||||
| 3 | Приказ ФСТЭК России от 18 февраля 2013 г. № 21 (п.11, раздел II; мера защиты АНЗ.1) | Вступило в силу | Информационные системы персональных данных | УЗ 3, УЗ 2, УЗ 1 | При аттестации | Опционально |
| № п/п | Регламентирующий документ | Статус | Тип организации и/или информационной системы | Требования к защищенности организации и/или информационной системы | Периодичность проведения работ | Необходимость проведения работ |
|---|---|---|---|---|---|---|
| Требования ФСТЭК к операторам ГИС | ||||||
| 1 | Приказ ФСТЭК России от 11 февраля 2013 г. № 17 (п.18.2; п.18.7; мера защиты АНЗ.1) | Вступило в силу | Государственные информационные системы (ГИС) | К1 | Не реже 1 раза в год | Обязательно |
| К2, К3 | Не реже 1 раза в 2 года | Обязательно | ||||
| Требования ФСТЭК к операторам персональных данных | ||||||
| 2 | Приказ ФСТЭК России от 18 февраля 2013 г. № 21 (п.11, раздел II; мера защиты АНЗ.1) | Вступило в силу | Информационные системы персональных данных | УЗ 3, УЗ 2, УЗ 1 | При аттестации | Опционально |
| № п/п | Регламентирующий документ | Статус | Тип организации и/или информационной системы | Требования к защищенности организации и/или информационной системы | Периодичность проведения работ | Необходимость проведения работ |
|---|---|---|---|---|---|---|
| Требования ФСТЭК к операторам персональных данных | ||||||
| 1 | Приказ ФСТЭК России от 18 февраля 2013 г. № 21 (п.11, раздел II; мера защиты АНЗ.1) | Вступило в силу | Информационные системы персональных данных | УЗ 3, УЗ 2, УЗ 1 | При аттестации | Опционально |
