Виды аудита ИБ:

Тест на проникновение, аудит ИБ, пентест

Команда специалистов в области информационной безопасности предлагает различные виды аудита и пентеста для компаний, которые заботятся о сохранности конфиденциальных данных, а так же о собственной репутации.

Более чем для 60% компаний, проанализированных в рамках исследований Securixy, внешний атакующий способен проникнуть во внутреннюю сеть и получить привилегии в критически важных для бизнеса системах, при этом в половине случаев он способен развить атаку вплоть до получения полного контроля над IТ-инфраструктурой.

Мы проводим как поверхностный, так и полный аудит включающий внедрение инсайдера в штат компании.

Pentest – это метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании

  • Слепой аудит – BlackBox
  • Аудит внешнего периметра – GreyBox / BlackBox
  • Аудит внутренней сети – GreyBox
  • Аудит внешнего и внутреннего периметра, конфигураций сети и серверов – WhiteBox
  • Аудит конфигурации сети и серверов – Best Practices Audit
  • ISO 27001
  • Аудит соответствия стандартам PCI-DSS 3.2 (11.3)
  • Полный аудит – Red Team (аудит на физическое проникновение) / Blue Team (аудит с внедрением инсайдера)

Тест на проникновение проводится с целью выявления существующих уязвимых мест в элементах ИТ инфраструктуры, практической демонстрации возможности использования уязвимостей (на примере наиболее критических) и формирования рекомендаций по устранению выявленных уязвимостей.
Тест на проникновения может проводиться для периметра корпоративной сети (внешний тест) и для внутренних ресурсов (внутренний тест).

В ходе внутреннего тестирования может использоваться как ноутбук аудитора, так и стандартное рабочее место пользователя Заказчика.

Работы могут проводиться с уведомлением администраторов и пользователей тестируемой системы, либо без него (Red Team Test).

В процессе тестирования используются как инструментальные средства, так и ручные методы анализа.

Порядок проведения работ может быть следующим:

  • Получение предварительной информации о сети Заказчика. Используются те же источники информации, которые доступны злоумышленникам (Интернет, новости, конференции).
  • Составление карты сети, определение типов устройств, ОС, приложений по реакции на внешнее воздействие.
  • Идентификация уязвимостей сетевых служб и приложений.
  • Анализ WEB-приложений Заказчика. С помощью автоматизированных утилит и ручными методами детектируются следующие уязвимости: внедрение операторов SQL (SQL Injection), межсайтовое исполнение сценариев (Cross-Site Scripting), подмена содержимого (Content Spoofing), выполнением команд ОС (OS Commanding), уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации и пр.
  • Эксплуатации уязвимостей. Методы и инструментарий выбираются индивидуально для каждого типа уязвимости. Используются как общедоступные утилиты, так и инструментарий собственной разработки.
  • По согласованию с Заказчиком могут проводиться базовые работы по контролю защищенности беспроводных сетей.
  • По согласованию с Заказчиком может производиться проверка устойчивости внешнего периметра и открытых ресурсов на атаки типа отказа в обслуживании. Производится оценка степени устойчивости сетевых элементов и возможного ущерба при проведении наиболее вероятных сценариев подобных атак.
  • Проверка устойчивости сети к атакам на канальном уровне. Производится моделированием атак на протоколы канального уровня STP, VTP, CDP, ARP.
  • Анализ сетевого трафика. В случае проведения работ в сети Заказчика или при получении такой возможности в ходе эксплуатации уязвимостей проводится анализ сетевого трафика с целью получения важной информации (пароли пользователей, конфиденциальные документы и пр.).
  • Проверка устойчивости маршрутизации. Производится моделированием фальсификации маршрутов и проведения атаки типа отказа в обслуживании против используемых протоколов маршрутизации.
  • Проверка возможности получения злоумышленником несанкционированного доступа к конфиденциальной информации или информации ограниченного доступа Заказчика. Производится проверкой прав доступа к различным информационным ресурсам Заказчика с привилегиями, полученными на различных этапах тестирования.
  • Полученная в ходе анализа уязвимостей и попыток их эксплуатации информация документируется и анализируется для выработки рекомендаций по улучшению защищенности сети.

Результатом работы будет являться отчет, содержащий:

  • Методику проведения теста.
  • Выводы для руководства, содержащие общую оценку уровня защищенности.
  • Описание выявленных недостатков СУИБ.
  • Описание хода тестирования с информацией по всем выявленным уязвимостям и результатам их эксплуатации.
  • Рекомендации по устранению выявленных уязвимостей.
  • При оценке критичности обнаруженных уязвимостей используется методика Common Vulnerability Scoring System (CVSS), что позволяет использовать результаты тестирования на проникновения в качественных и количественных методиках анализа риска.

Логическим продолжением теста на проникновение могут являться работы:

  • Проектирование и внедрение систем защиты
  • Проектирование и внедрение системы управления уровнем защищенности
  • Мониторинг защищенности периметра корпоративной сети