Тест на проникновение, аудит ИБ, пентест
Команда специалистов в области информационной безопасности предлагает различные виды аудита и пентеста для компаний, которые заботятся о сохранности конфиденциальных данных, а так же о собственной репутации.
Мы проводим как поверхностный, так и полный аудит включающий внедрение инсайдера в штат компании.
Pentest — это метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании
- Слепой аудит — BlackBox
- Аудит внешнего периметра — GreyBox / BlackBox
- Аудит внутренней сети — GreyBox
- Аудит внешнего и внутреннего периметра, конфигураций сети и серверов — WhiteBox
- Аудит конфигурации сети и серверов — Best Practices Audit
- ISO 27001
- Аудит соответствия стандартам PCI-DSS 3.2 (11.3)
- Полный аудит — Red Team (аудит на физическое проникновение) / Blue Team (аудит с внедрением инсайдера)
Тест на проникновение проводится с целью выявления существующих уязвимых мест в элементах ИТ инфраструктуры, практической демонстрации возможности использования уязвимостей (на примере наиболее критических) и формирования рекомендаций по устранению выявленных уязвимостей.
Тест на проникновения может проводиться для периметра корпоративной сети (внешний тест) и для внутренних ресурсов (внутренний тест).
В ходе внутреннего тестирования может использоваться как ноутбук аудитора, так и стандартное рабочее место пользователя Заказчика.
Работы могут проводиться с уведомлением администраторов и пользователей тестируемой системы, либо без него (Red Team Test).
В процессе тестирования используются как инструментальные средства, так и ручные методы анализа.
Порядок проведения работ может быть следующим:
- Получение предварительной информации о сети Заказчика. Используются те же источники информации, которые доступны злоумышленникам (Интернет, новости, конференции).
- Составление карты сети, определение типов устройств, ОС, приложений по реакции на внешнее воздействие.
- Идентификация уязвимостей сетевых служб и приложений.
- Анализ WEB-приложений Заказчика. С помощью автоматизированных утилит и ручными методами детектируются следующие уязвимости: внедрение операторов SQL (SQL Injection), межсайтовое исполнение сценариев (Cross-Site Scripting), подмена содержимого (Content Spoofing), выполнением команд ОС (OS Commanding), уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации и пр.
- Эксплуатации уязвимостей. Методы и инструментарий выбираются индивидуально для каждого типа уязвимости. Используются как общедоступные утилиты, так и инструментарий собственной разработки.
- По согласованию с Заказчиком могут проводиться базовые работы по контролю защищенности беспроводных сетей.
- По согласованию с Заказчиком может производиться проверка устойчивости внешнего периметра и открытых ресурсов на атаки типа отказа в обслуживании. Производится оценка степени устойчивости сетевых элементов и возможного ущерба при проведении наиболее вероятных сценариев подобных атак.
- Проверка устойчивости сети к атакам на канальном уровне. Производится моделированием атак на протоколы канального уровня STP, VTP, CDP, ARP.
- Анализ сетевого трафика. В случае проведения работ в сети Заказчика или при получении такой возможности в ходе эксплуатации уязвимостей проводится анализ сетевого трафика с целью получения важной информации (пароли пользователей, конфиденциальные документы и пр.).
- Проверка устойчивости маршрутизации. Производится моделированием фальсификации маршрутов и проведения атаки типа отказа в обслуживании против используемых протоколов маршрутизации.
- Проверка возможности получения злоумышленником несанкционированного доступа к конфиденциальной информации или информации ограниченного доступа Заказчика. Производится проверкой прав доступа к различным информационным ресурсам Заказчика с привилегиями, полученными на различных этапах тестирования.
- Полученная в ходе анализа уязвимостей и попыток их эксплуатации информация документируется и анализируется для выработки рекомендаций по улучшению защищенности сети.
Результатом работы будет являться отчет, содержащий:
- Методику проведения теста.
- Выводы для руководства, содержащие общую оценку уровня защищенности.
- Описание выявленных недостатков СУИБ.
- Описание хода тестирования с информацией по всем выявленным уязвимостям и результатам их эксплуатации.
- Рекомендации по устранению выявленных уязвимостей.
- При оценке критичности обнаруженных уязвимостей используется методика Common Vulnerability Scoring System (CVSS), что позволяет использовать результаты тестирования на проникновения в качественных и количественных методиках анализа риска.
Логическим продолжением теста на проникновение могут являться работы:
- Проектирование и внедрение систем защиты
- Проектирование и внедрение системы управления уровнем защищенности
- Мониторинг защищенности периметра корпоративной сети