Услуга, направленная на выявление уязвимостей в информационных системах, сетях или приложениях.
Пентест
Тестирование на проникновение и анализ защищённости
Анализ защищенности веб-приложений
Для каждого из веб-приложений специалисты выполняют:
[01]
Автоматизированное сканирование веб-приложения с применением сканеров уязвимостей веб-приложений.
[02]
Ручные проверки веб-приложения на наличие уязвимостей с использованием методик OWASP, OSSTMM.
[03]
Разработка proof-of-concept (примеров эксплуатации) выявленных уязвимостей, оценка их степени критичности, а также рекомендаций по их устранению.
[04]
В случае появления соответствующего доступа в результате эксплуатации уязвимостей проводится анализ полученной информации с целью поиска возможности дальнейшего развития атаки.
Результат
Отчет об анализе защищенности веб-приложений c рекомендациями по устранению выявленных уязвимостей.
Анализ защищенности мобильных приложений
Анализ защищенности мобильных приложений проводится в соответствии с рекомендациями OWASP Mobile Security Project. Выполняется поиск уязвимостей, включённых в TOP TEN MOBILE RISKS.
Недостаточный контроль данных на серверной стороне
[01]
Небезопасное хранение данных
[02]
Недостаточная защита транспортного уровня передачи данных
[03]
Непреднамеренная утечка данных
[04]
Недостаточная аутентификация и авторизация
[05]
Некорректная реализация криптографических алгоритмов
[06]
Инъекции управляющих конструкций на клиентской стороне
[07]
Критические решения на основе недоверенных входных данных
[08]
Некорректная обработка сессий
[09]
Недостаточная защита сборки приложения
[10]
В рамках работ по анализу защищенности мобильных приложений также выполняется анализ серверной части приложения. Тестирование может проводиться в соответствии с различными моделями потенциальных злоумышленников в зависимости от предоставленных исходных данных.
Результат
Отчет об анализе защищенности мобильных приложений c рекомендациями по устранению выявленных уязвимостей.
Социальная
инженерия
- ПроблемаОдной из точек проникновения в информационную инфраструктуру организации является человек. Путем применения методов социальной инженерии злоумышленник может получить доступ к учетной записи одного из пользователей, а иногда и сразу администратора, что позволит пробраться глубже в инфраструктуру, получить доступ над контроллером домена и произвести атаку на критичные ресурсы организации.
- РешениеЧтобы избежать такого негативного сценария необходимо заниматься повышением осведомленности работников по вопросам информационной безопасности.
- ПроцессНаши специалисты проведут комплексное тестирование на проникновение методами социальной инженерии и обучат всех ваших работников базовым мерам по информационной безопасности для минимизации рисков компрометации через данный вектор атак.
В рамках данного тестирования специалисты проведут:
email-фишинг
[01]
вишинг
[02]
Wi-Fi-фишинг
[03]
смишинг
[04]
физический социнжиринг
[05]
Результат
Отчет с оценкой уровня осведомленности работников организации по вопросам информационной безопасности.
Red Team
Отчет с оценкой уровня осведомленности работников организации по вопросам информационной безопасности.
Тестирование
на проникновение
Оценка возможности проникновения и получения несанкционированного доступа к информации и активам компании, административного доступа к инфраструктуре с внешнего или внутреннего контура.
Проведение работ по тестированию на проникновение позволяет выявить уязвимые точки проникновения в информационную инфраструктуру организации, перечень слабозащищенных ресурсов организации, а также недостатки в текущих процессах информационной безопасности.
Проведение работ по тестированию на проникновение позволяет выявить уязвимые точки проникновения в информационную инфраструктуру организации, перечень слабозащищенных ресурсов организации, а также недостатки в текущих процессах информационной безопасности.
Методы тестирования
- Черный ящик — не предоставляются учетные данные и информация о тестируемой среде.
- Серый ящик — предоставляются необходимые для анализа права в тестируемой среде, а также некоторые сведения о ее реализации.
Виды тестирования
- Внешнее тестирование на проникновение — оценка уровня защищенности ИТ-инфраструктуры от возможных атак злоумышленника из сети Интернет.
- Внутреннее тестирование на проникновение — оценка уровня защищенности ИТ-инфраструктуры от возможных атак инсайдера.
Состав работ
- Рекогносцировка и сбор информации о сети
- Сканирование с помощью сканеров безопасности.
- Ручной поиск уязвимостей и ошибок, способных привести к компрометации активов.
- Верификация и анализ выявленных уязвимостей.
- Эксплуатация выявленных уязвимостей.
- Пост-эксплуатация и закрепление в системе.
- Повышение привилегий.
- Оценка рисков и угроз информационной безопасности.
- Составление отчета.
Результат
Отчет о тестировании на проникновение в котором будут отражены методика проведения работ, а также подробное описание выявленных уязвимостей и результатов тестирования.
Заказать консультацию
Нажимая на кнопку, вы даете согласие на обработку персональных данных,
соглашаетесь c политикой конфиденциальности и на получение рассылки.