RU EN
Кто владеет информацией - тот владеет миром.
Майер Амшель Бауэр (Ротшильд)
Банкир, филантроп

Тестирование на проникновение

Тестирование на проникновение - метод оценки безопасности компьютерных систем или сетей, направленный на получение объективной оценки уровня информационной безопасности, а именно обнаружение уязвимостей и слабых мест. Тест на проникновение позволяет понять эффективны ли применяемые средства защиты.

Тестирование на проникновение является частью аудита информационной безопасности

Тестирование на проникновение позволяет:

  • Выявить наиболее уязвимые места в системе информационной безопасности;
  • Понять каким способом, и через какие уязвимости злоумышленник может проникнуть в информационную среду организации;
  • Оценить возможный ущерб;
  • Получить объективную оценку уровня системы информационной безопасности;
  • Устранить выявленные уязвимости в системе информационной безопасности.

 

Тестирование на проникновение необходимо в следующих случаях:

  • Оценки существующей системы информационной безопасности;
  • Оценки защищенности ресурсов информационной системы;
  • Анализа возможного ущерба от действий злоумышленников;
  • Повышения грамотности персонала организации в области ИБ;
  • Оценки эффективности затраченных средств на систему ИБ.

 

 При выполнении тестирования на проникновения мы руководствуемся международными стандартами и методологиями, такими как:

1. National Institute of Standards Technology (NIST). В стандарте рассматривается методика тестирования на проникновение сети: организация процесса, проведение оценки ИБ организации;
2. Open Source Security Testing Methodology (OSSTMM). В методологии описаны следующие области для тестирования: информационная безопасность, безопасность Web – приложений, безопасность каналов связи;
3. OWASP Testing Guide. Методология включает практику по проведению тестирования на проникновение Web – приложений.

 

 Существует три основных метода проведения тестирования на проникновение:

1.Метод черного ящика (black box) - тестирование, в котором тестировщик не знает ничего о тестируемой системе;
2. Метод белого ящика (white box) - тестирование, в котором известна архитектура и состояние системы, есть доступ к исходным кодам, есть учетные записи в системе;
3. Метод серого ящика (grey box) - тестирование,  в котором известны частичные данные о тестируемой системе.

 

Этапы теста на проникновение:

1. Согласование и утверждение с заказчиком метода тестирования и ответственности сторон;
2. Сбор информации;
3. Определение периметра сети;
4. Сканирование портов;
5. Определение типов и видов коммутационного оборудования;
6. Определение типов и видов операционных систем;
7. Определение типов и видов периферийного оборудования;
8. Анализ собранной информации;
9. Определение векторов атаки;
10.Эксплуатация уязвимостей.

 

 Формирование отчета

Отчет, предоставляемый Заказчику по результатам проведения тестирования на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации. Также отчет содержит конкретные рекомендации по устранению данных уязвимостей.

 

Перед проведением теста на проникновение, Исполнитель и Заказчик подписывают соглашение о неразглашении. Данный документ гарантирует конфиденциальность информации полученной в ходе теста на проникновение.

Заказать услугу: Тестирование на проникновение

Заявка успешно отправленна

Мы свяжемся с Вами в ближайшее время

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.