PENtest

Послуги тестувальника на проникнення

Тестування на проникнення

Тест на проникнення (PENtesting) — це санкціонована імітована атака, яка виконується на ІТ систему для оцінки її безпеки. Тестери на проникнення, використовують ті самі інструменти, методи та процеси, що й справжні зловмисники, щоб знайти та продемонструвати вплив недоліків системи на бізнес (інформаційні ресурси, ІТ системи, тощо).

Тести, зазвичай імітують різноманітні атаки, які можуть загрожувати бізнесу. Вони можуть перевірити, чи достатньо надійна ваша ІТ система, щоб протистояти хакерскім атакам (кібератакам).

Комплекс тестування ІТ безпеки (PENtest), дає зрозуміти, наскільки добре захищена ваша ІТ інфраструктура від зовнішніх та внутрішніх загроз (хакерів, тощо). Перевірка (тестування) може допомогти організації (компанії):

  • Знайти слабкі місця в ІТ системах.
  • Визначте надійність засобів контролю.
  • Підтримка дотримання правил конфіденційності та безпеки даних (наприклад, PCI DSS, HIPAA, GDPR).
  • Наддати якісні та кількісні приклади поточного стану безпеки та бюджетних пріоритетів для керівництва.

Наші послуги тестування на проникнення створені для виявлення якомога більшої кількості вразливостей у певній області та протягом певного періоду часу.

Заздалегідь проведене тестування на проникнення, дає нашім клієнтам впевненість у тому, що інформаційні та технологічні системи максимально захищені.

В яких сферах ІТ, ми використовуємо Тест на проникнення?

  • Веб-додатки.
  • Мобільні програми.
  • ІТ Інфраструктура (зовнішня та внутрішня).
  • Мережеве та серверне обладнання.
  • Хмарні сервіси.
  • Вбудовані пристрої (системи розумний дім, відео нагляд, тощо).
  • Промислові системи управління (ICS/SCADA).

Якій доступу надається при PENtes?

Залежно від цілей PENtest, тестувальникам на проникнення, надається різний рівень інформації про цільову ІТ систему (клієнт) або доступ до неї.

Відсутній доступ. Команда нічого не знає про внутрішню структуру цільової системи. Він діє так само, як і хакери, шукаючи будь-які зовнішні слабкі місця.

Частковий доступ. Команда має певні знання про один або кілька наборів облікових даних. Вони, також знають про внутрішні структури даних, код і алгоритми. Тестери PENtest, можуть створювати тестові випадки на основі детальних проектних документів, таких як; схеми ІТ мереж, цільової системи, тощо.

Повний доступ. Тестери на проникнення, мають доступ до систем і системних схем, включаючи вихідний код, системні файли, контейнери, а іноді навіть сервери, на яких запущена система. Цей підхід забезпечує найвищий рівень впевненості за найменший проміжок часу.

Які етапи тестування на проникнення?

Тестери, імітують атаки мотивованих конкурентів або хакерів. Для цього вони зазвичай дотримуються плану, який включає такі кроки:

Розвідка. Забір якомога більше інформації про ціль із публічних і приватних джерел, щоб визначити стратегію атаки. Джерела включають пошук в Інтернеті, пошук інформації про реєстрацію домену, соціальну інженерію, часткове сканування мережі, тощо.

Сканування. Тестери, використовують інструменти для перевірки цільового веб-сайту чи ІТ системи на наявність слабких місць, зокрема відкритих служб, проблем із безпекою додатків, комп’ютерної мережі і вразливостей із відкритим кодом. Тестери, використовують різні інструменти на основі того, що вони знаходять під час розвідки та під час тесту.

Отримання доступу. Мета зловмисника може включати крадіжку, зміну або видалення даних, переміщення коштів, або завдання шкоди репутації компанії, тощо. Тестери, визначають найкращі інструменти та методи для отримання доступу до системи через слабкі місця, такі як впровадження до SQL баз, або через шкідливе програмне забезпечення, соціальну інженерію чи щось інше.

Підтримання доступу. Після того, як тестери отримають доступ до цілі, їх симульована атака має залишатися активною, щоб досягти своїх цілей, щодо викрадання даних, їх модифікації або зловживання функціональністю.