Тест на проникновение

Услуги тестировщика на проникновение

Тестирование на проникновение

Тест на проникновение (PENtesting) – это санкционированная имитированная атака, которая выполняется на ИТ-систему для оценки ее безопасности. Тестеры на проникновение, используют те же инструменты, методы и процессы, что и настоящие злоумышленники, чтобы найти и продемонстрировать влияние недостатков системы на бизнес (информационные ресурсы, ИТ системы и т.д.).

Тесты обычно имитируют различные атаки, которые могут угрожать бизнесу. Они могут проверить, достаточно ли надежна ваша ИТ система, чтобы противостоять хакерским атакам (кибератакам).

Комплекс тестирования ИТ безопасности (PENtest) дает понять, насколько хорошо защищена ваша ИТ инфраструктура от внешних и внутренних угроз (хакеров и т.д.). Проверка (тестирование) может помочь организации (компании):

Найти слабые места в ИТ - системах.
Определите надежность средств контроля.
Поддержка соблюдения правил конфиденциальности и безопасности данных (например, PCI DSS, HIPAA, GDPR).
Предоставить качественные и количественные примеры текущего состояния IT безопасности и бюджетных приоритетов для руководства.

Наши услуги тестирования на проникновение, созданы для выявления максимального количества уязвимостей в определенной области и в течение определенного периода времени.

Заранее проведенное тестирование на проникновение, дает нашим клиентам уверенность в том, что информационные и технологические системы максимально защищены.

В каких сферах ИТ мы используем Тест на проникновение?

Какой доступ предоставляется при PENtes?

В зависимости от целей PENtest, тестировщикам на проникновение, предоставляется разный уровень информации о целевой ИТ системе (клиенте) или доступе к ней.

Нет доступа. Команда тестировщиков, ничего не знает о внутренней структуре целевой ИТ системе. Они действуют так же, как и хакеры, отыскивая любые внешние слабые места.

Частичный доступ. Тестировщики на проникновение, имеют определенные знания об одном или нескольких наборах учетных данных. Они, также знают о внутренних структурах данных, коде и алгоритмах. Тестеры PENtest могут создавать тестовые случаи на основе детальных проектных документов, таких как; схемы ИТ сетей, целевой системы и т.д.

Полный доступ. Тестеры на проникновение, имеют доступ к системам и системным схемам, включая исходный код, системные файлы, контейнеры, а иногда даже к серверам, на которых запущена система. Эта степень доступа, обеспечивает высокий уровень уверенности в достижении результата тестирования за минимальный промежуток времени.

Какие этапы тестирования на проникновение?

Тестеры, имитирующие атаки мотивированных конкурентов или хакеров. Для этого они обычно придерживаются плана, включающего следующие шаги:

Разведка. Сбор как можно больше информации о целях публичных и частных источников, чтобы определить стратегию атаки. Источники включают поиск в Интернете, поиск информации о регистрации домена, социальной инженерии, частичное сканирование сети, серверов и т.д.

Сканирование. Тестеры, используют инструменты для проверки целевого веб-сайта или ИТ системы на наличие слабых мест, в том числе открытых служб, проблем с безопасностью приложений, компьютерной сети и уязвимостей с открытым кодом. Тестеры, используют различные инструменты на основе того, что они находят во время разведки и теста.

Получение доступа. Цель злоумышленника может включать кражу, изменение или удаление данных, перемещение средств или нанесение ущерба репутации компании и т.д. Тестеры, определяют лучшие инструменты и методы для доступа к системе через слабые места, такие как внедрение (инъекции) в SQL базы, или через вредоносное программное обеспечение, социальную инженерию или что-то другое.

Поддержка доступа. После того, как тестеры получат доступ к цели, их симулированная атака должна оставаться активной, чтобы достичь своих целей относительно похищения данных, их модификации или злоупотребления функциональностью.