Консалтинг в области ИБ

Тестирование на проникновение и анализ уязвимостей

Тестирование на проникновение и анализ уязвимостей
Проведение пентеста помогает организациям выявить уязвимости и получить объективную оценку защищенности компании.

Проверьте, насколько эффективна защищена инфраструктура вашей компании, и получите рекомендации от специалистов XON Security.
Отправить заявку
Тестирование на проникновение и анализ уязвимостей

Для чего нужен пентест?

Учет всех рисков и активов
Одной из важнейших угроз для информационной безопасности являются неучтенные IT-активы. Службы безопасности зачастую игнорируют публичные облачные хранилища и сервисы, используемые для организации внутренних процессов. Такие активы создают лазейку для злоумышленников, позволяя им проникнуть в сеть организации и получить доступ к конфиденциальной информации. В ходе пентеста специалисты смогут выявить эти неучтенные активы, что значительно повысит уровень защищенности организации.
Поиск уязвимостей
Проведение пентеста позволит вам обнаружить и устранить уязвимости и недостатки как во внешнем, так и во внутреннем периметре вашей корпоративной сети. Наши специалисты предоставят вам подробные рекомендации, следуя которым вы сможете усилить защиту своего бизнеса от потенциальных кибератак.
Выполнение требований регуляторов

В РФ проведение пентеста требуется согласно положениям Банка России 683-П, 719-П и 757-П. Причем последнее затрагивает не только банки, но и некредитные финансовые организации. 
Объекты критической информационной инфраструктуры (КИИ) также обязаны проводить тестирование на проникновение, согласно Приказу ФСТЭК № 239.

Получите индивидуальное предложение
Оставить заявку
Этапы работ
Внешний пентест

Моделирование действий злоумышленников, направленное на поиск путей проникновения внешнего нарушителя во внутреннюю сеть с использованием уязвимостей и ошибок конфигурации устройств, доступных из сети Интернет, сетевых служб и приложений.

Этапы пентеста включают:

  1. Сбор информации (OSINT (Open-Source Intelligence) исследование) - сбор данных о целевой системе, включая её архитектуру, используемые технологии и доступные ресурсы.

  2. Проведение сканирования на наличие уязвимостей - исследование собранных данных на предмет возможных уязвимостей, таких как слабые пароли, устаревшее программное обеспечение, открытые порты и другие.

  3. Эксплуатация уязвимостей с целью проникновения в корпоративную сеть компании и повышения привилегий.

  4. Закрепление в инфраструктуре. Конечным этапом и успешно проведенным пентестом обычно считается получения контроля над AD, но это зависит от целей, поставленных перед специалистами.

  5. Документирование результатов: составление отчёта о проведённых тестах, выявленных уязвимостях и рекомендациях по их устранению.

Внутренний пентест

Этот вид тестирования предполагает, что потенциальный нарушитель уже имеет доступ к локальной сети компании на канальном уровне или к одному из компьютеров в этой сети с правами обычного пользователя.

Внутренний пентест включает в себя следующие этапы:

  1. Выявление уязвимостей: Специалисты проводят анализ инфраструктуры заказчика, выявляя организационные, эксплуатационные и технологические уязвимости.
  2. Разработка сценариев атак: на основе выявленных уязвимостей разрабатываются сценарии возможных атак, которые могут быть использованы потенциальными злоумышленниками.
  3. Реализация атак: Разработанные сценарии атак реализуются с целью получения доступа к информационным активам заказчика.
  4. Оценка процессов обеспечения ИБ: проводится базовая оценка существующих процессов обеспечения информационной безопасности.
  5. Разработка рекомендаций: по итогам внутреннего пентеста заказчику предоставляется отчет, содержащий описание выявленных уязвимостей и недостатков, оценку рисков, рекомендации по их устранению и план работ по повышению уровня информационной безопасности.
Пентест сайта/web-приложений
Предназначен для оценки уровня защищенности веб-ресурсов от потенциальных кибератак. Эта услуга включает в себя имитацию реальных атак на веб-сайт или приложение с целью выявления уязвимостей в системе безопасности.

Процесс тестирования включает несколько ключевых этапов. Эти этапы позволяют оценить реальный уровень защищенности веб-ресурсов от потенциальных кибератак и разработать меры по улучшению их безопасности:

  1. Планирование и разведка: определение целей и задач тестирования. Сбор информации о целевой системе, включая сетевые адреса, домены, почтовые серверы и т.д.
  2. Сканирование: Статический анализ кода (SAST) для выявления уязвимостей в исходном коде. Динамический анализ кода (DAST) для проверки кода в рабочем состоянии.
  3. Получение доступа: Использование атак веб-приложений, таких как межсайтовый скриптинг (XSS), SQL-инъекции и др. Попытка эксплуатации найденных уязвимостей для получения доступа к системе.
  4. Сохранение доступа: Исследование возможности использования уязвимости для длительного пребывания в системе. Имитация APT-угроз для понимания, насколько долго злоумышленник может оставаться незамеченным.
  5. Анализ результатов: Составление отчета о найденных уязвимостях, конфиденциальных данных, к которым был получен доступ, и времени, в течение которого пентестер оставался в системе.
Польза для Вашего бизнеса
Гарантированная защита от репутационных потерь из-за компрометации, хищения или утери персональных данных
Соответствие требованиям положений Банка России 683-П, 719-П и 757-П и приказа ФСТЭК №239
Консультации квалифицированных экспертов в области информационной безопасности
Повышение эффективности работы компании, ввиду отсутствия простоев и обеспечения непрерывности бизнес-процессов.
Обеспечьте надежную защиту вашего бизнеса
Оставить заявку

Полезные ссылки