Тестирование на проникновение (Penetration Test)

Услуга тестирование на проникновение является популярной услугой и включает в себя поиск уязвимостей и их последующую эксплуатацию с целью получения доступа к конфиденциальной информации. Как правило при выполнении, аудитор идет по наиболее короткому пути для реализации получения доступа к атакуемой системе, поэтому пентест не позволяет заменить полноценный аудит ИБ. Аудитор, выполняет роль потенциального злоумышленника и выполняет проверку на наличие потенциальных уязвимостей

Потребности проведения тестирования на проникновение

Выявление недостатков информационной безопасности и оценка возможности их использования злоумышленником.

Метод проведения тестирования на проникновение

ЧЕРНЫЙ ЯЩИК
Аудитор не информирован о тестируемом объекте и производит самостоятельный анализ и изучение информационных систем и подсетей заказчика.

СЕРЫЙ ЯЩИК
Аудитору предоставляется частичная информация о тестируемом объекте, учетные данные к выбранным исполнителем информационным системам.

БЕЛЫЙ ЯЩИК
Аудитору предоставляется детальная информация о тестируемом объекте, включая учетные данные к информационным системам.

Диапазон тестирования

ВНЕШНИЙ
Аудитор производит исследование внешнего периметра в роли злоумышленника и используя различные методы и уязвимости проникает в защищенные сегменты компании.

ВНУТРЕННИЙ
Аудитор производит исследование внутренней инфраструктуры в роли злоумышленника и используя различные методы и уязвимости проникает получает доступ к конфиденциальным данным.

Основные этапы тестирования

  • Сбор информации о подсетях.
  • Сбор активных IP узлов.
  • Сканирование портов и определение сервисов.
  • Проверка уязвимостей сервисов и реализация атак.

РЕЗУЛЬТАТЫ ПРОВЕДЕНИЯ ПЕСТЕСТА

По результатам аудита формируется отчет с перечнем обнаруженных уязвимостей включающий оценку состояния защищенности и рекомендации по повышению уровня защищенности. Производится описание хода работ, выявленных уязвимостей, ранжирование их по степени критичности, вероятности их использования, описание возможных последствий их эксплуатации. Описывается методика проведения тестирования. К техническому отчету также формируются выводы для руководства по результатам проведения тестирования.
Вернуться к списку