Тест на проникновение

Penetration test (Оценка защищенности) - моделирование действий злоумышленников по взлому вашей ИТ инфраструктуры и сервисов

Запросить КП
Выполненные проекты:
ALT

Тест на проникновение представляет собой моделирование действий злоумышленника по проникновению в информационную систему Заказчика.

Таким образом, тест на проникновение позволяет обнаружить уязвимости в защите вашей сети и, если это возможно, осуществить показательный взлом.

Для успешной реализации проекта необходимо решить следующие задачи:
  • Провести тестирование;
  • Сформировать перечень сценариев проникновения;
  • Провести эксплуатацию уязвимостей;
  • Разработать перечень практических технических и организационных рекомендаций;
  • Подготовить отчет.
ALT
Виды тестирования на проникновение

Компания Improvement Service проводит оценку защищенности по направлениям:

ALT Тестирование на проникновения периметра информационных систем
ALT Тестирование информационных систем с позиции локального злоумышленника

Объектами тестирования могут быть как инфраструктура в целом, так и отдельные системы и компоненты:

С Improvement Service - вы достигнете большего:
ALT
Опыт проведения пентестов: 60+ проектов, 10+ лет.
ALT
Положительные отзывы клиентов - наш главный аргумент!
ALT
Квалифицированные специалисты с сертификатами международного уровня.
ALT
Мы не продаем средства защиты - наши рекомендации независимы.
ALT
Результат пентеста будет соответствовать вашим потребностям.
ALT
Усовершенствованная методика и инструменты проведения пентеста.
ALT
Повторное тестирование в течении 2 месяцев.
ALT
Мы предложим оптимальный подход к повышению уровня защищенности.
МЕТОДИКА ТЕСТИРОВАНИЯ
При проведении теста на проникновение используется собственная методика, основанная на нашем опыте, которая учитывает подходы ведущих стандартов и мировых институтов, специализирующихся в сфере информационной безопасности:
ALT The Penetration Testing Execution Standard
ALT Open Web Application Security Project (OWASP) Testing Project
ALT OSSTMM - The Open Source Security Testing Methodology Manual
ALT A Penetration Testing Model (BSI)
ALT NIST Special Publication 800-26 “Security Self-Assessment Guide for Information Technology Systems”
ALT ISACA IS auditing procedure «Security assessment–penetration testing and vulnerability analysis»
Результат нашего тестирования соответствует требованиям стандартов:
ALT PCI Data Security Standard (PCI DSS)
ALT ISO/IEC 27001
ALT СОУ Н НБУ 65.1 СУИБ

Если вам необходимо провести тестирование на проникновение, учитывая дополнительные требования, например, Внешних регуляторов или материнской компании - обращайтесь к нам

Получить консультацию
Этапы проекта
Инициализация
  • Подписание Соглашения о конфиденциальности
  • Получения письма о начале тестирования от Заказчика
  • Уточнение условий и ограничений тестирования
  • Формирование рабочей группы
  • Подписание устава проекта
Сбор публичных данных
  • Анализ открытой информации об организации
  • Изучение базовой информации о сетевой инфраструктуре
  • Анализ социальных сетей
  • Анализ вакансий, резюме на hr-сайтах
  • Анализ технических форумов
Пассивное сканирование
  • Сканирование портов
  • Определение приложений
  • Определение операционных сетей
  • Выявление сетевых маршрутизаторов, межсетевых экранов, ips-, ids-систем
  • Поиск уязвимостей
Планирование взлома
  • Анализ полученной информации
  • Разработка сценариев взлома ИС
  • Подготовка инструментария
  • Разработка и модификация эксплойтов (exploit)
  • Составление словарей для подбора имен учетных записей и паролей к ним
Эксплуатация уязвимостей
  • Верификация и исследования уязвимостей
  • Подбор паролей
  • Определение взаимодействия приложений
  • Подтверждение выявленных уязвимостей
  • Сбор доказательств
  • Идентификация новых векторов атак
Подготовка и подписание документов
  • Разработка и согласование рекомендаций
  • Оформление и презентация отчета
  • Подписание актов
Результаты проведенного проекта:
Обнаружения
Информация о текущих уязвимостях Сценарии проникновения Информация о недостатках процессов управления ИБ Доказательства
Выводы
Бизнес-риски Стратегическое положение Ключевые направления развития
Рекомендации
По устранению уязвимостей По повышению эффективности процессов управления ИБ По повышению уровня защищенности
Результатом теста на проникновение является «Отчет о проведенном тесте на проникновение», который состоит из двух частей: резюме и отчет.
Пример отчета
Структура отчета:
Часть 1: Резюме для руководителя
  • 1. Общая информация
    • 1.1 Введение
    • 1.2 Границы проекта
    • 1.3 Подход к выполнению, суть и цели тестирования
  • 2. Управленческий отчет
    • 2.1 Основные обнаружения
    • 2.2 Риски информационной безопасности
    • 2.3 Стратегическое положение уровня информационной безопасности
  • 3. Рекомендации
  • 4. Выводы
Часть 2: Технический отчет
  • 5 Технический отчет
    • 5.1 Уязвимости информационной безопасности
    • 5.2 Сценарии, результаты и доказательства проникновения
  • 6. Рекомендации
Приложение 1 - Данные, собранные при тестировании
    • 1.1 Полученные результаты пассивного сбора информации
    • 1.2 Полученные результаты активного исследования систем
    • 1.3 Скомпрометированные учетные записи
    • 1.4 Изменения в информационных системах
    • 1.5 Результаты исследования покрытия беспроводных сетей
    • 1.6 Результаты идентификации неавторизованных точек доступа
*Структура отчета может быть адаптирована под ваши требования
Проектная команда
Команда Improvement Service состоит из опытных профессионалов, за плечами которых 60+ успешно проведенных пентестов и других консалтинговых проектов по информационной безопасности.
ALT
Илья К.
Руководитель проекта
  • Управление ИБ (ISO 27001)
  • CEH, CISM, CCSP, MCSE, JNCIS
  • Планирование и проведение аудитов.
  • Проведение анализа и разработка рекомендаций.
  • Внедрение инфраструктурных решений.
ALT
Николай Г.
Главный инженер проекта
  • Certified BSI auditor
  • ОС - Windows, Linux, FreeBSD, Novell NetWare, Cisco IOS
  • ПО - Web сервера, СУБД, разнообразные MTA, anti-X решения, LDAP, сетевые сервисы и прочее.
  • Оборудование - Cisco, Zyxel, Watson, Nortel.
ALT
Игорь Б.
Инженер
  • Специализация: веб-приложения
  • CISA, QSA, ITILF, MCP
  • Планирование и проведение аудитов.
  • Проведение анализа и разработка рекомендаций.
  • Внедрение инфраструктурных решений.
  • Проведение обучения и коучинга.
ALT
Николай Р.
Инженер
  • Описание / компетенции: ceh, cism, cisa, ccsp, bsi, cissp, ptes, oscp
ALT
Александр В.
Аналитик
  • Управление ИБ (ISO 27001), управление ИТ (COBIT, ITIL, ISO 20000), проведение аудитов по ИБ, ИТ.
  • Участие в проектах по постановке процессов управления ИБ, ИТ, разработка документации в области управления ИБ, ИТ.
  • Обучение персонала по вопросам управления ИБ, ИТ.
ALT
Hidden Name
Инженер
  • CISA, ITILF, MCP, STS
  • Управление проектами.
  • Планирование и проведение аудитов информационной безопасности.
  • Обследования процессов управления ИТ.
  • Построение программной инфраструктуры.
* При необходимости, в проектную команду могут быть включены дополнительные специалисты Improvement Service, в зависимости от используемых технологий в рамках тестируемой инфраструктуры.
Наши клиенты
ALT ALT ALT ALT ALT
Запросить коммерческое предложение
ALT
Наши ведущие специалисты предоставят полную консультацию по интересующим Вас вопросам:
  • Расскажем про интересующие детали проведения теста на проникновение
  • Обсудим адаптацию "отчета о проведенном тесте на проникновение" под Ваши требования, требования внешних регуляторов и материнских компаний
  • Ответим на вопросы, которые могут возникнуть во время проведения проекта
Заказать обратный звонок