Тест на проникнення

Penetration test (Оцінка захищеності) - моделювання дій зловмисників зі злому вашої ІТ інфраструктури та сервісів

Запросити КП
Виконані проекти:
ALT

Тест на проникнення - цє моделювання дій зловмисника щодо проникнення в інформаційну систему Замовника.

Таким чином, тест на проникнення дозволяє виявити вразливості у захисті вашої мережі та, якщо це можливо, здійснити показовий злам.

Для успішної реалізації проекту необхідно вирішити такі завдання:
  • Провести тестування;
  • Сформувати перелік сценаріїв проникнення;
  • Провести експлуатацію вразливостей;
  • Разработать перечень практических технических и организационных рекомендаций;
  • Підготувати звіт.
ALT
Види тестування на проникнення

Компанія Improvement Service проводить оцінку захищеності за напрямками:

ALT Тестування на проникнення периметру інформаційних систем
ALT Тестування інформаційних систем із позиції локального зловмисника

Об'єктами тестування можуть бути як інфраструктура загалом, так і окремі системи та компоненти:

З Improvement Service - ви досягнете більшого:
ALT
Досвід проведення пентестів: 80+ проектів, 10+ років.
ALT
Позитивні відгуки клієнтів – наш головний аргумент!
ALT
Кваліфіковані спеціалісти із сертифікатами міжнародного рівня.
ALT
Ми не продаємо засоби захисту – наші рекомендації незалежні.
ALT
Результат пентесту буде відповідати вашим потребам.
ALT
Удосконалена методика та інструменти проведення пентесту.
ALT
Повторне тестування протягом 2 місяців.
ALT
Ми запропонуємо оптимальний підхід до підвищення рівня безпеки.
МЕТОДИКА ТЕСТУВАННЯ
При проведенні тесту на проникнення використовується власна методика, яка ґрунтується на нашому досвіді, яка враховує підходи провідних стандартів та світових інститутів, що спеціалізуються у сфері інформаційної безпеки:
ALT The Penetration Testing Execution Standard
ALT Open Web Application Security Project (OWASP) Testing Project
ALT OSSTMM - The Open Source Security Testing Methodology Manual
ALT A Penetration Testing Model (BSI)
ALT NIST Special Publication 800-26 “Security Self-Assessment Guide for Information Technology Systems”
ALT ISACA IS auditing procedure «Security assessment–penetration testing and vulnerability analysis»
Результат нашого тестування відповідає вимогам:
ALT PCI Data Security Standard (PCI DSS)
ALT ISO/IEC 27001
ALT Постановам НБУ

Якщо вам необхідно провести тестування на проникнення з огляду на додаткові вимоги, наприклад, зовнішніх регуляторів або материнської компанії - звертайтесь до нас

Отримати консультацію
Етапи проєкту
Ініціалізація
  • Підписання Угоди про конфіденційність
  • Отримання листа про початок тестування від Замовника
  • Уточнення умов та обмежень тестування
  • Формування робочої групи
  • Підписання статуту проєкту
Збір публічних даних
  • Аналіз відкритої інформації про організацію
  • Вивчення базової інформації про мережну інфраструктуру
  • Аналіз соціальних мереж
  • Аналіз вакансій, резюме на hr-сайтах
  • Аналіз технічних форумів
Пасивне сканування
  • Сканування портів
  • Визначення додатків
  • Визначення операційних мереж
  • Виявлення мережевих маршрутизаторів, міжмережевих екранів, ips-, ids-систем
  • Пошук уразливостей
Планування злому
  • Аналіз отриманої інформації
  • Розробка сценаріїв злому ІС
  • Підготовка інструментарію
  • Розробка та модифікація експлойтів (exploit)
  • Складання словників для вибору імен облікових записів та паролів до них
Експлуатація вразливостей
  • Верифікація та дослідження вразливостей
  • Підбір паролів
  • Визначення взаємодії додатків
  • Підтвердження виявлених вразливостей
  • Збір доказів
  • Ідентифікація нових векторів атак
Підготовка та підписання документів
  • Розробка та узгодження рекомендацій
  • Оформлення та презентація звіту
  • Підписання актів
Результати проведеного проекту:
Виявлення
Інформація про поточних уразливості Сценарії проникнення Інформація про недоліки процесів управління ІБ Докази
Висновки
Бізнес-ризики Стратегічне становище Ключові напрямки розвитку
Рекомендації
За усунення вразливостей З підвищення ефективності процесів управління ІБ З підвищення рівня захищеності
Результатом тесту на проникнення є «Звіт про проведений тест на проникнення», який складається з двох частин: резюме та звіт.
Структура звіту:
Частина 1: Резюме для керівника
  • 1. Загальна інформація
    • 1.1 Вступ
    • 1.2 Межі проєкту
    • 1.3 Підхід до виконання, суть та цілі тестування
  • 2. Управлінський звіт
    • 2.1 Основні виявлення
    • 2.2 Ризики інформаційної безпеки
    • 2.3 Стратегічне становище рівня інформаційної безпеки
  • 3. Рекомендації
  • 4. Висновки
Частина 2: Технічний звіт
  • 5. Технічний звіт
    • 5.1 Уразливості інформаційної безпеки
    • 5.2 Сценарії, результати та докази проникнення
  • 6. Рекомендації
Додаток 1 - Дані, зібрані під час тестування
    • 1.1 Отримані результати пасивного збору інформації
    • 1.2 Отримані результати активного дослідження систем
    • 1.3 Скомпрометовані облікові записи
    • 1.4 Зміни в інформаційних системах
    • 1.5 Результати дослідження покриття бездротових мереж
    • 1.6 Результати ідентифікації неавторизованих точок доступу
*Структура звіту може бути адаптована до ваших вимог
Проєктна команда
Команда Improvement Service складається з досвідчених професіоналів, за плечима яких 80+ успішно проведених пентестів та інших консалтингових проектів з інформаційної безпеки.
ALT
Ілля К.
Керівник проєктів
  • Управління ІБ (ISO 27001)
  • CEH, CISM, CCSP, MCSE, JNCIS
  • Планування та проведення аудитів.
  • Проведення аналізу та розробка рекомендацій.
  • Впровадження інфраструктурних рішень.
ALT
Микола Г.
Головний інженер проєктів
  • Certified BSI auditor
  • ОС - Windows, Linux, FreeBSD, Novell NetWare, Cisco IOS
  • ПЗ - Web сервери, СУБД, різноманітні MTA, anti-X рішення, LDAP, мережеві сервіси та інше.
  • Обладнання - Cisco, Zyxel, Watson, Nortel.
ALT
Ігорь Б.
Інженер
  • Спеціалізація: веб-додатки
  • CISA, QSA, ITILF, MCP
  • Планування та проведення аудитів.
  • Проведення аналізу та розробка рекомендацій.
  • Впровадження інфраструктурних рішень.
  • Проведення навчання та коучингу.
ALT
Микола Р.
Інженер
  • Опис / компетенції: ceh, cism, cisa, ccsp, bsi, cissp, ptes, oscp
ALT
Олександр В.
Аналітик
  • Управління ІБ (ISO 27001), управління ІТ (COBIT, ITIL, ISO 20000), проведення аудитів з ІБ, ІТ.
  • Участь у проектах щодо постановки процесів управління ІБ, ІТ, розробка документації в галузі управління ІБ, ІТ.
  • Навчання персоналу з питань управління ІБ, ІТ.
ALT
Hidden Name
Інженер
  • CISA, ITILF, MCP, STS
  • Управління проєктами.
  • Планування та проведення аудитів інформаційної безпеки.
  • Обстеження процесів управління ІТ.
  • Побудова програмної інфраструктури.
* При необхідності, до проектної команди можуть бути включені додаткові фахівці Improvement Service, залежно від використовуваних технологій у рамках тестованої інфраструктури.
Наші клієнти
ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT
Запросити комерційну пропозицію
ALT
Наші провідні фахівці нададуть повну консультацію з питань, що Вас цікавлять:
  • Розповімо про деталі проведення тесту, що цікавлять, на проникнення
  • Обговоримо адаптацію "звіту про проведений тест на проникнення" під Ваші вимоги, вимоги зовнішніх регуляторів та материнських компаній
  • Відповімо на питання, які можуть виникнути під час проведення проекту
Замовити зворотній дзвінок