Тест на проникновение

Тест на проникновение представляет собой моделирование действий злоумышленника по проникновению в информационную систему Заказчика.

Таким образом, тест на проникновение позволяет обнаружить уязвимости в защите вашей сети и, если это возможно, осуществить показательный взлом.

Для успешной реализации проекта необходимо решить следующие задачи:

Провести тестирование;
Сформировать перечень сценариев проникновения;
Провести эксплуатацию уязвимостей;
Разработать перечень практических технических и организационных рекомендаций;
Подготовить отчет.

Виды тестирования на проникновение

Компания Improvement Service проводит оценку защищенности по направлениям:

Тестирование на проникновения периметра информационных систем

Тестирование информационных систем с позиции локального злоумышленника

Объектами тестирования могут быть как инфраструктура в целом, так и отдельные системы и компоненты:

С Improvement Service - вы достигнете большего:

Опыт проведения пентестов: 60+ проектов, 10+ лет.

Положительные отзывы клиентов - наш главный аргумент!

Квалифицированные специалисты с сертификатами международного уровня.

Мы не продаем средства защиты - наши рекомендации независимы.

Результат пентеста будет соответствовать вашим потребностям.

Усовершенствованная методика и инструменты проведения пентеста.

Повторное тестирование в течении 2 месяцев.

Мы предложим оптимальный подход к повышению уровня защищенности.

МЕТОДИКА ТЕСТИРОВАНИЯ

При проведении теста на проникновение используется собственная методика, основанная на нашем опыте, которая учитывает подходы ведущих стандартов и мировых институтов, специализирующихся в сфере информационной безопасности:

The Penetration Testing Execution Standard

Open Web Application Security Project (OWASP) Testing Project

OSSTMM - The Open Source Security Testing Methodology Manual

A Penetration Testing Model (BSI)

NIST Special Publication 800-26 “Security Self-Assessment Guide for Information Technology Systems”

ISACA IS auditing procedure «Security assessment–penetration testing and vulnerability analysis»

Результат нашего тестирования соответствует требованиям стандартов:

PCI Data Security Standard (PCI DSS)

ISO/IEC 27001

СОУ Н НБУ 65.1 СУИБ

Если вам необходимо провести тестирование на проникновение, учитывая дополнительные требования, например, Внешних регуляторов или материнской компании - обращайтесь к нам

Этапы проекта

Инициализация

Подписание Соглашения о конфиденциальности
Получения письма о начале тестирования от Заказчика
Уточнение условий и ограничений тестирования
Формирование рабочей группы
Подписание устава проекта

Сбор публичных данных

Анализ открытой информации об организации
Изучение базовой информации о сетевой инфраструктуре
Анализ социальных сетей
Анализ вакансий, резюме на hr-сайтах
Анализ технических форумов

Пассивное сканирование

Сканирование портов
Определение приложений
Определение операционных сетей
Выявление сетевых маршрутизаторов, межсетевых экранов, ips-, ids-систем
Поиск уязвимостей

Планирование взлома

Анализ полученной информации
Разработка сценариев взлома ИС
Подготовка инструментария
Разработка и модификация эксплойтов (exploit)
Составление словарей для подбора имен учетных записей и паролей к ним

Эксплуатация уязвимостей

Верификация и исследования уязвимостей
Подбор паролей
Определение взаимодействия приложений
Подтверждение выявленных уязвимостей
Сбор доказательств
Идентификация новых векторов атак

Подготовка и подписание документов

Разработка и согласование рекомендаций
Оформление и презентация отчета
Подписание актов

Результаты проведенного проекта:

Обнаружения

Информация о текущих уязвимостях Сценарии проникновения Информация о недостатках процессов управления ИБ Доказательства

Выводы

Бизнес-риски Стратегическое положение Ключевые направления развития

Рекомендации

По устранению уязвимостей По повышению эффективности процессов управления ИБ По повышению уровня защищенности

Результатом теста на проникновение является «Отчет о проведенном тесте на проникновение», который состоит из двух частей: резюме и отчет.

Структура отчета:

Часть 1: Резюме для руководителя

1. Общая информация

1.1 Введение
1.2 Границы проекта
1.3 Подход к выполнению, суть и цели тестирования

2. Управленческий отчет

2.1 Основные обнаружения
2.2 Риски информационной безопасности
2.3 Стратегическое положение уровня информационной безопасности

3. Рекомендации

4. Выводы

Часть 2: Технический отчет

5 Технический отчет

5.1 Уязвимости информационной безопасности
5.2 Сценарии, результаты и доказательства проникновения

6. Рекомендации

Приложение 1 - Данные, собранные при тестировании

1.1 Полученные результаты пассивного сбора информации
1.2 Полученные результаты активного исследования систем
1.3 Скомпрометированные учетные записи
1.4 Изменения в информационных системах
1.5 Результаты исследования покрытия беспроводных сетей
1.6 Результаты идентификации неавторизованных точек доступа

*Структура отчета может быть адаптирована под ваши требования

Проектная команда

Команда Improvement Service состоит из опытных профессионалов, за плечами которых 60+ успешно проведенных пентестов и других консалтинговых проектов по информационной безопасности.

Илья К.

Руководитель проекта

Управление ИБ (ISO 27001)
CEH, CISM, CCSP, MCSE, JNCIS
Планирование и проведение аудитов.
Проведение анализа и разработка рекомендаций.
Внедрение инфраструктурных решений.

Николай Г.

Главный инженер проекта

Certified BSI auditor
ОС - Windows, Linux, FreeBSD, Novell NetWare, Cisco IOS
ПО - Web сервера, СУБД, разнообразные MTA, anti-X решения, LDAP, сетевые сервисы и прочее.
Оборудование - Cisco, Zyxel, Watson, Nortel.

Игорь Б.

Инженер

Специализация: веб-приложения
CISA, QSA, ITILF, MCP
Планирование и проведение аудитов.
Проведение анализа и разработка рекомендаций.
Внедрение инфраструктурных решений.
Проведение обучения и коучинга.

Николай Р.

Инженер

Описание / компетенции: ceh, cism, cisa, ccsp, bsi, cissp, ptes, oscp

Александр В.

Аналитик

Управление ИБ (ISO 27001), управление ИТ (COBIT, ITIL, ISO 20000), проведение аудитов по ИБ, ИТ.
Участие в проектах по постановке процессов управления ИБ, ИТ, разработка документации в области управления ИБ, ИТ.
Обучение персонала по вопросам управления ИБ, ИТ.

Hidden Name

Инженер

CISA, ITILF, MCP, STS
Управление проектами.
Планирование и проведение аудитов информационной безопасности.
Обследования процессов управления ИТ.
Построение программной инфраструктуры.

* При необходимости, в проектную команду могут быть включены дополнительные специалисты Improvement Service, в зависимости от используемых технологий в рамках тестируемой инфраструктуры.

Наши ведущие специалисты предоставят полную консультацию по интересующим Вас вопросам:

Расскажем про интересующие детали проведения теста на проникновение
Обсудим адаптацию "отчета о проведенном тесте на проникновение" под Ваши требования, требования внешних регуляторов и материнских компаний
Ответим на вопросы, которые могут возникнуть во время проведения проекта

Заказать обратный звонок