Тест на проникновение

Penetration test (Оценка защищенности) - моделирование действий злоумышленников по взлому вашей ИТ инфраструктуры и сервисов

Запросить КП
Выполненные проекты:
ALT

Тест на проникновение представляет собой моделирование действий злоумышленника по проникновению в информационную систему Заказчика.

Таким образом, тест на проникновение позволяет обнаружить уязвимости в защите вашей сети и, если это возможно, осуществить показательный взлом.

Для успешной реализации проекта необходимо решить следующие задачи:
  • Провести тестирование;
  • Сформировать перечень сценариев проникновения;
  • Провести эксплуатацию уязвимостей;
  • Разработать перечень практических технических и организационных рекомендаций;
  • Подготовить отчет.
ALT
Виды тестирования на проникновение

Компания Improvement Service проводит оценку защищенности по направлениям:

ALT Тестирование на проникновения периметра информационных систем
ALT Тестирование информационных систем с позиции локального злоумышленника

Объектами тестирования могут быть как инфраструктура в целом, так и отдельные системы и компоненты:

С Improvement Service - вы достигнете большего:
ALT
Опыт проведения пентестов: 60+ проектов, 10+ лет.
ALT
Положительные отзывы клиентов - наш главный аргумент!
ALT
Квалифицированные специалисты с сертификатами международного уровня.
ALT
Мы не продаем средства защиты - наши рекомендации независимы.
ALT
Результат пентеста будет соответствовать вашим потребностям.
ALT
Усовершенствованная методика и инструменты проведения пентеста.
ALT
Повторное тестирование в течении 2 месяцев.
ALT
Мы предложим оптимальный подход к повышению уровня защищенности.
МЕТОДИКА ТЕСТИРОВАНИЯ
При проведении теста на проникновение используется собственная методика, основанная на нашем опыте, которая учитывает подходы ведущих стандартов и мировых институтов, специализирующихся в сфере информационной безопасности:
ALT The Penetration Testing Execution Standard
ALT Open Web Application Security Project (OWASP) Testing Project
ALT OSSTMM - The Open Source Security Testing Methodology Manual
ALT A Penetration Testing Model (BSI)
ALT NIST Special Publication 800-26 “Security Self-Assessment Guide for Information Technology Systems”
ALT ISACA IS auditing procedure «Security assessment–penetration testing and vulnerability analysis»
Результат нашего тестирования соответствует требованиям стандартов:
ALT PCI Data Security Standard (PCI DSS)
ALT ISO/IEC 27001
ALT СОУ Н НБУ 65.1 СУИБ

Если вам необходимо провести тестирование на проникновение, учитывая дополнительные требования, например, Внешних регуляторов или материнской компании - обращайтесь к нам

Получить консультацию
Этапы проекта
Инициализация
  • Подписание Соглашения о конфиденциальности
  • Получения письма о начале тестирования от Заказчика
  • Уточнение условий и ограничений тестирования
  • Формирование рабочей группы
  • Подписание устава проекта
Сбор публичных данных
  • Анализ открытой информации об организации
  • Изучение базовой информации о сетевой инфраструктуре
  • Анализ социальных сетей
  • Анализ вакансий, резюме на hr-сайтах
  • Анализ технических форумов
Пассивное сканирование
  • Сканирование портов
  • Определение приложений
  • Определение операционных сетей
  • Выявление сетевых маршрутизаторов, межсетевых экранов, ips-, ids-систем
  • Поиск уязвимостей
Планирование взлома
  • Анализ полученной информации
  • Разработка сценариев взлома ИС
  • Подготовка инструментария
  • Разработка и модификация эксплойтов (exploit)
  • Составление словарей для подбора имен учетных записей и паролей к ним
Эксплуатация уязвимостей
  • Верификация и исследования уязвимостей
  • Подбор паролей
  • Определение взаимодействия приложений
  • Подтверждение выявленных уязвимостей
  • Сбор доказательств
  • Идентификация новых векторов атак
Подготовка и подписание документов
  • Разработка и согласование рекомендаций
  • Оформление и презентация отчета
  • Подписание актов
Результаты проведенного проекта:
Обнаружения
Информация о текущих уязвимостях Сценарии проникновения Информация о недостатках процессов управления ИБ Доказательства
Выводы
Бизнес-риски Стратегическое положение Ключевые направления развития
Рекомендации
По устранению уязвимостей По повышению эффективности процессов управления ИБ По повышению уровня защищенности
Результатом теста на проникновение является «Отчет о проведенном тесте на проникновение», который состоит из двух частей: резюме и отчет.
Пример отчета
Структура отчета:
Часть 1: Резюме для руководителя
  • 1. Общая информация
    • 1.1 Введение
    • 1.2 Границы проекта
    • 1.3 Подход к выполнению, суть и цели тестирования
  • 2. Управленческий отчет
    • 2.1 Основные обнаружения
    • 2.2 Риски информационной безопасности
    • 2.3 Стратегическое положение уровня информационной безопасности
  • 3. Рекомендации
  • 4. Выводы
Часть 2: Технический отчет
  • 5 Технический отчет
    • 5.1 Уязвимости информационной безопасности
    • 5.2 Сценарии, результаты и доказательства проникновения
  • 6. Рекомендации
Приложение 1 - Данные, собранные при тестировании
    • 1.1 Полученные результаты пассивного сбора информации
    • 1.2 Полученные результаты активного исследования систем
    • 1.3 Скомпрометированные учетные записи
    • 1.4 Изменения в информационных системах
    • 1.5 Результаты исследования покрытия беспроводных сетей
    • 1.6 Результаты идентификации неавторизованных точек доступа
*Структура отчета может быть адаптирована под ваши требования
Проектная команда
Команда Improvement Service состоит из опытных профессионалов, за плечами которых 60+ успешно проведенных пентестов и других консалтинговых проектов по информационной безопасности.
ALT
Илья К.
Руководитель проекта
  • Управление ИБ (ISO 27001)
  • CEH, CISM, CCSP, MCSE, JNCIS
  • Планирование и проведение аудитов.
  • Проведение анализа и разработка рекомендаций.
  • Внедрение инфраструктурных решений.
ALT
Николай Г.
Главный инженер проекта
  • Certified BSI auditor
  • ОС - Windows, Linux, FreeBSD, Novell NetWare, Cisco IOS
  • ПО - Web сервера, СУБД, разнообразные MTA, anti-X решения, LDAP, сетевые сервисы и прочее.
  • Оборудование - Cisco, Zyxel, Watson, Nortel.
ALT
Игорь Б.
Инженер
  • Специализация: веб-приложения
  • CISA, QSA, ITILF, MCP
  • Планирование и проведение аудитов.
  • Проведение анализа и разработка рекомендаций.
  • Внедрение инфраструктурных решений.
  • Проведение обучения и коучинга.
ALT
Николай Р.
Инженер
  • Описание / компетенции: ceh, cism, cisa, ccsp, bsi, cissp, ptes, oscp
ALT
Александр В.
Аналитик
  • Управление ИБ (ISO 27001), управление ИТ (COBIT, ITIL, ISO 20000), проведение аудитов по ИБ, ИТ.
  • Участие в проектах по постановке процессов управления ИБ, ИТ, разработка документации в области управления ИБ, ИТ.
  • Обучение персонала по вопросам управления ИБ, ИТ.
ALT
Hidden Name
Инженер
  • CISA, ITILF, MCP, STS
  • Управление проектами.
  • Планирование и проведение аудитов информационной безопасности.
  • Обследования процессов управления ИТ.
  • Построение программной инфраструктуры.
* При необходимости, в проектную команду могут быть включены дополнительные специалисты Improvement Service, в зависимости от используемых технологий в рамках тестируемой инфраструктуры.
Наши клиенты
ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT ALT
Запросить коммерческое предложение
ALT
Наши ведущие специалисты предоставят полную консультацию по интересующим Вас вопросам:
  • Расскажем про интересующие детали проведения теста на проникновение
  • Обсудим адаптацию "отчета о проведенном тесте на проникновение" под Ваши требования, требования внешних регуляторов и материнских компаний
  • Ответим на вопросы, которые могут возникнуть во время проведения проекта
Заказать обратный звонок