+38 (044) 355 1337 Замовити дзвінок

Тест на проникнення

Penetration test (Оцінка захищеності) — Виконаємо моделювання дій зловмисників зі злому вашої ІТ-інфраструктури та надамо рекомендації щодо забезпечення високого рівня захисту

Запросити КП
Виконані проєкти:
Danone Carlsberg Distar Global-mediator VEON (Kyivstar) Colonnade, a Fairfax company Davintoo France Verif Прикарпаття обленерго Eldorado.UA Укртрансгаз OTP Leasing Медичний центр Святої Параскеви Герц Україна ЛАПП Україна TEDIS Ukraine БРСМ-Нафта Буковель
Послуги із тестування на проникнення

Тест на проникнення - цє моделювання дій зловмисника щодо проникнення в інформаційну систему Замовника.

Таким чином, тест на проникнення дозволяє виявити вразливості у захисті вашої мережі та, якщо це можливо, здійснити показовий злам.

Для успішної реалізації проєкту необхідно вирішити такі завдання:
  • Зібрати інформацію та провести сканування;
  • Сформувати перелік сценаріїв проникнення;
  • Провести експлуатацію вразливостей;
  • Розробити перелік практичних технічних та організаційних рекомендацій;
  • Підготувати звіт.
ALT
Види тестування на проникнення

Компанія XRAY CyberSecurity проводить оцінку захищеності за напрямками:

ALT Тестування на проникнення периметру інформаційних систем
ALT Тестування інформаційних систем із позиції локального зловмисника

Об'єктами тестування можуть бути як інфраструктура загалом, так і окремі системи та компоненти:

Тестування
систем інтернет-,
клієнт-банку
Замовити
Тестування
інфраструктури
безпровідних мереж
Замовити
Тестування з
використанням
соціальної інженерії
Замовити
Тестування
веб-сайту/
веб-сервісу
Замовити
Тестування
конкретного
додатку/сервісу
Замовити
Ваш варіант?
(зв'яжіться з
нами для обговорення)
Зв'язатися
З XRAY CyberSecurity - ви досягнете більшого:
ALT
Досвід проведення пентестів: 200+ проектів, 10+ років.
ALT
Позитивні відгуки клієнтів – наш головний аргумент!
ALT
Кваліфіковані спеціалісти із сертифікатами міжнародного рівня.
ALT
Ми не продаємо засоби захисту – наші рекомендації незалежні.
ALT
Результат пентесту буде відповідати вашим потребам.
ALT
Удосконалена методика та інструменти проведення пентесту.
ALT
Повторне тестування протягом 2 місяців.
ALT
Ми запропонуємо оптимальний підхід до підвищення рівня безпеки.
ALT ALT ALT ALT
МЕТОДИКА ТЕСТУВАННЯ
При проведенні тесту на проникнення використовується власна методика, що ґрунтується на нашому досвіді та враховує підходи провідних стандартів і світових інститутів, що спеціалізуються у сфері інформаційної безпеки та кіберзахисту:
ALT The Penetration Testing Execution Standard
ALT Open Web Application Security Project (OWASP) Testing Project
ALT OSSTMM - The Open Source Security Testing Methodology Manual
ALT A Penetration Testing Model (BSI)
ALT NIST SP 800-115 “Technical Guide to Information Security Testing and Assessment”
ALT ISACA IS auditing procedure «Security assessment–penetration testing and vulnerability analysis»
Результат нашого тестування відповідає вимогам:
ALT PCI Data Security Standard (PCI DSS)
ALT ISO/IEC 27001
ALT Постановам НБУ

Якщо вам необхідно провести тестування на проникнення з огляду на додаткові вимоги, наприклад, зовнішніх регуляторів або материнської компанії - звертайтесь до нас

Отримати консультацію
Докладніше про наш підхід до реалізації проєктів з оцінки захищеності (Penetration test):
Етапи проєкту
Ініціалізація
  • Підписання Угоди про конфіденційність
  • Отримання листа про початок тестування від Замовника
  • Уточнення умов та обмежень тестування
  • Формування робочої групи
  • Підписання статуту проєкту
Збір публічних даних
  • Аналіз відкритої інформації про підприємство
  • Вивчення базової інформації про мережеву інфраструктуру
  • Аналіз соціальних мереж
  • Аналіз вакансій, резюме на hr-сайтах
  • Аналіз технічних форумів
Пасивне сканування
  • Сканування портів
  • Визначення додатків
  • Визначення операційних систем
  • Виявлення мережевих маршрутизаторів, міжмережевих екранів, ips-, ids-систем
  • Пошук вразливостей
Планування злому
  • Аналіз отриманої інформації
  • Розробка потенційних сценаріїв злому
  • Підготовка інструментарію та модифікація експлойтів
  • Складання словників для підбору імен облікових записів та паролів до них
Експлуатація вразливостей
  • Верифікація та дослідження вразливостей
  • Підбір паролів
  • Визначення взаємодії додатків
  • Підтвердження виявлених вразливостей
  • Збір доказів
  • Ідентифікація нових векторів атак
Підготовка та підписання документів
  • Розробка та узгодження рекомендацій
  • Оформлення та презентація звіту
  • Підписання актів
Результати проєкту:
Виявлення
Інформація про
поточні вразливості Сценарії проникнення Інформація про недоліки
процесів управління ІБ Докази
Висновки
Бізнес-ризики Стратегічне становище Ключові напрямки розвитку
Рекомендації
З усунення вразливостей З підвищення ефективності
процесів управління ІБ З підвищення рівня захищеності
Результатом проєкту з оцінки захищеності є «Звіт про проведений тест на проникнення», який складається з двох частин: резюме для керівника та технічний звіт.
Замовити дзвінок
Структура звіту:
Частина 1: Резюме для керівника
  • 1. Загальна інформація
    • 1.1 Вступ
    • 1.2 Межі проєкту
    • 1.3 Підхід до виконання, суть та цілі тестування
  • 2. Управлінський звіт
    • 2.1 Основні виявлення
    • 2.2 Ризики інформаційної безпеки
    • 2.3 Стратегічне становище рівня інформаційної безпеки
  • 3. Рекомендації
  • 4. Висновки
Частина 2: Технічний звіт
  • 5. Технічний звіт
    • 5.1 Вразливості інформаційної безпеки
    • 5.2 Сценарії, результати та докази проникнення
  • 6. Рекомендації
Додаток 1 - Дані, зібрані під час тестування
    • 1.1 Отримані результати пасивного збору інформації
    • 1.2 Отримані результати активного дослідження систем
    • 1.3 Скомпрометовані облікові записи
    • 1.4 Зміни в інформаційних системах
*Структура звіту може бути адаптована до ваших вимог
Відгуки наших клієнтів
Відгук ІТ директора ПрАТ «Карлсберг Україна» ПрАТ «Карлсберг Україна» Кравченко Андрій, ІТ Директор
Виконуючи черговий проєкт тестування на проникнення, компанія «Імпрувмент Сервіс» продемонструвала глибокі навички оцінки інформаційної безпеки як з технічної сторони, так і з боку процесів. Детальна технічна та бізнес-орієнтована звітність була корисним та ефективним результатом проєкту.
Відгук ІТ директора ТОВ «Вимпелком Глобал Сервісиз Україна» ТОВ «Вимпелком Глобал Сервісиз Україна» Бізяєв Ігор, ІТ Директор
Вся команда «Імпрувмент Сервіс» має досконалу технічну підготовку, чудові комунікативні та організаторські навички, здатність бачити цілісну картину в найскладніших ситуаціях. Мені було приємно працювати з компанією «Імпрувмент Сервіс», і зокрема з Іллєю, та я не сумніваюся, що захочу їх долучити до тестування на проникнення знову і знову.
Відгук Виконавчого директора ТОВ «Медичний центр Святої Параскеви» ТОВ «Медичний центр
Святої Параскеви» Левченко Дмитро,
Виконавчий Директор
Було надзвичайно приємно і корисно працювати з командою «Імпрувмент Сервіс» над дуже чутливим для нашої компанії проєктом. Проєктна команда продемонструвала чудові професійні знання, а також дійсно практичний та гнучкий підхід до наших потреб та очікувань на кожному етапі від ініціювання та визначення вимог до презентації результатів аудиту. Безсумнівно рекомендую «Імпрувмент Сервіс» як чудового професіонала та надійного партнера!
Відгук менеджера з інформаційної безпеки ПрАТ «Карлсберг Україна» ПрАТ «Карлсберг Україна» Козлов Руслан, Менеджер з інформаційної безпеки
З кожним спільним проєктом з оцінки захищеності рівень кібербезпеки нашої компанії суттєво посилюється. Дякую за багаторічну співпрацю та професіоналізм - безліч нових векторів атак та несподівані сценарії тестування допомагають своєчасно усувати недоліки інформаційної безпеки та забезпечувати безперервність бізнесу.
Відгук ІТ директора ТОВ «ТЕДІС Україна» ТОВ «ТЕДІС Україна» Махов О.В., ІТ Директор
Дякуємо за успішне виконання проєкту з тестування на проникнення у внутрішню корпоративну мережу. Розроблені організаційні та технічні рекомендації дозволили удосконалити кібербезпеку наших IT-сервісів від проникнення ззовні. Однозначно рекомендую «Імпрувмент Сервіс» як експертів з проведення тесту на проникнення ІТ-інфраструктури.
Надішліть нам запит