Тестирование на проникновение
что
Проведение анализа защищенности информационных систем путем поиска в них уязвимостей и их эксплуатации
Пентест
для кого
Для всех, кто хочет быть на шаг впереди злоумышленников и не ждет взлома.
01
Тестирование на проникновение
01
Что делаем?
Внешнее тестирование на проникновение
Осуществляем поиск уязвимостей веб-сайтов, серверов электронной почты и иных сервисов, доступных из сети Интернет.
02
Эмулируем действия внешнего нарушителя, у которого нет логического доступа к вашим системам.
03
Анализируем сетевой трафик на предмет содержания критически важной информации, передаваемой в открытом виде (логины, пароли, конфиденциальные документы).
02
Тестирование на проникновение
01
Внутреннее тестирование на проникновение
Проводим поиск уязвимостей веб-сайтов, серверов электронной почты и иных сервисов, доступных из сети Интернет.
02
Эмулируем злонамеренные действия посетителей, нелояльных сотрудников, а также специалистов компаний-подрядчиков, наглядно оценив возможные последствия от их злонамеренных действий. Атаки на ваши ИС проводится внутри периметра сети.
03
Анализируем особенности внутренней сети на предмет устойчивости к атакам на канальном уровне по протоколам (STP, VTP, CDP, ARP, DTP).
03
Тестирование на проникновение
Дополнительно: Стресс-тестирование
Один из видов анализа защищенности, этап работ, использующийся для выявления степени стабильности функционирования инфраструктуры при повышении нагрузки на нее, превышающей расчётную или среднестатистическую нагрузку.
01
Тестирование на проникновение
01
Какие задачи решаем?
Внешнее тестирование на проникновение
Узнаем, насколько ваши системы, доступные из внешних сетей, защищены от действий злоумышленников.
02
Определим «слабые места» программного обеспечения.
03
Выявим проблемы и ошибки конфигурации ваших сервисов.
02
Тестирование на проникновение
01
Внутреннее тестирование на проникновение
Получим расширенные права доступа к информационным системам и к конфиденциальной информации.
02
Выявим большинство уязвимых мест в ваших средствах защиты
03
Тестирование на проникновение
Методики проведения тестирования на проникновение
01
Black Box
02
Grey Box
03
White Box
01
Не реже 1 раза в год
Во исполнение каких требований?
Требования ЦБ РФ (обязательно)
Положение Банка России от 17 апреля 2019 г. № 683-П (п. 3.2)
Положение Банка России от 17 апреля 2019 г. № 684-П (п. 5.4)
Положение Банка России от 9 июня 2012 г. № 382-П (абзац 3, пп.2.5.5.1, п. 2.5)
02
Требования ФСТЭК (добровольно)
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 (п.11, раздел II; мера защиты АНЗ.1)
Приказ ФСТЭК России от 25 декабря 2017 г. № 239 (пп. (д), п.12.6; мера защиты АУД.2)
При каждом обновлении ПО
Анализ уязвимостей по требованиям к оценочному уровняю доверия (ОУД) не ниже, чем ОУД4.
Что получаем в итоге
анализом эффективности принятых мер по информационной безопасности (ИБ);
оценкой уровня защищенности целевой системы;
Отчёт с:
перечнем выявленных уязвимостей ИБ и способы устранения
рекомендациями по повышению уровня защищенности целевой системы и снижению рисков возникновения кибер-инцидентов
эффективными способами повышения уровня ИБ после инцидента и обеспечения контроля над ИТ-инфраструктурой
результатами проверки качества работы подрядчиков по направлению ИБ
12 лет мы занимаемся вопросами защиты персональных данных.
Что важно для нас?
01
Качество и безопасность оказываемых услуг по тестированию на проникновение
02
Комплексный подход при выявлении недостатков в системе защиты