Мы проводим комплексное тестирование корпоративных сетей на проникновение.
Мы проводим комплексное тестирование корпоративных сетей на проникновение. Тестирование на проникновение или пентест–исследование защищённости компьютерных систем путём симуляции действий злоумышленника с применением широкого спектра инструментов, однако, без нарушения работоспособности испытываемых систем.
Цель тестирования – выявить наиболее уязвимые места в программном и аппаратном обеспечении, а также недостаточную осведомлёность сотрудников в вопросах информационной безопасности, которая способна привести к нарушению тайны, целостности и доступности чувствительной информации.
Проводится исключительно программными средствами и позволяет оценить состояние IT-инфраструктуры в аспекте её устойчивости к атакам.
Выявление слабых мест в системе, обусловленных человеческим фактором и осуществляется с применением методов социальной инженерии.
Проводится в рамках концепции Black Box или слепого метода, когда тестер изначально не владеет никакой информацией о внутренней структуре сети и используемом в ней программном обеспечении. В общем случае такое тестирование состоит из следующих этапов:
Включает в себя сбор общеоступной информации о цели, например, определение интернет–провайдера, сетевых и доменных имён, номеров телефонов. Это позволит в общих чертах понять, как устроена целевая сеть и наметить наиболее предпочтительные направления для атаки.
Построение карты сети и определение используемых в ней устройств, операционных систем и приложений путём анализа их реакции на попытки вторжения. Полученные в результате данные используются для атак на веб-приложения, таких как XSS, SQL-Injection, Backdoor, OS Command Injection, чтобы раскрыть имеющиеся в них уязвимости.
На этом этапе тестер, основываясь на добытых ранее сведениях, пытается получить доступ к чувствительным данным с максимальными правами, при этом оставаясь незамеченным для IT–персонала исследуемой сети, и оценивает вероятный ущерб, который мог бы нанести злоумышленник.
Итоговый документ содержит изложение хода тестирования, перечень использованных средств и методов, описание конкретных уязвимостий, эксплуатация которых позволила тестеру проникнуть в сеть,а также подробные рекомендации по их устранению.
Применяется для оценки возможности утечки критических данных (персональные данные сотрудников, учётные записи и т.п.) по причинам, обусловленным человеческим фактором и может проводиться как само по себе, так и в комплексе с техническим тестированием. Такое тестирование может осуществляться по следующим сценариям
Сотрудникам компании–заказчика под видом деловых писем или писем от коллег направляются сообщения, содержащие исполняемый код, позволяющий получить доступ к рабочей станции пользователя, либо содержащие ссылку на веб-ресурс с таким кодом.
Звонки сотрудникам от имени персонала департамента информационной безопасности, руководства компании, или представителя банка с просьбами о смене/выдаче их персональных или учётных данных.
По материалам тестирования также составляется отчёт и перечень рекомандаций по обнаруженным проблемным областям. Результаты такого тестирования могут быть использованы в разработке программы повышения осведоблённости персонала в вопросах информационной безопасности.
Применяется для оценки возможности утечки критических данных (персональные данные сотрудников, учётные записи и т.п.) по причинам, обусловленным человеческим фактором и может проводиться как само по себе, так и в комплексе с техническим тестированием. Такое тестирование может осуществляться по следующим сценариям