КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

Тестирование на проникновение (пентест)

ООО «ИТ Энигма» с целью выявления уязвимостей в информационной инфраструктуре вашей организации, позволяющих злоумышленникам получить доступ к критической для бизнеса информации и процессам, предлагает комплекс услуг по тестированию на проникновение (пентест) информационных ресурсов и инфраструктуры организации.

Пентест (тест на проникновение) - попытка «взлома» информационного ресурса организации, направленная на получение объективной оценки уровня информационной безопасности исследуемого ресурса, обнаружение его уязвимостей и слабых мест. Тест на проникновение позволяет понять, эффективны ли используемые средства защиты, и какова вероятность взлома и получения информации злоумышленником.

Суть работ заключается в моделировании действий злоумышленника, намеренного получить доступ к информационным системам заказчика и нарушить целостность, конфиденциальность либо доступность принадлежащей заказчику информации.

При разных потребностях заказчика проводится оценка уязвимостей следующих объектов информационной инфраструктуры организации:

При проведении всех работ, изначально, заключается соглашение между исполнителем и Заказчиком о неразглашении информации, полученной в ходе обследования. Далее в договоре отмечаются организационные и технические границы обследования (какие объекты информационной инфраструктуры проверяются), а также время проведения работ и условие (удаленно, на площадке организации или оба варианта). Далее сами работы строятся по следующему алгоритму:

В ходе работ  используются методы и инструменты, позволяющие идентифицировать следующие классы уязвимостей:

  • сетевое сканирование и анализ установленного ПО и средств защиты;
  • сбор и анализ информации об имеющихся уязвимостях в обнаруженных версиях ПО, сервисах, конфигурациях.
  • ошибки в реализации механизмов аутентификации пользователей;
  • ошибки в реализации механизмов авторизации и разграничения доступа;
  • отсутствие или недостаточность механизмов противодействия атакам на пользователей;
  • уязвимости, приводящие к нарушению логики функционирования приложений;
  • раскрытие конфиденциальной информации, в том числе – раскрытие информации об особенностях реализации функций приложения, используемых программных компонентах и прочей информации, облегчающей нарушителю организацию атаки;
  • ошибки в реализации доступных пользователю функций приложений;
  • ошибки в настройке операционных систем, приложений, сетевого оборудования;
  • нагрузочные тестирования и проверка отказоустойчивости корпоративных ресурсов.

По завершению работ формируется отчет, в котором представляется следующая информация:

  • Детальное отображение выявленных уязвимостей и недостатков, представляющих угрозу для бизнес-процессов компании, уровень их рисков, оценка возможностей злоумышленника ими воспользоваться;
  • Описание сценариев, при помощи которых проводилось проникновение;
  • Подробное описание структуры объектов тестирования;
  • Методы и средства, использованные во время проведения теста на проникновение;
  • Рекомендации по устранению обнаруженных уязвимостей и недостатков.

В зависимости от специфики работы организации и её потребностей ООО «ИТ Энигма» предлагает следующие виды проведения обследований:

Также ООО «ИТ Энигма» проводит тесты на проникновение для банков и финансовых организация в рамках выполнения ими требований Банка России к мероприятиям по информационной безопасности в рамках PCI DSS, 382-п, 683-п, 719-п, а также анализ уязвимостей ПО по ОУД-4.

 

Поделиться: