Тестирование на проникновение

Тестирование на проникновение

Тест на проникновение (Pentest, Penetration test, Пентест, оценка защищенности) - моделирование действий злоумышленника по проникновению в информационные системы Компании.

Объектами тестирования могут быть как отдельные системы, например, CRM, ERP, Интернет-, Клиент-банк, так и вся инфраструктура в целом: периметр сети, беспроводные сети, внутренняя корпоративная сеть.
Выгоды проведение пентеста
Усиление безопасности ИС:

    Обнаружение максимального количества уязвимостей;
    Принятие мер на основе обоснованных рекомендаций;
    Уверенность в том, что значимая информация защищена;
    Выполнение требований контролирующих органов/ стандартов;
    Обоснование бюджетов подразделения на устранение брешей;

Результаты теста на проникновение
Результатом проекта является информация о текущем уровне защищенности Информационных Систем (ИТ-инфраструктуры), существующих уязвимостях и рекомендации по их устранению.

По завершении проекта Компания получает документ «Отчет об оценке защищенности информационных систем».

Одной из особенностей нашего отчета о проведенном пентесте можно выделить формирование "чеклиста" (action plan) по устранению уязвимостей, обнаруженных в рамках проекта.
Этапы оценки защищенности (тестирования на проникновение)
Сбор публично доступных данных

    Анализ открытой информации об организации;
    Изучение базовой информации о сетевой инфраструктуре;
    Анализ социальных сетей;
    Анализ вакансий, резюме на HR-сайтах;
    Анализ технических форумов;

Сканирование

    Сканирование портов;
    Определение приложений и веб приложений;
    Определение операционных систем;
    Идентификация сетевых маршрутизаторов и межсетевых экранов;
    Поиск уязвимостей (автоматизированные сканирования и ручной анализ);

Планирование взлома

    Анализ полученной информации;
    Разработка сценариев взлома информационной системы;
    Разработка и модификация эксплойтов;
    Подготовка необходимого инструментария пентеста;

Эксплуатация уязвимостей

    Верификация и исследование уязвимостей;
    Проведение атак на компоненты ИТ-инфраструктуры;
    Подбор паролей;
    Определение взаимодействия приложений;
    Подтверждение выявленных уязвимостей;
    Сбор доказательств;

Подготовка отчетных документов

    Разработка и согласование рекомендаций;
    Оформление и презентация отчета;

Пентест: Стандарты и методики
Ниже представлены основные стандарты и методики, регламентирующие проведение тест на проникновение, пентест. Каждый из документов в разной степени направлен на выставление требований к проведению пентеста.

Специалисты Импрувмент Сервис используют собственную методику проведения теста на проникновения, основанную на лучших мировых практиках и перечисленных ниже стандартах.
Стандарты Pentest, Penetration test:

    Penetration Testing Execution Standard (PTES)
    OSSTMM 3.0. - The Open Source Security Testing Methodology Manual
    Open Web Application Security Project (OWASP) Testing Project
    Penetration Testing Model (BSI)
    ISACA IS auditing procedure «Security assessment–penetration testing and vulnerability analysis»
    Payment Card Industry Data Security Standard (PCI DSS), v.3.0
    ASV Security Scanning Procedures, PCI SSC
    Information Supplement: Requirement 11.3 Penetration Testing, PCI SSC