ПЕНТЕСТ
Знайдіть слабкі місця в критично важливих ресурсах і покращіть базовий рівень безпеки за допомогою імітації зловмисної атаки.
(тест на проникнення в систему)
Ми розглядаємо вашу інфраструктуру з точки зору хакера та моделюємо атаку на ваші ІТ-системи, щоб виявити та перевірити вразливості, які можуть становити ризики для вашої організації. Імітуючи тактику та методи реальних супротивників, ми перевіряємо шляхи, які можна використати, виявляємо помилки в програмуванні та діагностуємо логічні недоліки в архітектурі системи, які зловмисники можуть використати, щоб отримати доступ до вашого ІТ-середовища.
Навіщо проводити тестування
на проникнення в систему
Досягнення важливих цілей
01
Знайти та усунути вразливості
Виконуючи тестування на проникнення, ми розглядаємо вашу організацію з точки зору зловмисника, знаходимо вразливості, які можна використати, і виправляємо їх до того, як ними скористаються зловмисники.
02
Перевірити рівень безпеки
Імітуючи дії, до яких вдаються зловмисники для проникнення у вашу ІТ-інфраструктуру, ми отримуємо точне уявлення про вашу систему безпеки та перевіряємо, наскільки ефективно працюють ваші системи.
03
Виявити прогалини у комплаєнсі
Успішний прохід через периметр під час тестування на проникнення може виявити порушення політик і заходів комплаєнсу з боку співробітників служби безпеки або інших працівників.
04
Отримати підтримку керівництва
Результати тестування на проникнення від незалежної третьої сторони допомагають продемонструвати керівництву організації недоліки в системі безпеки та надати обґрунтовані підстави для збільшення бюджету або впровадження нових рішень.
05
Навчити свою команду з питань безпеки
Тестування на проникнення дозволяє оцінити, наскільки добре команда безпеки підготовлена до кібератак, а також виміряти їхні можливості з моніторингу та обробки інцидентів.
Що ви можете перевірити
Категорії тестування на проникнення
ЗОВНІШНЄ ТЕСТУВАННЯ
Знаходить і використовує вразливості в системах, сервісах і додатках, що доступні через інтернет
ОЦІНКА БЕЗПЕКИ СМАРТ-КОНТРАКТІВ ТА БЛОКЧЕЙНУ
Проведіть аналіз безпеки вашої блокчейн-екосистеми та знайдіть вразливості в смарт-контрактах (вразливості повторного входу, проблеми впорядкування транзакцій/залежності від мітки часу, неправильна обробка виключень, DoS-атаки та вразливості, пов'язані з глухими кутами).
ТЕСТУВАННЯ WI-FI
Тестує безпеку розгорнутих бездротових рішень і всіх бездротових пристроїв
ВНУТРІШНЄ ТЕСТУВАННЯ ВРУЧНУ
Пошук вразливостей безпеки з точки зору зловмисника, який отримав доступ до системи кінцевого користувача
ТЕСТУВАННЯ ВЕБ-ДОДАТКІВ
Комплексне та детальне тестування для виявлення вразливостей безпеки у веб-додатках
ТЕСТУВАННЯ СОЦІАЛЬНОЇ ІНЖЕНЕРІЇ
Використовує методи соціальної інженерії та тестові фішингові кампанії для спроби отримання конфіденційної інформації від співробітників
АВТОМАТИЗОВАНЕ ВНУТРІШНЄ ТЕСТУВАННЯ (ДОСТУПНЕ ЯК БЕЗПЕРЕРВНА ОЦІНКА)
Тестує всю вашу інфраструктуру щодня, щотижня, щомісяця або з будь-яким іншим інтервалом, випробовуючи всі можливі вектори атак на основі автоматизованого виявлення вразливостей і виконання етичних експлойтів, забезпечуючи безперебійну роботу мережі
ТЕСТУВАННЯ МОБІЛЬНИХ ДОДАТКІВ
Аналізує поведінку мобільних додатків (iOS та Android) у спеціаль�ному ізольованому середовищі пісочниці
ТЕСТУВАННЯ API
Виявляє вразливості у функціях API, способи зловживання API та шляхи обходу авторизації та автентифікації
Як ви можете перевірити
Виберіть тип пентесту, який найкраще відповідає вашим цілям
Що ви отримаєте у звіті
Ваш звіт про тестування на проникнення буде містити:
Тестувальник проникнення не має внутрішніх знань про цільові системи, їхню архітектуру або вихідний код. З точки зору пересічного хакера, тестувальник намагається виявити та використати вразливості ззовні мережі.
НУЛЬ ЗНАНЬ
• Виконавче резюме для ключових осіб, які приймають рішення, без технічного досвіду, що містить загальні результати та термінові заходи для виправлення
• Технічне резюме з конкретними висновками
• Опис успішних векторів атаки, що демонструє, які вразливості були використані (і як) для проникнення в інфраструктуру
• Рекомендації щодо усунення вразливостей та управління ризиками
Перед проведенням тестів на проникнення ми узгоджуємо, наскільки клієнт буде знати про обсяг тестування і план тестування, обираючи один з трьох типів тестування:
Видиме
команда замовника має повну інформацію про час і план проведення тесту
Неявне
команда замовника має загальну або часткову інформацію про тест
Сліпе/
Червона команда
команда замовника не поінформована про те, коли і як буде проводитися тестування
Методика тестування на проникнення від ISSP
01.
Визначення обсягу
Визначення обсягу та
цілей тесту
03.
Моделювання загроз
Побудова методу атаки
05.
Експлуатація
Спроба використати поширені вразливості, помилки в програмуванні та логічні недоліки в архітектурі
07.
Звітування
Деталізація результатів, класифікація вразливостей, аналіз ризиків та рекомендації щодо стратегій їх мінімізації
02.
Розвідка
Пошук ІТ-активів організації, розгорнутих технологій, витоків облікових даних і конфіденційної інформації, проіндексованої пошуковими системами
04.
Оцінка вразливостей
Картування інфраструктури та поверхонь додатків, виявлення вразливостей, які можуть бути використані в атаці
06.
Пост-експлуатація
Отримання конфіденційної інформації, доступу до інших серверів та облікових даних для подальших атак
08.
Верифікація
Перевірка правильності усунення виявлених вразливостей
Стандарти тестування на проникнення
які ми використовуємо
 OWASP Testing Guide |  PTES Penetration Testing Execution Standard |  ISECOM OSSTMM – Open Source Security Testing Methodology Manual |
|---|---|---|
 NIST Technical Guide to Information Security Testing and Assessment |  ISACA IS – P8 Security Assessment – Penetration testing and vulnerability analysis |  PCI DSS Penetration Testing Requirements |
 BSI Penetration Testing Model |
Ви також повинні враховувати
Додаткові варіанти тестування для кращих результатів
АНАЛІЗ ВИХІДНОГО КОДУ
Використовуючи методологію статичного тестування безпеки додатків "білого ящика" (Static Application Security Testing (SAST), тестувальник досліджує додаток зсередини, шукаючи в його вихідному коді умови, які вказують на наявність вразливостей безпеки. Статичний аналіз коду визначає вплив, ймовірність та серйозність кожного типу вразливостей.
ПОВТОРНЕ ТЕСТУВАННЯ
Всі наші пентести включають повторну перевірку за замовчуванням, але ми розглядаємо можливість проведення нового тесту на проникнення через певний проміжок часу після першого тесту. При повторному тестуванні команда тестувальників вже знає цілі, їх бізнес-логіку та попередні результати. Повторне тестування може включати нові функції та програмне забезпечення, додані до початкових цілей.