Тестирование на проникновение (Пентест)
Санкционированная имитация взлома ваших корпоративных ресурсов и ИТ-инфраструктуры — эффективный способ проверить защищенность ее периметра.
Эксперты ICL Services проведут поиск и анализ уязвимостей в режиме реального времени, а также выполнят пентест (pentest) — протестируют на проникновение ваши ИТ-системы, приложения.
Пентест ИТ-инфраструктуры
Корпоративная ИТ-инфраструктура – это движок ежедневных операций и ключевых бизнес-процессов. Поэтому именно она в преобладающем большинстве является ключевой целью хакеров.
Специалисты ICL Services, как внешние независимые эксперты, проведут следующие мероприятия:
- Разведка (сканирование портов, OSINT, сбор данных и т.д.).
- Анализ уязвимостей (идентификация активов и потенциальных угроз, выявление «уязвимых мест» и рисков ИБ).
- Эксплуатация (атаки на сервер, атаки на сеть и инфраструктуру).
- Пост-эксплуатация (повышение привилегий, сбор информации о системе).
Цель тестирования ИТ-инфраструктуры – проверить защищенность всех ИТ-ресурсов и активов, которые могут быть атакованы как снаружи кампании (внешние сетевые адреса, сервера, сетевые службы), так и изнутри (бэк-энд сервера, рабочие станции, сетевые и иные устройства внутри ИТ-инфраструктуры).
Пентест веб-приложений
Веб-приложения и сервисы – наиболее уязвимая часть инфраструктурных информационных систем, в связи с их доступностью. Разработчики занимаются созданием ИТ-продукта и стараются сделать его безопасным, но, чтобы провести многосторонний анализ и обнаружить дополнительные неочевидные уязвимости, лучше обратиться к экспертам.
Эксперты ICL Services опираются на следующие механизмы при проведении работ:
- Тестирование механизмов управления конфигурацией и развертыванием и механизмов управления идентификацией.
- Тестирование аутентификации.
- Тестирование авторизации.
- Тестирование механизмов управления сессиями, проверки вводимых данных и обработки ошибок веб сервера.
- Тестирование на выявление проблем в шифровании.
- Тест бизнес-логики.
- Тестирование со стороны клиента веб-приложения.
Цель тестирования веб-приложений – оценить надежность веб-платформ: серверов, фронт/бэк-офис приложений, веб-сервисов и API.
Анализ защищенности ИТ-систем
В целях снижения риска взломов, отказов в работе, снижения влияния человеческого фактора, выявления потенциальных векторов атак - эксперты ICL Services готовы провести оценку защищенности вашей ИТ-инфраструктуры. Этот анализ защищенности проводится без фактической эксплуатации уязвимости и проникновения в корпоративный периметр. Он может включать:
- проверку уязвимостей веб-приложений, серверов, сетевых устройстр и др компонентов ИТ-инфраструктуры,
- исследование на наличие вирусов,
- анализ надежности паролей,
- анализ необходимых обновлений безопасности операционных систем,
- диагностику настроек программного обеспечения и др.
Результаты тестирования:
- Подробный аналитический отчет с описанием метода тестирования и его результатов (как были обнаружены уязвимости).
- Список приоритезированных и классифицированных уязвимостей, векторов атаки.
- Тактический план, который включает рекомендации по повышению текущего уровня защищенности вашего бизнеса.
- Стратегический план – дорожная карта по развитию информационной безопасности вашей компании.
Оцените реальное состояние защищенности вашего бизнеса от киберугроз, получите подробные рекомендации по устранению уязвимостей и усильте защиту вашей ИТ-инфраструктуры в соответствии с современными, признанными практиками и подходами к обеспечению информационной безопасности – свяжитесь с экспертами ICL Services.
Это направление для вас, если:
Почему доверяют проведение пентеста экспертам ICL Services?
- На каждом этапе эксперты ICL Services активно взаимодействуют со специалистами вашего ИТ-отдела, чтобы лучше понять и обработать ваш запрос.
- Инициируют необходимые действия для достижения обозначенных целей.
- Certified Ethical Hacker,
- Microsoft Security Operations Analyst,
- CompTia CySa+,
- IBM Certified SOC Analyst.
- Эксперты ICL Services проведут тестирование без нарушения функционирования вашей ИТ-инфраструктуры.
- Эксперты ICL Services подберут лучшие механизмы и инструменты для проведения пентеста/анализа защищенности ресурсов вашей компании, ориентируясь на особенности вашей отрасли, цели и объект анализа.
- При необходимости будут использованы не только сканеры, но и ручное тестирование с использованием инструментов собственной разработки.
НАШИ КЕЙСЫ
Какие виды пентестов могут провести эксперты ICL Services?
Цель – определить уязвимости в системе, которые можно эксплуатировать изнутри или снаружи инфраструктуры.
Тест показывает иной взгляд на «цель» и, следовательно, новую оценку потенциальных «векторов атак» со стороны злоумышленника. Это позволяет избежать излишнего фокуса на том, что считается наиболее важным, и выявить другие проблемные области.
Тестирование можно проводить без уведомления ИТ-команд, чтобы оценить и проверить готовность ваших команд к обнаружению и реагированию на атаку.
Цель - получить рекомендации по улучшению уровня защищенности информационных активов на основании глубокого тестирования, с лучшим пониманием контекста, моделировать атаки из ситуации клиентов, партнеров, посетителей и сотрудников.
Данный способ позволяет сфокусироваться на уже ранее обнаруженных элементах: зонах наибольшего риска, чувствительных данных/активах, в соответствии с вашими приоритетами, например, проверка последних добавленных элементов инфраструктуры или важного функционала инфраструктуры.
Цель – дать полную оценку внутренних/внешних уязвимостей, делая его лучшим выбором с точки зрения векторов атак. Тесная взаимосвязь между специалистами, проводящими тест, разработчиками и специалистами ИБ, позволяет получить наиболее полную картину о состоянии системы/инфаструктуры, это в разы увеличивает вероятность обнаружения внутренних и внешних уязвимостей.
