ICL Services

Тестирование на проникновение (Пентест)

за
1
день приступаем к работам после подписания договора и согласования модели взаимодействия
с
2019
года экспертиза в тестировании на проникновение

Санкционированная имитация взлома ваших корпоративных ресурсов и ИТ-инфраструктуры — эффективный способ проверить защищенность ее периметра.

Эксперты ICL Services проведут поиск и анализ уязвимостей в режиме реального времени, а также выполнят пентест (pentest) — протестируют на проникновение ваши ИТ-системы, приложения.

Пентест ИТ-инфраструктуры

Корпоративная ИТ-инфраструктура – это движок ежедневных операций и ключевых бизнес-процессов. Поэтому именно она в преобладающем большинстве является ключевой целью хакеров.

Специалисты ICL Services, как внешние независимые эксперты, проведут следующие мероприятия:

  • Разведка (сканирование портов, OSINT, сбор данных и т.д.).
  • Анализ уязвимостей (идентификация активов и потенциальных угроз, выявление «уязвимых мест» и рисков ИБ).
  • Эксплуатация (атаки на сервер, атаки на сеть и инфраструктуру).
  • Пост-эксплуатация (повышение привилегий, сбор информации о системе).

Цель тестирования ИТ-инфраструктуры – проверить защищенность всех ИТ-ресурсов и активов, которые могут быть атакованы как снаружи кампании (внешние сетевые адреса, сервера, сетевые службы), так и изнутри (бэк-энд сервера, рабочие станции, сетевые и иные устройства внутри ИТ-инфраструктуры).

Пентест веб-приложений

Веб-приложения и сервисы – наиболее уязвимая часть инфраструктурных информационных систем, в связи с их доступностью. Разработчики занимаются созданием ИТ-продукта и стараются сделать его безопасным, но, чтобы провести многосторонний анализ и обнаружить дополнительные неочевидные уязвимости, лучше обратиться к экспертам.

Эксперты ICL Services опираются на следующие механизмы при проведении работ:

  • Тестирование механизмов управления конфигурацией и развертыванием и механизмов управления идентификацией.
  • Тестирование аутентификации.
  • Тестирование авторизации.
  • Тестирование механизмов управления сессиями, проверки вводимых данных и обработки ошибок веб сервера.
  • Тестирование на выявление проблем в шифровании.
  • Тест бизнес-логики.
  • Тестирование со стороны клиента веб-приложения.

Цель тестирования веб-приложений – оценить надежность веб-платформ: серверов, фронт/бэк-офис приложений, веб-сервисов и API.

Анализ защищенности ИТ-систем

В целях снижения риска взломов, отказов в работе, снижения влияния человеческого фактора, выявления потенциальных векторов атак - эксперты ICL Services готовы провести оценку защищенности вашей ИТ-инфраструктуры. Этот анализ защищенности проводится без фактической эксплуатации уязвимости и проникновения в корпоративный периметр. Он может включать:

  • проверку уязвимостей веб-приложений, серверов, сетевых устройстр и др компонентов ИТ-инфраструктуры,
  • исследование на наличие вирусов,
  • анализ надежности паролей,
  • анализ необходимых обновлений безопасности операционных систем,
  • диагностику настроек программного обеспечения и др.

Результаты тестирования:

  1. Подробный аналитический отчет с описанием метода тестирования и его результатов (как были обнаружены уязвимости).
  2. Список приоритезированных и классифицированных уязвимостей, векторов атаки.
  3. Тактический план, который включает рекомендации по повышению текущего уровня защищенности вашего бизнеса.
  4. Стратегический план – дорожная карта по развитию информационной безопасности вашей компании.


Оцените реальное состояние защищенности вашего бизнеса от киберугроз, получите подробные рекомендации по устранению уязвимостей и усильте защиту вашей ИТ-инфраструктуры в соответствии с современными, признанными практиками и подходами к обеспечению информационной безопасности – свяжитесь с экспертами ICL Services.

 

Это направление для вас, если:

Текущий уровень информационной безопасности требует оценки технических мер защиты и их эффективности.
Необходимо проверить качество работы исполнителей по направлению ИБ.
Запускаете новый веб-сервис (приложение). Необходимо оценить степень ее уязвимости к кибератакам.
Выявить ошибки в конфигурации программного и аппаратного обеспечения.
Необходимо соответствовать требованиям регуляторов в области ИБ (382-П, 683-П, 684-П, ГОСТ Р 57580.1-2017, Указ 250 и пр.), международных стандартов (PCI-DSS, ISO 27K, GDPR и т.д.).
Следует минимизировать риски ИБ (утечка информации, несанкционированный доступ к данным и др.), обеспечить/повысить уровень ИБ в следствии преобразования бизнеса (слияние филиалов, отделение от головного офиса иностранной компании и т.п.).

Почему доверяют проведение пентеста экспертам ICL Services?

Нацеленность на результат
  • На каждом этапе эксперты ICL Services активно взаимодействуют со специалистами вашего ИТ-отдела, чтобы лучше понять и обработать ваш запрос.
  • Инициируют необходимые действия для достижения обозначенных целей.
Сертифицированная команда пентестеров (аудиторов)
  • Certified Ethical Hacker,
  • Microsoft Security Operations Analyst,
  • CompTia CySa+,
  • IBM Certified SOC Analyst.
Бесперебойная работа вашего бизнеса
  • Эксперты ICL Services проведут тестирование без нарушения функционирования вашей ИТ-инфраструктуры.
Гибкий подход к решению ваших задач
  • Эксперты ICL Services подберут лучшие механизмы и инструменты для проведения пентеста/анализа защищенности ресурсов вашей компании, ориентируясь на особенности вашей отрасли, цели и объект анализа.
  • При необходимости будут использованы не только сканеры, но и ручное тестирование с использованием инструментов собственной разработки.

НАШИ КЕЙСЫ

Сфера услуг
Японский хостинг подкастов
В 2020 году компания запустила новый цифровой проект — веб-платформу, на которой пользователи могут прослушивать подкасты и аудиошоу. Чтобы оценить экспертизу ICL Services с перспективой дальнейшей работы, в качестве пилотного проекта заказчик обратился к нам для анализа информационной безопасности сервиса.

Какие виды пентестов могут провести эксперты ICL Services?

Black Box
Метод «черный ящик» – это тестирование в условиях максимально приближенных к реальным внешним атакам на инфраструктуру. «Атакующей» стороне не предоставляется информация.

Цель – определить уязвимости в системе, которые можно эксплуатировать изнутри или снаружи инфраструктуры.

Тест показывает иной взгляд на «цель» и, следовательно, новую оценку потенциальных «векторов атак» со стороны злоумышленника. Это позволяет избежать излишнего фокуса на том, что считается наиболее важным, и выявить другие проблемные области.

Тестирование можно проводить без уведомления ИТ-команд, чтобы оценить и проверить готовность ваших команд к обнаружению и реагированию на атаку.
Gray Box
Метод «серый ящик» подразумевает, что атакующей команде передана информация о вашей системе – «объекте атаки». Тестировщикам предоставляется ограниченный доступ к учетным записям пользователей на платформе и др.

Цель - получить  рекомендации по улучшению уровня защищенности информационных активов на основании глубокого тестирования, с лучшим пониманием контекста, моделировать атаки из ситуации клиентов, партнеров, посетителей и сотрудников.

Данный способ позволяет сфокусироваться на уже ранее обнаруженных элементах: зонах наибольшего риска, чувствительных данных/активах, в соответствии с вашими приоритетами, например, проверка последних добавленных элементов инфраструктуры или важного функционала инфраструктуры.
White Box
Метод «белый ящик» - это тестирование, при котором предоставляется максимально возможный набор информации об объекте атаки. Информация передается вами открыто в рамках соглашения. Рабочие процессы/механизмы цели становятся известны, прозрачны. Специалистам, осуществляющим тестирование, предоставляется полный доступ к исходному коду, архитектуре, документации и пр. Данное тестирование подразумевает, что уязвимости могут быть эксплуатированы как снаружи, так и внутри.

Цель – дать полную оценку внутренних/внешних уязвимостей, делая его лучшим выбором с точки зрения векторов атак. Тесная взаимосвязь между специалистами, проводящими тест, разработчиками и специалистами ИБ, позволяет получить наиболее полную картину о состоянии системы/инфаструктуры, это в разы увеличивает вероятность обнаружения внутренних и внешних уязвимостей.

обсудить проект

Оставьте контактные данные, и наш менеджер свяжется с вами
Я даю согласие на обработку своих персональных данных в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ«О персональных данных»

Заказать звонок

Ф.И.О*
Контактный телефон*
E-mail*
Компания*

Я даю согласие на обработку своих персональных данных в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ«О персональных данных»

Имя*
Фамилия*
Телефон*
Email*
Название компании*

Я даю согласие на обработку своих персональных данных в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ«О персональных данных»

На сайтах icl-services.com используются cookie-файлы. Оставаясь на сайте, вы даете свое согласие на использование нами cookie-файлов. Если, прочитав данное сообщение, вы не согласны, просим вас покинуть сайт.

Задать вопрос эксперту

Ф.И.О*
E-mail*
Наименование организации*
Должность*
Телефон*
Вопрос*

Я даю согласие на обработку своих персональных данных в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ«О персональных данных»

Заказать звонок

Ф.И.О*
Контактный телефон*
E-mail
Компания*

Я даю согласие на обработку своих персональных данных в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ«О персональных данных»

Наверх