- •Экспертный аудит
- •Тест на проникновение (пентест)
- •Аудит безопасности web-приложений
- •Автоматическое сканирование
- •Метод «черного ящика» (Black Box)
- •Метод «белого ящика» (White Box)
- •Оценка рисков
- •Выработка рекомендаций
- •Внедрение мер по обеспечению информационной безопасности
- •Аудит информационных систем
- •Комплексный аудит
- •Подготовка к сертификации на соответствие международному стандарту iso/iec 27001:2005
Тест на проникновение (пентест)
Тест на проникновение или пентест – это попытка взлома информационного ресурса организации, направленная на получение объективной оценки уровня информационной безопасности исследуемого ресурса, обнаружение его уязвимостей и слабых мест. Тест на проникновение позволяет понять Заказчику, эффективны ли используемые средства защиты, и какова вероятность взлома и получения информации злоумышленником. Для чего необходим пентест Пентест предназначен для получения объективной оценки защищенности информационной среды организации от внешних и внутренних угроз со стороны потенциального нарушителя безопасности. При проведении теста на проникновение, моделируются действий злоумышленника, направленные на проникновению в информационную систему Заказчика. Пентест позволяет:
-
Выявить наиболее уязвимые места в системе информационной безопасности;
-
Понять каким способом, и через какие уязвимости злоумышленник может проникнуть в информационную среду организации;
-
Получить объективную оценку общего уровня безопасности информационной среды организации;
-
Оценить возможные последствия от таких действий.
Когда необходим пентест? Основные причины, по которым компании задумываются о проведении данного вида аудита следующие:
-
Оценка существующей системы управления информационной безопасности;
-
Оценка защищенности отдельных ресурсов или средств защиты организации;
-
Анализ возможного ущерба от действий злоумышленников;
-
Оценка действий персонала организации.
Объекты теста на проникновение Основными объектами аудита являются внешние web-ресурсы и локальная сеть Заказчика. При проведении теста помимо технических методик также используются методы социальной инженерии, позволяющие оценить уровень подготовки сотрудников в вопросах информационной безопасности. Может быть предпринята рассылка электронных писем, вынуждающих пользователей выполнить определенные действия, либо попытка узнать нужную информацию от сотрудников организации при помощи телефонного звонка в ИТ-службу. Все условия и действия заранее обговариваются и утверждаются с Заказчиком. Пентест: методы, сроки. Однозначно определить сроки проведения аудита достаточно сложно, они варьируются в зависимости от масштаба работы и уровня защищенности объектов тестирования. Минимальный срок теста на проникновение занимает от 2х недель. На первом этапе аудита используются автоматизированные средства, позволяющие определить известные и существующие уязвимости, если такие не находятся, то специалисты разрабатывают специализированные решения для теста на проникновение, при этом учитывается специфика атакуемого объекта и человеческий фактор. Соглашение о неразглашении (NDA) Перед проведением теста на проникновение, компания-Исполнитель и компания-Заказчик подписывают соглашение о неразглашении (NDA), данный документ гарантирует конфиденциальность информации полученной в ходе теста на проникновение. Тест на проникновение: основные этапы Основные этапы теста на проникновение:
-
Анализ общедоступной информации о компании, и ее информационной среде;
-
Проведение исследований связанных с социальной инженерией;
-
Анализ уязвимостей внутренних и внешних ресурсов;
-
Осуществление проникновения;
-
Создание отчетной документации.
Тест на проникновение: результаты По завершению работ формируется отчет, в котором представляется следующая информация:
-
Детальное отображение выявленных уязвимостей и недостатков, представляющих угрозу для бизнес-процессов компании, уровень их рисков, оценка возможностей злоумышленника ими воспользоваться;
-
Описание сценариев, при помощи которых проводилось проникновение;
-
Подробное описание структуры объектов тестирования;
-
Методы и средства, использованные во время проведения теста на проникновение;
-
Рекомендации по устранению обнаруженных уязвимостей и недостатков.