302009, г. Орел, ул. Гайдара, д. 54
Контакты
 




ООО "ПентестИТ"
ИНН/КПП: 7710958665/575101001
Адрес: 302009, г. Орёл, ул. Гайдара, д. 54
Режим работы: в будни с 10:00 до 19:00 по московскому времени

подробнее

Тестирование на проникновение
Blackbox, Whitebox

Тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест) является популярной во всем мире услугой в области информационной безопасности. Суть таких работ заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования аудитор выполняет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика.
В большинстве случаев внешний атакующий способен проникнуть во внутреннюю сеть атакуемой компании, используя внешние объекты в качестве опорной платформы для развития и расширения поверхности атаки. До 20% критичных уязвимостей выявляются на этапе сбора информации — при минимальном воздействии (снижен риск обнаружения атаки) на тестируемые объекты. Комбинированный тест на проникновение, включающий социальную инженерию, является наиболее эффективным — до 70% пользователей атакуемой системы восприимчивы к социотехническим атакам.

Среди сотрудников, выполняющих тестирование на проникновение, сертифицированные специалисты в области информационной безопасности с опытом работы в области оказываемых услуг более 10 лет. Способность обнаруживать уязвимости на самых защищенных интернет-ресурсах, таких как Яндекс, AT&T и других — объективный показатель их профессиональной подготовки.

Выполняя тестирование на проникновение мы руководствуемся не только стандартами и методологиями, такими как OWASP, OSSTMM, NIST, но и используем лучшие мировые практики тестирования на проникновение, современные методы и инструменты, которые используют злоумышленники. Результат нашего подхода — 75% проводимых работ завершается получением полного доступа к тестируемой системе. Учитывая сложность тестируемых ресурсов такой показатель является крайне высоким.
Услуги предоставляются в соответствии с политиками аудита, базирующихся на методологии OSSTMM («The Open Source Security Testing Methodology Manual») и включают в себя действия:
  • Определение скопа IP адресов;
  • Пассивный сбор информации;
  • Определение периметра сети;
  • Сканирование портов;
  • Определение типов и видов сетевого оборудования;
  • Определение типов и видов ОС, в инфраструктуре сети;
  • Определение типов и видов смежной периферии в инфраструктуре сети;
  • Определение типов и видов специализированных устройств или их совокупности;
  • Сбор баннеров / поиск публичных эксплойтов;
  • Анализ данных;
  • Определение «точек входа»;
  • Сбор и анализ полученной информации;
  • Описание векторов атаки;
  • Попытки эксплуатации;
  • Подтверждение полученных векторов;
  • Составление отчета.
По результатам тестирования на проникновение будет предоставлен детальный отчет с выявленными уязвимостями, рекомендациями по устранению, примерами атак и описаниями возможных сценариев проникновения.
Тестирование на проникновение
Аудит безопасности сайта