Пентест (Тестирование на проникновение)
Кому необходим пентест?
Любой организации необходимо быть уверенной в том, что её информационная безопасность в данный момент находится на необходимом уровне, а пентест — это один из наиболее эффективных видов аудита информационной безопасности.
Процедура проведения теста на проникновение, а также проведение сбора данных на предмет защищённости информационной безопасности объектов информационной инфраструктуры содержится в требованиях, предъявляемых ЦБ РФ к финансовым организациям, данная процедура содержится во многих актуальных документах, регламентирующих требования к информационной безопасности.
В Российской Федерации проведение пентеста требуется согласно положениям Банка России 382-П, 683-П и 684-П.
Нормы ГОСТ Р 57580.1-2017, включающие требования к проведению пентестов на проникновение, помимо кредитных должны соблюдать следующие некредитные финансовые организации:
- специализированные депозитарии инвестиционных фондов, ПИФ и негосударственных ПФ;
- клиринговые организации;
- организаторы торговли;
- страховые организации;
- негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
- негосударственные ПФ;
- репозитарии;
- брокеры;
- дилеры;
- депозитарии;
- регистраторы;
- управляющие.
Пентест проводится для того, чтобы выявить существующие в данный момент уязвимые места в элементах ИТ инфраструктуры организации.
Анализируя защищенность мы прежде всего даем ответы на важные вопросы:
- Какой в данный момент уровень защищенности?
- Что надо предпринять для повышения уровня безопасности?
Какие существуют виды пентестов?
Существует несколько видов тестов на проникновения. Данные тесты проводятся для сети организации извне (внешний пентест), а также для внутренних ресурсов (внутренний пентест).
Тестирование на проникновение подразделяется на категории:
- Внешний пентест;
Может проводиться без учетных или с учетными данными клиента
- Внутренний пентест;
Может проводиться без учетных или с учетными данными пользователя.
Определяющие тезисы этого подхода:
- Необходимо произвести исследование и внешнего контура, и внутренней инфраструктуры;
- Тестированию подлежат основные объекты и их периферия;
- Необходимо затрагивать типовые сценарии сетевого взаимодействия;
- Данное исследование защищенности предполагает попытки эксплуатации обнаруженных уязвимостей.
Внешний пентест
Внешний пентест моделирует действия нарушителя, совершающего незаконное проникновение в сеть из внешней среды. Этот вариант тестирования делится на следующие этапы:
- Сбор необходимой информации.
- Поиск всевозможных уязвимостей.
- Эксплуатация уязвимостей.
Внутренний пентест
Внутренний пентест производится для выявления в инфраструктуре заказчика наличие угроз изнутри на стороне заказчика.
Случаи внутренних нарушений, как правило, являются основной массой в числе инцидентов информационной безопасности, поэтому внутренний пентест вызывает особый интерес. Данное испытание подразделяют на:
- Определение доступной информации.
- Повышение прав доступа.
- Сбор информации с повышенными правами.
Результаты проведённого исследования и тестов на проникновение
Какие сведения пентеста получим в результате?
В результате действий обнаруживаются уязвимости ИБ, они могут заключаться в следующем:
- Ненадлежащее разграничение прав доступа.
- Неверная сегментация сети.
- Устаревшие версии программного обеспечения.
- Слабые пароли.
- И пр.
Наша организация имеет цель
В процессе выполнения проектов — не вмешиваться в бизнес-процессы организации заказчика и его информационной инфраструктуры, обеспечивать соответствие требованиям регуляторов.
Наши преимущества
- Без сбоев в работе. Без сбоев функционирования информационной структуры.
- 100% удовлетворяем потребности заказчиков.
- Персональный подход при выполнении заказа.
- Соответствие законодательству Российской Федерации.
- Являемся партнерами ведущих производителей оборудования программного обеспечения в области ИБ.
- Обладаем необходимыми лицензиями ФСТЭК и ФСБ на осуществление деятельности.
Компания Data Protection Systems оказывает услуги по пентесту и анализу уязвимостей объектов информационной инфраструктуры. Побеспокойтесь о защите конфиденциальных данных и, что не менее важно, средствах своих клиентов уже сейчас. Закажите тестирование на проникновение своей компании!