Тестирование на проникновение (Penetration Testing) – метод оценки безопасности систем или сетей средствами моделирования атак.
Тест на проникновение – это возможность для Вас взглянуть на Вашу сеть глазами хакера и попробовать ее взломать не только техническим путем, эксплуатируя найденные уязвимости, но и при помощи методов социальной инженерии.
Подобный анализ уязвимости позволит Вам убедиться не только в том, что у Вас правильно настроено оборудование, но и в том, что Ваши сотрудники правильно понимают цели и задачи информационной безопасности. Также анализ уязвимостей дает возможность установить, каким образом Вашу сеть могут атаковать после разглашения конфиденциальной информации.
Тест на проникновение позволит сделать анализ уязвимостей и выявить слабые места системы обеспечения информационной безопасности.
Решаемые задачи
Тестирование на проникновение применяется для решения следующих задач:
- получение актуальной и независимой оценки, дающей понятие о текущем состоянии информационной безопасности Ваших систем;
- определение необходимых шагов для повышения текущего уровня информационной защиты.
Что предлагает «Микротест»
В рамках поиска и анализа уязвимостей компания «Микротест» выполняет следующие работы:
- внутренний тест на проникновение:
- попытки получения учетных записей и паролей пользователей и администраторов информационных систем путём перехвата сетевого трафика;
- сбор информации о доступных из сегмента пользователей локальной сети ресурсах (сетевых сервисах, операционных системах и приложениях) и определение мест возможного хранения/обработки критичных данных;
- поиск уязвимостей ресурсов, способных привести к возможности осуществления несанкционированных воздействий на них;
- разработка векторов атак и методов получения несанкционированного доступа к критичным данным;
- попытки получения несанкционированного доступа к серверам, базам данных, компьютерам пользователей с использованием уязвимостей программного обеспечения, сетевого оборудования, некорректных настроек.
- внешний тест на проникновение:
- сбор общедоступной информации о Заказчике с помощью поисковых систем, через регистрационные базы данных (регистраторы имен и адресов, DNS, Whois и т.п.) и других публичных источников информации;
- сбор информации о доступных из сетей общего доступа ресурсах (сетевых сервисах, операционных системах и приложениях);
- определение мест возможного хранения/обработки критичных данных, доступных извне;
- сбор публично доступной информации о сотрудниках Заказчика (корпоративные электронные адреса, посещение веб-сайтов, Интернет форумов, социальные сети, личная информации о человеке);
- поиск уязвимостей в веб-приложениях Заказчика, эксплуатация которых может привести к неавторизированному доступу к критичным данным;
- выявление уязвимостей ресурсов внешнего сетевого периметра, эксплуатация которых может привести к компрометации ресурса и/или использована для получения неавторизованного доступа к критичным данным;
- разработка векторов и методов проникновения.
Результаты работ
В результате выполнения работ компания «Микротест» предоставит Вам:
- детальный отчет об уязвимостях информационных систем;
- рекомендации по повышению текущего уровня защищенности информационных систем.
Примеры реализованных проектов
- Комплексный аудит информационной безопасности в ЗАО «СИА ИНТЕРНЕШНЛ ЛТД»
- Аудит информационной безопасности крупного Банка
Тел: +7(495) 787-20-58; электронная почта: security@microtest.ru.