ГлавнаяРешения

PENTEST. Экспертный тест на проникновение


Обеспечение информационной безопасности любого предприятия является процессом, который не может прийти в некое конечное состояние. Этот процесс развивается вместе с ИТ-инфраструктурой организации: появляются новые решения, новые ИТ-продукты, а значит, и новые информационные угрозы.

Даже при использовании передовых решений мировых разработчиков по информационной безопасности невозможно дать 100 % гарантию защиты ИТ-системы по следующим причинам:

  • Разработчики часто оставляют уязвимости в своем продукте, будь то «железо» или «софт». Причем делают это часто неосознанно, из-за банальных ошибок, которые в дальнейшем возможно эксплуатировать. А иногда закладки в коде – результат целенаправленных действий самих разработчиков.
  • Используя лишь средства защиты без проведения анализа их защищенности, невозможно по-настоящему контролировать информационную безопасность ИТ-системы.

Поэтому для реальной проверки вашей системы – насколько она уязвима и насколько легко ее можно взломать – требуется практический тест на проникновение.

При проведении экспертного теста на проникновение решаются следующие задачи:

  • Выявление технических недостатков, которые могут быть использованы для осуществления вредоносных действий в отношении Заказчика, его партнеров или его клиентов. Данная задача решается методами "тестирование серого ящика", "тестирования белого ящика", "тестирование черного ящика".
  • Анализ критичности найденных недостатков, а также поиск и описание сценариев атак, реализующих максимальный ущерб в отношении Заказчика, его партнеров или клиентов.
  • Включение в разработанную модель угроз категорий нарушителей ИТ-системы. Проведение оценки уровня защищенности ИТ-системы относительно сформированных категорий нарушителей.
  • Формирование конкретных практических рекомендаций по устранению найденных недостатков.
  • Формирование общих методических рекомендаций по модификации существующих ИТ-процессов; рекомендации направлены на минимизацию количества аналогичных недостатков в дальнейшем.

При проведении экспертного теста на проникновение решаются следующие задачи:

  • Небезопасные механизмы хранения данных.
  • Некорректная реализация безопасного транспорта.
  • Возможность утечки данных.
  • Слабые механизмы аутентификации.
  • Слабые механизмы разграничения доступа.
  • Некорректное использование криптографических средств.
  • Наличие возможностей для различных инъекций.

В результате проведения экспертного теста на проникновение Заказчику предоставляется отчет, содержащий следующую информацию:

  • Краткую характеристику полученных результатов.
  • Описание объектов, вошедших в область анализа.
  • Обзор используемой методики поиска недостатков для каждого объекта анализа (системы ДБО, мобильные приложения, сетевые устройства, СУБД, ОС и т.д.).
  • Для каждого объекта анализа формируется отдельный раздел с описанием найденных технических недостатков.
  • По каждому недостатку предоставляется следующая информация:
    • характеристика недостатка, ссылки на мировые рейтинги и таксономии,
    • методические рекомендации и конкретные рекомендации по исправлению недостатка данного объекта анализа,
    • детали найденного недостатка (в т.ч. воспроизведение его наличия),
    • анализ критичности недостатка, в котором делается оценка возможных последствий от наличия недостатка, а также возможности потенциального нарушителя по нахождению и использованию данного недостатка во вредоносных целях.
  • Для каждого объекта анализа приводится описание сценариев максимальных атак; максимальная атака - техническая атака, использующая, возможно, несколько уязвимостей и наносящая существенно неприемлемый ущерб Заказчику, его клиентам или партнерам.
  • Разрабатываются общие методические рекомендации по модификации существующих процессов администрирования и обслуживания ИТ-систем, разработки или аутсорсинга разработки их компонентов; рекомендации направлены на минимизацию вероятности привнесения недостатков, аналогичных найденным, в дальнейшем.
  • Формируются предложения по организационным и техническим мерам, уместным к внедрению.

Основные преимущества экспертного теста на проникновение

  • уверенность в надежной защите регулярно используемой в бизнес-деятельности компании информации в электронном виде;
  • снижение рисков прямых и косвенных финансовых потерь вследствие нарушения конфиденциальности, целостности и доступности важной для бизнеса информации;
  • повышение уровня доверия клиентов и партнеров.

Какие типовые проблемы решает экспертный тест на проникновение?

Проблема Решение
Отсутствие уверенности в надежной защите информационных активов
  • Сбор и систематизация данных о компонентах ИТ-системы.
  • Оценка архитектуры системы и потоков данных с позиции безопасности.
  • Выявление в реализации системы технических недостатков, которые могут быть использованы для осуществления вредоносных действий в отношении Заказчика, его партнеров или его клиентов.
  • Анализ критичности найденных недостатков, поиск и описание сценариев атак, реализующих максимальный ущерб в отношении Заказчика или его клиентов.
  • Тестирование системы на восприимчивость к лавинообразному росту нагрузки на различные компоненты системы и поддерживающей ее инфраструктуры.
  • Разработка модели угроз и оценка защищенности системы к воздействию нарушителей различных категорий.
  • Формирование конкретных практических рекомендаций по устранению найденных недостатков.
  • Формирование общеметодических рекомендаций по модификации существующих процессов администрирования и использования системы, разработки или аутсорсинга разработки ее компонентов.
  • Формирование предложений по организационным и техническим мерам, уместным к внедрению в контексте обнаруженных недостатков в ИТ-системе и процессах.
Необходимость проверки наличия недостатков для выполнения требований международных и национальных стандартов (СТО БР РФ, PCI DSS, ISO27001 и др.) Проверка наличия недостатков следующих классов (перечень построен на основании реестра CWE):
  • Ошибки настройки коммутационного оборудования и системных сервисов: пароли по умолчанию, небезопасные конфигурации.
  • Ошибки реализации инфраструктуры публичных ключей, возможность реализации атак "человек-в-середине" на защищенные соединения SSL, TLS, HTTPS.
  • Использование устаревших или небезопасных сетевых протоколов, в том числе протоколов управления сетевым оборудованием (telnet, SNMP) c доступом из Интернет.
  • Недостатки разделения прав доступа на критичных с точки зрения безопасности узлах сети, возможность прослушивания трафика в ключевых точках сети с пользовательских узлов.
  • Недостатки разделения прав доступа на критичных с точки зрения безопасности узлах сети, возможность прослушивания трафика в ключевых точках сети с пользовательских узлов.

Что даст проведение экспертного теста на проникновение?

  • Снизит риск эксплуатации существующих уязвимостей
  • Обеспечить непрерывность бизнес-процессов
  • Выполнить соответствующие требования стандартов: СТО БР РФ, PCI DSS, ISO27001 и др.

Наши преимущества

  • Успешная реализация целого ряда проектов по проведению экспертного теста на проникновение.
  • Сопровождение экспертного теста на проникновение консалтинговыми услугами, необходимыми для оценки и обработки рисков.
  • Наличие собственной команды пентестеров.