Анализ защищенности (тест на проникновение)
Одним из важнейших показателей эффективности функционирования системы обеспечения информационной безопасности является уровень защищенности ИТ-инфраструктуры компании. Под защищенностью обычно понимается способность выстроенных механизмов защиты информации противостоять существующим рискам, связанным с осуществлением угроз безопасности, нарушающих такие свойства информации, как конфиденциальность, целостность и доступность.
Используя лишь средства защиты без проведения анализа защищенности, невозможно по-настоящему контролировать систему информационной безопасности. Поэтому для реальной проверки защищенности информационных систем компании требуется периодическое проведение практического теста на проникновение и анализ защищенности внутренней ИТ-инфраструктуры компании. Данные мероприятия покажут всестороннюю картину защищенности вашей компании от внешних и внутренних угроз.
При проведении практического теста на проникновение решаются следующие задачи:
- сбор и анализ публично доступной информации об информационных системах заказчика и его сотрудниках
- инвентаризация сервисов и программного обеспечения на внешнем сетевом периметре, выявление потенциально опасных уязвимостей в конфигурации и настройках оборудования и программных средств или отсутствия установленных обновлений, влияющих на безопасность
- выявление уязвимостей, создающих предпосылки для несанкционированного доступа к информационным системам и критичной информации, хранимой, обрабатываемой и передаваемой в информационных системах заказчика, ее неправомерной модификации и уничтожения, и эксплуатация выявленных уязвимостей
- реализация всевозможных сетевых атак для оценки устойчивости инфраструктуры заказчика к возможным нарушениям характеристик информационной безопасности
- использование механизмов социальной инженерии для реализации атак на инфраструктуру заказчика
- разработка детализированного отчета о тестировании, включающего документирование обнаруженных уязвимостей, ошибок конфигурации, выявленных в ходе проведенного теста на проникновение, и рекомендаций по повышению уровня защищенности, а также разработка плана мероприятий по реализации рекомендаций
Анализ защищенности внутренней ИТ-инфраструктуры компании предполагает проведение полного комплекса мероприятий по техническому аудиту, включая:
- анализ конфигурационных файлов маршрутизаторов, межсетевых экранов, почтовых серверов, DNS-серверов и других критичных элементов сетевой инфраструктуры
- анализ конфигурации серверов и рабочих станций при помощи специализированных программных средств и списков проверки
- автоматизированное тестирование внутренних ресурсов заказчика
- уточнение результатов тестирования по векторам атак в ручном режиме
В результате работ будет разработан детализированный отчет об особенностях и уязвимостях сетевой инфраструктуры заказчика и подробные рекомендации по повышению уровня защищенности заказчика.
Наши преимущества:
- успешный опыт по реализации проектов по проведению анализа защищенности
- сопровождение экспертного теста на проникновение консультационными услугами, необходимыми для оценки и обработки рисков
- соблюдение сроков выполнения работ