Тест на проникнення

Тестування на проникнення орієнтоване на пошук максимальної кількості вразливостей безпеки в цільовому середовищі, що може дозволити зловмисникам проникнути в мережу, комп’ютерні системи або викликати порушення в роботі бізнес процесів компанії замовника. Мета тестування на проникнення полягає в тому, щоб фактично скомпрометувати цільову систему і в кінцевому підсумку вкрасти конфіденційну інформацію або порушити бізнес процес та надати підсумковий звіт з описом недоліків в системі безпеки. Зазвичай це вимагає інструментів і методів, дуже схожих на ті, що використовують зловмисники.

У сфері проведення тестів на проникнення, компанія R&B team досягла високих результатів та продовжує їх вдосконалення. Наші фахівці на постійній основі беруть участь у bug bounty програмах міжнародних компаній, успішно реалізують проекти із застосуванням соціальної інженерії, що в даний момент, можуть собі дозволити не більше 20% компаній галузі, використовують нестандартні методи, що дозволяє перевірити максимальну кількість векторів атак.

За результатами проведення тесту на проникнення, наші замовники отримують звіти і консультації, що надають реальну картину рівня захищеності організації та допомагають визначити пріоритети інвестицій, які компанія планує зробити в свою безпеку.


Запит примірника звіту

Частота проведення тесту на проникнення

Організаціям слід регулярно проводити тест на проникнення, в середньому- раз на рік, для отримання актуальної інформації про стан захищеності компанії. Додатково тести на проникнення слід проводити кожного разу, коли організація:

  • додає нову мережеву інфраструктуру або додатки;
  • робить значні оновлення або модифікації своїх додатків або інфраструктури;
  • відкриває нові офіси;
  • застосовує патчі безпеки;
  • змінює політики кінцевих користувачів або систем.

Частота проведення тестів на проникнення також залежить від кількох інших факторів:

Розмір компанії. Компанії з великою присутністю в мережі мають більше векторів атак і є більш привабливими цілями для хакерів, у зв’язку з чим, імітація дій зловмисників потребує частішого виконання.

Бюджет. Частота тестів на проникнення та їх вартість повинні бути сумірні бюджетам, отже організації з меншим бюджетом можуть проводити тестування на проникнення тільки раз в два роки, та періодичні оцінки захищеності власними силами.

Вимоги до галузі. Згідно із законами, вимогами стандартів та регуляторів, організації в певних галузях зобов’язані виконувати завдання щодо забезпечення безпеки, включаючи ручне тестування з визначеною періодичністю.

Типи тестів на проникнення.

Одним з важливих аспектів будь-якої програми тестування на проникнення є визначення області, в якій повинні працювати виконавці. Зазвичай область дії визначає, які системи, розташування, методи і інструменти можуть використовуватись в тесті на проникнення. Обмеження обсягу тесту допомагає зосередити членів команди – і захисників – на системах, над якими організація має контроль.

Основні стратегії:

Зовнішнє тестування призначене для зовнішніх видимих серверів, сервісів та систем компанії. Мета полягає в тому, щоб з’ясувати, чи можуть зовнішні зловмисники проникнути і як далеко вони можуть просунутись після отримання доступу.

Цільове тестування– виконується ІТ-командою організації і групою з тестування на проникнення у співпраці по відношенню до певних систем. Це іноді називають підходом, “lights turned on”, тому що і виконавець і замовник може бачити, як проводиться тест.

Внутрішнє тестування (імітація інсайдера) імітує внутрішню атаку авторизованим користувачем зі стандартними правами доступу. Цей вид тесту корисний для оцінки збитку, який може нанести незадоволений співробітник.

Сліпе тестування (black box) імітує дії і процедури реального зловмисника. Як правило, виконавцям може бути дана тільки назва компанії. Усю необхідну інформацію про компанію для проведення атаки, виконавець повинен знайти у джерелах загального доступу. Оскільки цей тип тесту потребує значної кількості часу для розвідки, він може мати високу вартість.

Тестування білої скриньки (white box) має на увазі виконання тесту на проникнення виконавцем, попередньо маючого інформацію про цільову компанію. Ця інформація може включати такі деталі, як IP-адреси, адреси поштових скриньок, схеми мережевої інфраструктури, використовувані протоколи, вихідний код додатків та інше.

Використання різних стратегій тесту на проникнення допомагає виконавцям зосередитися на потрібних системах і отримати уявлення про типи атак, які становлять найбільшу загрозу для бізнесу замовника.


Замовити тест на проникнення