Пентест - это тестирование IT инфраструктур на проникновение "злоумышленников" с целью проверки их надёжности. В состав тестирования входит активный анализ системы на наличие потенциальных угроз, которые могут спровоцировать не стабильную работу информационной системы или полный отказ в работе. Анализ ведётся с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы.
Пентест заканчивается тогда, когда поставленная задача достигнута или время отведенное на проникновение истекло. Целью пентеста является получить несанкционированный доступ к информации о клиентах, их средствах и другим данным. Проникнуть из офисного сегмента в боевой, где расположены рабочие серверы. Нарушить доступность определённого сервиса. Получить доступ к файловой системе с некими правами.
Стоимость пентеста
Очень сложно сформировать единую стоимость для услуги пентест, т.к. каждый заказ индивидуален. Факторы от которых зависит цена пентеста:
- Сложности поставленной задачи;
- Архитектуры;
- Сроков;
- Ограничений со стороны заказчика.
|
Закажите расчёт стоимости пентеста, просто оставив заявку!
|
Заказать расчёт
|
Результатом проведения пентеста является отчёт, содержащий в себе все найденные уязвимости системы безопасности, а также содержит рекомендации по их устранению (входит в стоимость пентеста).
Общие сведения о проведении пентеста
Тест на проникновение показывает, как будет действовать потенциальный злоумышленник во время кибератаки на организацию. Знание векторов атак даёт возможность подготовиться к ним и снизить негативные последствия.
При проведении пентеста находят и эксплуатируют уязвимости в сетевом оборудовании, средствах защиты информации, серверном, системном, прикладном ПО, узнаёт, насколько актуальны знания сотрудников атакуемой организации в области информационной безопасности. Проведение пентеста даёт заказчикам подробные рекомендации, как можно устранить обнаруженные уязвимости или принять компенсационные меры, и, если необходимо, помогает это сделать.
Регулярные периодические пентесты помогают оценить уровень защищённости информационной системы в динамике (меняются настройки средств защиты, приходят и уходят люди, появляются новые атаки) и ответить на вопрос — «Наша защита стала лучше после того, как мы поставили эту „железку“ за кучу денег?!». Пентестеры выясняют, насколько группа реагирования на инциденты готова противостоять действиям злоумышленника.
Также регулярное тестирование на проникновение — требование PCI DSS и ISO 27001. Согласно этим стандартам пентесты проводятся ежегодно или после существенных изменений в информационной инфраструктуре. Приказы ФСТЭК России № 17, № 21 и № 31 требуют анализировать защищённость информационных систем. Приказ № 21 содержит требование к периодичности — не реже одного раза в 3 года.
