Что такое пентест?
Пентест (penetration testing) — ряд мероприятий, в которых имитируются потенциальные атаки и действия злоумышленников для обнаружения уязвимостей как на виртуальном уровне (компьютерные атаки), так и на физическом (ручные методы взлома и проникновения).
Пентест заканчивается тогда, когда поставленная задача достигнута или время отведенное на проникновение истекло.Угрозы информационной безопасности развиваются рука об руку с мерами по ее защите. В наше время уже недостаточно просто иметь систему защиты, какой бы надежной она нам не казалась, так как нельзя всегда быть уверенным насчет направления и масштаба возможных атак. Теперь чтобы опередить злоумышленника, нужно не только думать, но и действовать как злоумышленник для проверки уровня защиты собственной информационной инфраструктуры. Осуществить подобную проверку призвана услуга пентеста.
Цели пентеста
Пентест помогает выявить слабые места в информационной инфраструктуре, которые могут быть использованы злоумышленниками, а также оценить уровень эффективности существующей политики в сфере ИБ. Помимо этого, пентест — отличный способ проверить готовность специалистов по ИБ к противодействию проникновений.
В задачи пентеста входит:
- Нахождение, анализ и эксплуатирование уязвимостей в информационной инфраструктуре.
- Выдача подробных рекомендаций по устранению обнаруженных уязвимостей и, при необходимости, помогает принять профессиональные меры по их устранению.
Тестирование на проникновение регламентируются требованиями международных стандартов по информационной безопасности PCI DSS и ISO 27001, согласно которым пентест проводится ежегодно или после существенных изменений в информационной инфраструктуре.
Также приказы ФСТЭК России № 17, № 21 и № 31 требуют анализировать защищенность информационных систем раз в 3 года или чаще.
|
Что бы заказать пентест, просто оставьте заявку!
|
Заказать услугу
|
Результатом проведения пентеста является отчёт, содержащий в себе все найденные уязвимости системы безопасности, а также содержит рекомендации по их устранению (входит в стоимость пентеста).
Порядок проведения пентеста
В первую очередь, проводится исследование ИТ-инфраструктуры организации, которое поможет найти правильный подход к проведению пентеста.
Далее проводится интернет-разведка (OSINT-анализ) внешних открытых источников. Боевой OSINT может показать какие данные об организации (логины, пароли, внутренние сервисы и т.д.) хранятся в открытом доступе и доступны абсолютно всем пользователям интернета.
Затем, в рамках заданного срока и модели нарушителя определяются все возможные известные уязвимости, недостатки парольной политики, недостатки и тонкости настроек конфигурации внутренней инфраструктуры организации. Имитируются векторы возможных угроз.
По результатам проведения пентеста выдается подробный отчет с описанием выявленных уязвимостей, уровня их критичности и рекомендациями по их устранению.
Стоимость пентеста
Сформировать единую стоимость для пентеста непросто ввиду индивидуального подхода к каждому заказу. Конечная цена может зависеть от таких факторов как:
- Сложности поставленной задачи;
- Архитектуры системы;
- Сроков;
- Ограничений со стороны заказчика;
Для уточнения стоимости пентеста можно всегда получить консультацию у наших специалистов, просто оставьте заявку на нашем сайте.
Астрал. Безопасность” подберет индивидуальное решение по проведению пентеста Вашей организации.
- Проведем интернет-разведку по вашей компании по открытым источникам.
- Проведем тестирование внешних веб-ресурсов, а также внутренней инфраструктуры.
- Покажем возможные бизнес-риски при успешной атаке злоумышленников.
- Найдем максимально возможное число уязвимостей и векторов атак за ограниченный промежуток времени.
- Предоставим отчет по выполнению пентеста и рекомендации по исправлению уязвимостей.
Системный интегратор в области ИБ
Более 15 лет обеспечиваем безопасность информационных систем различного уровня сложности.
Подключимся на любом этапе
Выполняем проекты по защите ИСПДн любой сложности «под ключ», либо подключимся к проекту в нужный момент.
Интеграция в систему
Доработаем вашу имеющуюся систему защиты персональных данных в соответствии с актуальными требованиями законодательства.
Аудит существующей системы
Проведем обследование вашей системы, организационно-распорядительной документации, дадим рекомендации по доработке системы.
Лицензии ФСБ и ФСТЭК России
Имеем соответствующие лицензии подтверждающие нашу квалификацию.
Импортозамещение
Участвуем в государственной программе по импортозамещению, поставляем и настраиваем сертифицированное ПО и “железо”.
Экспертная поддержка
Окажем поддержку по любому техническому вопросу. Отвечаем по телефону и почте.
