Тест на проникнення
Тест на проникнення (Pentesting) – є можливістю оцінити рівень захисту інформаційної системи від незаконного проникнення до неї із мереж загального доступу.
Суть PenTest полягає в тому, щоб виявити недоліки системи безпеки, глянувши на неї очима кіберзлочинця, який зацікавлений у отриманні несанкціонованого доступу до інформаційної системи.
Метою тесту на проникнення, як і у разі реальних атак, є отримання несанкціонованого доступу до облікових записів користувачів та адміністраторів, баз даних, конфіденційної інформації, тощо.
При проведенні тесту на проникнення, залежно від сценарію, кіберфахівці можуть мати різну кількість вихідних даних про інформаційну систему, що вивчається. Від повної відсутності інформації про апаратні та програмні рішення, що використовуються, що забезпечують інформаційну безпеку, до наявності всіх відомостей про її структуру та організацію.
Під час проведення тестування на проникнення, фахівцями фіксуються всі дії з пошуку вразливостей у системі безпеки, що вивчається, а також час та дати, коли проводилися ті чи інші атаки. Всі ці дані також включаються до звіту, що дозволяє провести аналіз ефективності протидії атакам, як автоматизованих систем, так і фахівців, які забезпечують безпеку інформаційної системи.
Навіщо потрібен тест на проникнення?
Проведення тесту на проникнення дозволяє отримати актуальну незалежну оцінку захищеності інформаційної системи від атак ззовні, а також виявити потенційно слабкі місця та вразливість у системі забезпечення інформаційної безпеки. Отримана інформація, дозволяє сформувати список необхідних робіт з покращення захисту та оцінити необхідний для їх проведення бюджет.
Основні етапи тестування на проникнення:
- Тестування проникнення в зовнішню мережу. Ми визначаємо потенційні шляхи мережевої атаки, де доступ може бути отриманий через підключені до Інтернету сервери або мережеве обладнання, особами за межами вашої організації, які не мають відповідних прав або облікових даних. Потім ми проводимо імітаційну атаку, щоб перевірити засоби безпеки, розробивши та надавши вам оцінку кібербезпеки на основі отриманих результатів, а також рішення та рекомендації, які ви можете використати для усунення проблеми.
- Внутрішнє тестування на проникнення в мережу. Внутрішнє тестування розглядає способи та методи, якими співробітники або інсайдери можуть призвести до порушення через недбалість, зловмисний умисел або випадкове завантаження програми, наприклад програм-вимагачів або зловмисних програм, які мають можливість вивести з ладу всю ІТ систему.
- Тестування веб-проникнення. Ми досліджуємо потенційні загрози та вразливості багатьох інтернет-додатків, які використовуються на вашому підприємстві. Зручний доступ із будь-якого місця в усьому світі та так само легко зламаний, веб-програми пропонують важливі точки доступу до даних кредитних карток, клієнтів і фінансових даних.
- Тестування бездротового проникнення. Ми надаємо передовий досвід у низці бездротових технологій, пропонуючи етичні хакерські послуги для дослідження та виявлення потенційних точок доступу, де хакери можуть проникнути у вашу внутрішню мережу. Це включає в себе оцінку загроз і аудит контролю безпеки для традиційних Wi-Fi і спеціалізованих систем.
- Тестування на проникнення соціальної інженерії. Ми оцінюємо співробітників, щоб побачити, наскільки добре вони розуміють політику та практику інформаційної безпеки вашої організації, щоб ви знали, як легко неавторизована сторона може переконати персонал поділитися конфіденційною інформацією. Тестування соціальної інженерії на проникнення може включати точки доступу до бейджів і імітаційні фішингові атаки або запити на оновлення пароля.
Результат тестування на проникнення (PenTesting)
Результатом тесту на проникнення є звіт, який містить дані про всі виявлені вразливості та недоліки системи безпеки, які можуть використовуватися для отримання несанкціонованого доступу до інформаційної системи. Також, за підсумками тесту надається лог, у якому відзначені всі атаки на систему з фіксацією часу їх проведення для подальшого аналізу всередині компанії.