Пен-тест
Пентест (penetration testing) — ряд мероприятий, в которых имитируются потенциальные атаки и действия злоумышленников для обнаружения уязвимостей как на виртуальном уровне (компьютерные атаки), так и на физическом (ручные методы взлома и проникновения).
Пентест заканчивается тогда, когда поставленная задача достигнута или время отведенное на проникновение истекло.
Угрозы информационной безопасности развиваются рука об руку с мерами по ее защите. В наше время уже недостаточно просто иметь систему защиты, какой бы надежной она нам не казалась, так как нельзя всегда быть уверенным насчет направления и масштаба возможных атак. Теперь чтобы опередить злоумышленника, нужно не только думать, но и действовать как злоумышленник для проверки уровня защиты собственной информационной инфраструктуры. Осуществить подобную проверку призвана услуга пентеста.
Цели пентеста
Пентест помогает выявить слабые места в информационной инфраструктуре, которые могут быть использованы злоумышленниками, а также оценить уровень эффективности существующей политики в сфере ИБ.
Помимо этого, пентест — отличный способ проверить готовность специалистов по ИБ к противодействию проникновений.
В задачи пентеста входит:
- Нахождение, анализ и эксплуатирование уязвимостей в информационной инфраструктуре.
- Выдача подробных рекомендаций по устранению обнаруженных уязвимостей и, при необходимости, помогает принять профессиональные меры по их устранению.
Результатом проведения пентеста является отчет, содержащий в себе все найденные уязвимости системы безопасности, а также содержит рекомендации по их устранению
Порядок проведения пентеста
В первую очередь, проводится исследование ИТ-инфраструктуры организации, которое поможет найти правильный подход к проведению пентеста.
Далее проводится интернет-разведка (OSINT-анализ) внешних открытых источников. Боевой OSINT может показать какие данные об организации (логины, пароли, внутренние сервисы и т.д.) хранятся в открытом доступе и доступны абсолютно всем пользователям интернета.
Затем, в рамках заданного срока и модели нарушителя определяются все возможные известные уязвимости, недостатки парольной политики, недостатки и тонкости настроек конфигурации внутренней инфраструктуры организации. Имитируются векторы возможных угроз.
По результатам проведения пентеста выдается подробный отчет с описанием выявленных уязвимостей, уровня их критичности и рекомендациями по их устранению.
Стоимость пентеста
Сформировать единую стоимость для пентеста непросто ввиду индивидуального подхода к каждому заказу. Конечная цена может зависеть от таких факторов как:
- сложности поставленной задачи;
- архитектуры системы;
- сроков;
- щграничений со стороны заказчика.
Для уточнения стоимости пентеста можно всегда получить консультацию у наших специалистов, просто оставьте заявку на нашем сайте.