Тест на проникнення, Пентест (анг. Penetration Testing) – це тип комп’ютерних тестувань безпеки, спрямованих на пошук та виявлення потенційних загроз, недоліків, несправностей (багів, помилок) та вразливостей у захисті електронно-обчислювальних, інформаційних систем. Пентест проводиться лише за згодою власника електронного ресурсу, підтвердженою офіційним документом. В основі тестування на проникнення лежить принцип імітації кібер-атак. Завдання пентестера – спробувати обійти існуючий захист системи, перевірити її на цілісність, стійкість, гнучкість, вразливість, моделюючи справжню загрозу, застосовуючи техніки Білого “Етичного” Хакінгу (Ethical Hacking).
Компанія KR. Laboratories провела більше 10-ти успішних пентестів в різних сферах для різних клієнтів: приватний бізнес, підприємства, комерційні організації, торгові компанії, ІТ індустрія, освітні установи тощо. Сертифіковані пентестери, велика база інструментів та методик дає нам можливість відповідати міжнародним вимогам та гарантувати швидкість і якість проведення пентестів.
Тестування на проникнення діляться на 3 типи:
Тестування на проникнення дозволяє:
Фактично, кожен бізнес, кожна інформаційна і технічна система на сьогодні є потенційно вразливою та вимагає тестування. Щодня виникають десятки, а то й сотні нових кібер-загроз, зокрема вразливості нульового дня, які невідомі самим розробникам (0-Zero Day Vulnerabilities). Тому Тестування на проникнення є своєрідним “щепленням” від майбутніх загроз. Рекомендується регулярно проводити пентести аби бути підготовленим до можливої масованої цілеспрямованої APT-атаки (Advanced Persistent Threat).
OWASP (Open Web Application Security Project) – це міжнародна відкрита спільнота, націлена на поліпшення безпеки програмного забезпечення та електронних ресурсів. Кожен має право брати участь в розвитку методологій OWASP, а усі їх матеріали вільно розповсюджуються. OWASP Testing Guide являє собою найбільш актуальну та пропрацьовану методологію, яка дає не тільки вказівки по тестам на проникнення, але й аналізу веб-додатків в цілому (наприклад – вихідного коду), оскільки ця методика фокусує свою увагу саме на виявлення вразливостей веб-додатків.
OSSTMM (The Open Source Security Testing Methodology Manual) - добре структуризована методологія, містить так-звану "Мапу безпеки" - візуальний показник безпеки. На карті вказуються основні області безпеки, які включають в себе набори елементів, які повинні бути протестовані на відповідність методиці.
NIST (The United States National Institute of Standards and Technology) - методологія з кібербезпеки, розроблена Національним Інститутом Технологій США. Містить рекомендації щодо способів оцінки захищеності, внутрішнього і зовнішнього аудиту, тестування на проникнення, організації процесів безпеки, аналізу результатів, використання результатів аналізу для постійного вдосконалення СУІБ організації. Документ постійно оновлюється і доробляється. Існує кілька версій цього документу, зокрема NIST 800-115 та NIST 800-181.
PTES (Penetration Testing Execution Standard) - дуже якісно та глибинно пропрацьований стандарт проведення тестів на проникнення. Містить цілий ряд рекомендацій, описів, вимог. Фактично у PTES викладені основні ази, принципи та основи пентесту.
ISSAF (Information System Security Assessment Framework) - документ охоплює величезну кількість питань, пов'язаних з інформаційною та кібербезпекою. Присутні глави, що описують оцінку безпеки міжмережевих екранів, маршрутизаторів, антивірусних систем і багато іншого.
BSI (Study A Penetration Testing Model) - методологія з кібербезпеки, розроблена німецьким підрозділом "Federal Office for Information Security". В документі описується проведення тестувань на проникнення та випробувань системи на міцність. Детально описуються усі необхідні вимоги, правові аспекти застосування методології та процедури, які необхідно виконати для успішного проведення пентестів.
PCI DSS (PCI Data Security Standard) - документ, що містить рекомендації і вимоги безпеки з точки зору фінансово-технічних операцій. Документ добре структурований і має обширну теоретичну базу.
Враховуємо усі побажання замовника. Готуємо максимально деталізовані звіти, які включають експертні висновки і рекомендації. Структура оформлена по стандарту, містить лише перевірені факти. Надані інформація чітка та зрозуміла.
Наша робота проходить кілька стадій, сценаріїв та етапів, а тому результати є точними, конкретними, достовірними. Ретельно вивчаємо об'єкт, проводимо експерименти і лабораторний аналіз, випробовуємо різноманітні тактики, техніки та методики.
Є досвід у проведенні пентестів для різноманітних інформаційних систем та платформ: Endpoint, Mobile, Cloud, On-Premise, SCADA, IoT.
Вартість пентесту залежить від багатьох факторів: типу досліджуваного об'єкту (інфраструктура, сервер, додаток чи електронний ресурс), його стану та об'єму, кількості задіяних спеціалістів, тривалості виконання, переліку робіт, обраного формату/сценарію (White/Grey/BlackBox Pentest, Red Team) і методології (PCI-DSS/ISO27001/OWASP/SANS/NIST і т.д). Пентест може бути повністю ручним, автоматичним або напівавтоматичним. Зовнішнім/внутрішнім. Звіт може бути стандартним, розширеним, скороченим, індивідуальним.
До прикладу, середня ціна тестування на проникнення в США та Європі становить: $15 000 - $100 000. В Україні: ~ 30 000 - 100 000 грн. Ми розуміємо, що не усі можуть дозволити собі пентест за такою ціною і не усі усвідомлюють ризики кібербезпеки, яка повинна стати фундаментом та основою основ. Тому ми вирішили зробити послугу тестування загальнодоступною, подібно SEO/SMM чи іншим сервісам, й пропонуємо тестування на проникнення за найнижчою ціною на ІТ-ринку! Окрім того діють знижки і спеціальні тарифи для різних груп осіб, категорій бізнесу. Не вірите? Запитайте ціну у нашого менеджера:
🚀 Ознайомитись з прикладом звіту тестування на проникнення
Ви залишаєте заявку на нашому сайті або інші канали зв’язку й ми опрацьовуємо її. Наш менеджер зв’яжеться з вами для проведення брифу та уточнення усіх питань. Також вам буде надано безкоштовну консультацію щодо проведення пентесту.
Проводимо поверхневий експрес-аудит, що вклює базовий аналіз і діагностику системи. Це робиться для того, аби зрозуміти існуючий стан вашої IT-системи та сформувати цілі, тип і методологію тестування, спрогнозувати об’єм роботи та її вартість.
Беручи до уваги усю зібрану і отриману інформацію, ми формуємо для вас комерційну пропозицію, яка буде містити підбір рішень для вашого проєкту, покроковий план роботи, очікуваний результат і ціноутворення.
Після того як ви затвердили КП, ми укладаємо двосторонній договір. Це юридичний документ, у якому чітко прописані усі умови та правила виконання проєкту, дозвіл власника на проведення пентесту, відповідні доступи, дата-час і терміни виконання, відповідальність, фінансові взаємовідносини та пункт про нерозголошення (NDA). Договір є гарантією нашого професіоналізму та захисту інтересів замовника.
Виконуємо тестування на проникнення у зазначений час та строк. Згідно за обраним фоматом, типом, сценарієм, прописаними у КП та договорі. Пентест проводить спеціаліст або група спеціалістів з відповідними навичками, які пройшли міжнародну сертифікацію. В залежності від складності проєкту, пентест може виконуватися від 7 до 14 днів.
Надаємо структурований звіт в електронному форматі, який міститиме виявлені недоліки і оцінку вразливостей, сценарії їх виявлення, способи експлуатації, застосовані методи, техніки, інструменти, рекомендації щодо усунення вразливостей, підтвердження у вигляді системних журналів, відео, скріншотів, висновки експерта.
Пентест – це атака на об’єкт, аудит – лише аналіз і перевірка. Пентест моделює злам, аудит – збирає дані. Пентест може включати усі техніки і методики аудиту, наприклад сканування і оцінку вразливостей, аудит – не передбачає тестування. Пентестер – це добре підготовлений програміст з навичками хакера, аудитор – це аналітик, який оцінює.
Пентест – це захід, який необхідно проводити хоча би раз на рік. ІТ-інфраструктура – це середовище, яке постійно змінюється, наповнюється інформацією, оновлюється. Щоразу з’являються нові помилки та проблеми безпеки. Баг-хантери регулярно відстежують вразливості нульового дня, що можуть призвести до несанкціонованого доступу і втрати даних. Тому, тестування треба проводити відносно часто. Це не той захід, який зробив і забув.
Усі тестування на проникнення відбуваються лише за попередньою згодою власника. Перед проведенням, зазвичай, обговорюються усі деталі, нюанси і наслідки, обирається формат тестування і його рівень впливу на інфраструктуру. Деякі формати проведення, такі як Red Team, передбачають повне відтворення дій зловмисника, проведення повномасштабної націленої APT-атаки на ресурс. Звичайно, такий вид пентестів може вивести з ладу систему, але власник знає про це і добровільно іде на це, щоби переконатися у критичності недоліків його системи. Ми рекомендуємо у таких випадках проводити комплексне резервне копіювання, або створити дублікат інфраструктури на окремому сервері, який тестуватиметься. У будь-якому випадку, тестування з безпеки принесе вашому бізнесу тільки користь, а не шкоду.
Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!
