Close

Тестування на проникнення

Що таке пентест?

Pentest report exampleТест на проникненняПентест  (анг. Penetration Testing) – це тип комп’ютерних тестувань безпеки, спрямованих на пошук та виявлення потенційних загроз, недоліків, несправностей (багів, помилок) та вразливостей у захисті електронно-обчислювальних, інформаційних систем. Пентест проводиться лише за згодою власника електронного ресурсу, підтвердженою офіційним документом. В основі тестування на проникнення лежить принцип імітації кібер-атак. Завдання пентестера – спробувати обійти існуючий захист системи, перевірити її на цілісність, стійкість, гнучкість, вразливість, моделюючи справжню загрозу, застосовуючи техніки Білого “Етичного” Хакінгу (Ethical Hacking).

Компанія KR. Laboratories провела більше 10-ти успішних пентестів в різних сферах для різних клієнтів: приватний малий та середній бізнес, підприємства, комерційні організації, торгові компанії (b2b/retail), ІТ індустрія, освітні установи тощо. Сертифіковані пентестери, велика база інструментів та методик дає нам можливість відповідати міжнародним вимогам та гарантувати швидкість і якість проведення пентестів.

Тестування на проникнення діляться на 3 типи:

  1. Black-Box Pentest – це тест на проникнення чорної скриньки. Виконується без будь-яких відомостей про досліджуваний об’єкт. Це найскладніший варіант для пентестерів. Тестери не знають системи і намагаються зламати її, виявляючи вразливості у технічних вузлах і компонентах, збираючи потрібні відомості.
  2. White-Box Pentest – це тест на проникнення білої скриньки. Виконується у повній співпраці із власником досліджуваного об’єкта. При цьому, одна сторона намагається проникнути, а інша – захистити. Тестер має усі необхідні доступи та відомості про систему. Цей вид пентесту дуже схожий на класичний аудит кібербезпеки. 
  3. Grey-Box Pentest –  це тест на проникнення сірої скриньки. Тестер має певні накопичені відомості про досліджуваний об’єкт. Йому також може бути наданий авторизований доступ в систему з обмеженими правами. Пентестер намагатиметься здійснити ескалацію привілеїв, виявляючи вразливості. 

Тестування на проникнення дозволяє:

  • Виявити вразливості та інформаційні витоки на ранніх стадіях, які можуть призвести до серйозних атак, взлому, компрометації системи та знищення даних;
  • Оцінити актуальний рівень захищеності ІТ-системи, продемонструвати наслідки атаки та спрогнозувати можливі економічні, репутаційні втрати і збитки;
  • Провести комплексну оптимізацію кіберзахисту, відповідно до світових вимог і стандартів: COBIT, ITIL, ISO, NIST, MITRE, SANS, PCI-DSS, X.800 та інших;
  • Усунути усі можливі ризики з кібербезпеки на всіх рівнях та зробити ІТ-інфраструктуру більш надійною, ефективною, стійкішою, конкурентоздатною та обороноздатною;
  • Випередити потенційних зловмисників у виявленні та експлуатації недоліків безпеки.
  • Спроєктувати безвідмовну архітектуру кібербезпеки та налагодити в ній усі процеси, підібрати комплексні рішення з кіберзахисту: WAF, IPS/IDS, NGFW тощо;

Фактично, кожен бізнес, кожна інформаційна і технічна система на сьогодні є потенційно вразливою та вимагає тестування. Щодня виникають десятки, а то й сотні нових кібер-загроз, зокрема вразливості нульового дня, які невідомі самим розробникам (0-Zero Day Vulnerabilities). Тому Тестування на проникнення є своєрідним “щепленням” від майбутніх загроз. Рекомендується регулярно проводити пентести аби бути підготовленим до можливої масованої цілеспрямованої APT-атаки (Advanced Persistent Threat).

Фази пентесту

Розвідка

Атака

Звітність

Методології тестування на проникнення

OWASP Testing Guide

OWASP (Open Web Application Security Project) – це міжнародна відкрита спільнота, націлена на поліпшення безпеки програмного забезпечення та електронних ресурсів. Кожен має право брати участь в розвитку методологій OWASP, а усі їх матеріали вільно розповсюджуються. OWASP Testing Guide являє собою найбільш актуальну та пропрацьовану методологію, яка дає не тільки вказівки по тестам на проникнення, але й аналізу веб-додатків в цілому (наприклад – вихідного коду), оскільки ця методика фокусує свою увагу саме на виявлення вразливостей веб-додатків.

OSSTMM

OSSTMM (The Open Source Security Testing Methodology Manual) - добре структуризована методологія, містить так-звану "Мапу безпеки" - візуальний показник безпеки. На карті вказуються основні області безпеки, які включають в себе набори елементів, які повинні бути протестовані на відповідність методиці.

NIST

NIST (The United States National Institute of Standards and Technology) - методологія з кібербезпеки, розроблена Національним Інститутом Технологій США. Містить рекомендації щодо способів оцінки захищеності, внутрішнього і зовнішнього аудиту, тестування на проникнення, організації процесів безпеки, аналізу результатів, використання результатів аналізу для постійного вдосконалення СУІБ організації. Документ постійно оновлюється і доробляється. Існує кілька версій цього документу, зокрема NIST 800-115 та NIST 800-181.

PTES

PTES (Penetration Testing Execution Standard) - дуже якісно та глибинно пропрацьований стандарт проведення тестів на проникнення. Містить цілий ряд рекомендацій, описів, вимог. Фактично у PTES викладені основні ази, принципи та основи пентесту.

ISSAF

ISSAF (Information System Security Assessment Framework) - документ охоплює величезну кількість питань, пов'язаних з інформаційною та кібербезпекою. Присутні глави, що описують оцінку безпеки міжмережевих екранів, маршрутизаторів, антивірусних систем і багато іншого.

BSI

BSI (Study A Penetration Testing Model) - методологія з кібербезпеки, розроблена німецьким підрозділом "Federal Office for Information Security". В документі описується проведення тестувань на проникнення та випробувань системи на міцність. Детально описуються усі необхідні вимоги, правові аспекти застосування методології та процедури, які необхідно виконати для успішного проведення пентестів.

PCI-DSS

PCI DSS (PCI Data Security Standard) - документ, що містить рекомендації і вимоги безпеки з точки зору фінансово-технічних операцій. Документ добре структурований і має обширну теоретичну базу.

Переваги пентесту

Якість

Враховуємо усі побажання замовника. Готуємо максимально деталізовані звіти, які включають експертні висновки і рекомендації. Структура оформлена по стандарту, містить лише перевірені факти. Надані інформація чітка та зрозуміла.

Методичність

Наша робота проходить кілька стадій, сценаріїв та етапів, а тому результати є точними, конкретними, достовірними. Ретельно вивчаємо об'єкт, проводимо експерименти і лабораторний аналіз, випробовуємо різноманітні тактики, техніки та методики.

Досвідченість

Є досвід у проведенні пентестів різних видів для різноманітних інформаційних систем та платформ: Endpoint, Mobile, Cloud, On-Premise, SCADA, IoT і т.д.

Наші інструменти

Наші сертифікати

Ціна на пентест

Вартість пентесту залежить від багатьох факторів: типу досліджуваного об'єкту (інфраструктура, сервер, додаток чи електронний ресурс), об'єму та кількості перевірок, кількості задіяних штатних спеціалістів, тривалості виконання, формату/сценарію (White/Grey/BlackBox Pentest і т.д.), методології (PCI-DSS/ISO27001/OWASP/SANS/NIST) та багатьом іншим факторам. Пентест може бути зовнішнім або внутрішнім, повністю ручним (manual pentest) або автоматичним/напівавтоматичним, виконаним з допомогою DAST/SAST/IAST-сканерів або іншого софту. Звіт з тестування на проникнення теж буває різним: стандартним, розширеним, скороченим, індивідуальним. Детальніше про різні види пентестів ви можете ознайомитись тут.

За статистикою, середня ціна Тестування на проникнення на міжнародному ринку становить: $15 000 - $100 000. В Україні: ~ 30 000 - 100 000 грн. Компанія KR. Laboratories пропонує найнижчі ціни на послуги кібербезпеки, орієнтуючись на середньостатистичного користувача, український малий та середній бізнес. Ви можете заповнити короткий бриф, щоб отримати індивідуальну комерційну пропозицію.

🚀 Отримати приклад звіту тестування на проникнення

Як ми працюємо?

1 крок

Отримуємо заявку

Ви залишаєте заявку на нашому сайті або інші канали зв’язку й ми опрацьовуємо її. Наш менеджер зв’яжеться з вами, щоб розповісти більше про нашу компанію та поділитися прикладами виконаних робіт. 

2 крок

ЗАПОВНЮЄТЕ БРИФ

Ми надішлемо вам бриф для заповнення, щоб ми могли проаналізувати надану вами інформацію, сформувати цілі, обрати відповідні тип і методологію пентесту, спрогнозувати терміни виконання роботи та орієнтовну вартість.

3 крок

Формуємо КП

Беручи до уваги усю зібрану і отриману нами інформацію, формуємо комерційну пропозицію у вигляді PDF-документа, що буде містити послугу або перелік рішень для вашого проєкту, разом з описом, кінцевими термінами проведення та вартістю.

4 крок

Укладаємо договір

Ми укладаємо двосторонній договір, у якому прописуються умови співпраці, строки проведення пентесту, підтвердження права власності на сайт/ресурс і дозвіл власника та інші деталі. Окремим є пункт про нерозголошення інформації (NDA).

5 крок

Проводимо пентест

Виконуємо тестування на проникнення згідно договору. Пентест проводить спеціаліст або група спеціалістів з відповідними навичками, які пройшли міжнародну фахову сертифікацію. У середньому, пентест може виконуватися від 7 до 30 днів.

6 крок

ЗВІТУЄМО

Замовник отримує деталізований структурований звіт в форматі PDF, який містить повний список перевірок, виявлені вразливості та їх оцінку, сценарії їх виявлення, способи експлуатації, будь-які інші додаткові матеріали, включаючи рекомендації та висновки експерта.

Найчастіші питання

У вартість входить звіт у форматі PDF, який замовник отримує як результат проведеного нами пентесту. Документ містить повний список виконаних тестів та виявлених вразливостей, їх детальний опис з кроками відтворення, скріншотами та іншими супутніми матеріалами, ідентифікацію вразливостей по базам CVE/CWE, оцінку вразливості згідно системи калькуляції CVSSv3, висновок та короткі рекомендації експерта, посилання на документації і джерела.

 

Пентест виконується в середньому від 7 до 30 днів, в залежності від об’єму мережевого периметру – кількості хостів, електронних ресурсів, доменів і субдоменів, IP-адрес, інтерфейсів, компонентів, службових сервісів. Конкретних вимог і поставлених перед нами задач. 

Так. Ми укладаємо 2 договори. Перший – стандартний договір на надання ІТ-послуг (завантажити зразок). Другий – це договір NDA про нерозголошення інформації (завантажити зразок).

Пентест – це атака на об’єкт, аудит – лише аналіз і перевірка. Пентест моделює злам, аудит – збирає дані. Пентест може включати усі техніки і методики аудиту, наприклад сканування і оцінку вразливостей, аудит – не передбачає тестування. Пентестер – це добре підготовлений програміст з навичками хакера, аудитор – це аналітик, який оцінює.

Пентест – це захід, який необхідно проводити хоча би раз на рік. ІТ-інфраструктура – це середовище, яке постійно змінюється, наповнюється інформацією, оновлюється. Щоразу з’являються нові помилки та проблеми безпеки. Баг-хантери регулярно відстежують вразливості нульового дня, що можуть призвести до несанкціонованого доступу і втрати даних. Тому, тестування треба проводити відносно часто. Це не той захід, який зробив і забув.

Усі тестування на проникнення відбуваються лише за попередньою згодою власника. Перед проведенням, зазвичай, обговорюються усі деталі, нюанси і наслідки, обирається формат тестування і його рівень впливу на інфраструктуру. Деякі формати проведення, такі як Red Team, передбачають повне відтворення дій зловмисника, проведення повномасштабної націленої APT-атаки на ресурс. Звичайно, такий вид пентестів може вивести з ладу систему, але власник знає про це і добровільно іде на це, щоби переконатися у критичності недоліків його системи. Ми рекомендуємо у таких випадках проводити комплексне резервне копіювання, або створити дублікат інфраструктури на окремому сервері, який тестуватиметься. У будь-якому випадку, тестування з безпеки принесе вашому бізнесу тільки користь, а не шкоду.

Замовити пентест

0
Цікаво почути Вашу думку!x
Оформити заявку
Отримати комерційну пропозицію
Замовити консультацію

Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!

Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!