Close
KR. LABORATORIES
DIGITAL-ЛАБОРАТОРІЯ
ІТ-ТЕХНОЛОГІЙ
UK EN

Тестування на проникнення

Що таке пентест?

Тестування на проникнення або Пентест  (від англ. Penetration Testing) – це тип комп’ютерних тестувань безпеки, спрямованих на пошук та виявлення потенційних загроз, недоліків, несправностей (багів, помилок) та вразливостей у захисті електронно-обчислювальних, інформаційних систем. Пентест проводиться лише за згодою власника електронного ресурсу, підтвердженою двостороннім офіційним документом.

В основі тестування на проникнення лежить принцип імітації кібер-атак. Завдання пентестера – спробувати обійти існуючий захист системи, перевірити її на цілісність, стійкість, гнучкість, вразливість, моделюючи справжню загрозу, застосовуючи техніки Білого “Етичного” Хакінгу (Ethical Hacking).

Тестування на проникнення має ряд переваг, воно дозволяє:

  • Виявити вразливості та інформаційні витоки на ранніх стадіях, які можуть призвести до серйозних атак, взлому, компрометації системи та знищення даних;
  • Оцінити актуальний рівень захищеності ІТ-системи, продемонструвати наслідки атаки та спрогнозувати можливі економічні, репутаційні втрати і збитки;
  • Провести комплексну оптимізацію кіберзахисту, відповідно до світових вимог і стандартів: COBIT, ITIL, ISO, NIST, MITRE, SANS, PCI-DSS, X.800 та інших;
  • Усунути усі можливі ризики з кібербезпеки на всіх рівнях та зробити ІТ-інфраструктуру більш надійною, ефективною, стійкішою, конкурентоздатною та обороноздатною;
  • Спроєктувати безвідмовну архітектуру кібербезпеки та налагодити в ній усі процеси, підібрати комплексні рішення з кіберзахисту: WAF, IPS/IDS, NGFW тощо;

Фактично, кожен бізнес, кожна інформаційна і технічна система на сьогодні є потенційно вразливою та вимагає тестування. Щодня виникають десятки, а то й сотні нових кібер-загроз, зокрема вразливості нульового дня, які невідомі самим розробникам (0-Zero Day Vulnerabilities). Тому Тестування на проникнення є своєрідним “щепленням” від майбутніх загроз. Рекомендується регулярно проводити пентести аби бути підготовленим до можливої масованої цілеспрямованої APT-атаки (Advanced Persistent Threat).

Фази пентесту

Підготовка

Атака

Звітність

Методології тестування на проникнення

OWASP Testing Guide

OWASP (Open Web Application Security Project) – це міжнародна відкрита спільнота, націлена на поліпшення безпеки програмного забезпечення та електронних ресурсів. Кожен має право брати участь в розвитку методологій OWASP, а усі їх матеріали вільно розповсюджуються. OWASP Testing Guide являє собою найбільш актуальну та пропрацьовану методологію, яка дає не тільки вказівки по тестам на проникнення, але й аналізу веб-додатків в цілому (наприклад – вихідного коду), оскільки ця методика фокусує свою увагу саме на виявлення вразливостей веб-додатків.

OSSTMM

OSSTMM (The Open Source Security Testing Methodology Manual) - добре структуризована методологія, містить так-звану "Мапу безпеки" - візуальний показник безпеки. На карті вказуються основні області безпеки, які включають в себе набори елементів, які повинні бути протестовані на відповідність методиці.

NIST

NIST (The United States National Institute of Standards and Technology) - методологія з кібербезпеки, розроблена Національним Інститутом Технологій США. Містить рекомендації щодо способів оцінки захищеності, внутрішнього і зовнішнього аудиту, тестування на проникнення, організації процесів безпеки, аналізу результатів, використання результатів аналізу для постійного вдосконалення СУІБ організації. Документ постійно оновлюється і доробляється. Існує кілька версій цього документу, зокрема NIST 800-115 та NIST 800-181.

PTES

PTES (Penetration Testing Execution Standard) - дуже якісно та глибинно пропрацьований стандарт проведення тестів на проникнення. Містить цілий ряд рекомендацій, описів, вимог. Фактично у PTES викладені основні ази, принципи та основи пентесту.

ISSAF

ISSAF (Information System Security Assessment Framework) - документ охоплює величезну кількість питань, пов'язаних з інформаційною та кібербезпекою. Присутні глави, що описують оцінку безпеки міжмережевих екранів, маршрутизаторів, антивірусних систем і багато іншого.

BSI

BSI (Study A Penetration Testing Model) - методологія з кібербезпеки, розроблена німецьким підрозділом "Federal Office for Information Security". В документі описується проведення тестувань на проникнення та випробувань системи на міцність. Детально описуються усі необхідні вимоги, правові аспекти застосування методології та процедури, які необхідно виконати для успішного проведення пентестів.

PCI-DSS

PCI DSS (PCI Data Security Standard) - документ, що містить рекомендації і вимоги безпеки з точки зору фінансово-технічних операцій. Документ добре структурований і має обширну теоретичну базу.

SANS Top 25

Як ми працюємо?

1

Отримуємо та опрацьовуємо заявку

Ви залишаєте заявку на нашому сайті. Менеджер телефонує або надсилає вам бриф-опитувальник до заповнення.

2

Формуємо комерційну пропозицію

На основі наданої вами інформації, ми формуємо індивідуальну комерційну пропозицію під ваш проєкт, що міститиме покроковий план робіт, терміни виконання та їх вартість.

3

Укладаємо договір

Після того як КП погоджено, укладаємо договір, у якому обома сторонами прописуються усі деталі, нюанси, умови виконання проєкту, а також офіційний дозвіл власника ресурсу на проведення пентесту. 

4

Складаємо технічне завдання

Після того, як договір укладено, ми офіційно приступаємо до проєкту - офіцери кібербезпеки складають детальне технічне завдання (ТЗ) та віддають його на реалізацію пентестерам.

5

Реалізуємо проєкт

Команда фахівців приймає в роботу проєкт і працює згідно погодженого дедлайну. Вся робота відстежується у таск-трекерах. Клієнт може вносити корективи чи зауваження, якщо це передбачено договором.

6

Здаємо проєкт

Після того як проєкт завершено, ми складаємо документ-протокол та передаємо його клієнту у вигляді звіту. У ньому будуть описані всі подробиці та деталі тестування на проникнення.

Наші переваги

Ідейність

Ми - професійні кібер-воїни, українські Red Team'ери, які керуються ідеалами честі, мудрості і справедливості. Захищаємо мережевий периметр на всіх рівнях. Приймаємо будь-які виклики. Наша головна ціль - зробити інтернет більш захищеним, безпечним і доступним. Ми захищаємо українські сайти і додатки від ворожих атак та знешкоджуємо деструктивні сили і елементи. Ми працюємо за покликом серця на благо Батьківщини і Всесвітнього Добра.

Методичність

Системність, наполегливість, методичність - наші козирні "карти". І у цьому нам немає рівних. Ми до всього звикли підходити ґрунтовно, з науково-дослідної точки зору. Спочатку повільно і ретельно вистежуємо та вивчаємо досліджуваний об'єкт, проводимо експерименти і лабораторний аналіз, випробовуємо різноманітні техніки та власні розробки, котрі базуються на кращих світових традиціях кібер- та інформаційної безпеки. Наші результати проходять кілька стадій та етапів перевірок, а тому є точними, конкретними, достовірними.

Досвідченість

У нас є досвід, який не купиш. Ми на своїй "шкурі" відчули, що таке інформаційна війна, що таке загроза, що таке зловживання довірою. Ми пройшли вишкіл численних кіберполігонів, ми досвідчені і натреновані. Кмітливість і винахідливість, критичне мислення, уміння швидко приймати рішення та виходити з надскладних ситуацій - наше "Я". Щоденна праця над собою, духовний та фізичний ріст, самовдосконалення й віддача - роблять нас унікальними, результативними і непереможними кібер-воїнами. На нас завжди можна покластися. Ми Тебе не підведемо!

Наші інструменти

< Тестування проводиться з допомогою авторизованого програмного забезпечення, яке розповсюджується за комерційною або вільною OpenSource ліцензією >

Сертифікати

Замовити пентест

0
Ми любимо ваші думки, будь ласка, прокоментуйте.x
()
x
Оформити заявку
Замовити консультацію

Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!

Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!

Отримати комерційну пропозицію