Close

Тестування на проникнення

Що таке пентест?

Pentest report exampleТест на проникненняПентест  (анг. Penetration Testing) – це тип комп’ютерних тестувань безпеки, спрямованих на пошук та виявлення потенційних загроз, недоліків, несправностей (багів, помилок) та вразливостей у захисті електронно-обчислювальних, інформаційних систем. Пентест проводиться лише за згодою власника електронного ресурсу, підтвердженою офіційним документом.

В основі тестування на проникнення лежить принцип імітації кібер-атак. Завдання пентестера – спробувати обійти існуючий захист системи, перевірити її на цілісність, стійкість, гнучкість, вразливість, моделюючи справжню загрозу, застосовуючи техніки Білого “Етичного” Хакінгу (Ethical Hacking).

Компанія KR. Laboratories провела більше 10-ти успішних пентестів в різних сферах для різних клієнтів: приватний малий та середній бізнес, підприємства, комерційні організації, торгові компанії (b2b/retail), ІТ індустрія, освітні установи тощо. Сертифіковані пентестери, велика база інструментів та методик дає нам можливість відповідати міжнародним вимогам та гарантувати швидкість і якість проведення пентестів.

Тестування на проникнення діляться на 3 типи:

  1. Black-Box Pentest – це тест на проникнення чорної скриньки. Виконується без будь-яких відомостей про досліджуваний об’єкт. Це найскладніший варіант для пентестерів. Тестери не знають системи і намагаються зламати її, виявляючи вразливості у технічних вузлах і компонентах, збираючи потрібні відомості.
  2. White-Box Pentest – це тест на проникнення білої скриньки. Виконується у повній співпраці із власником досліджуваного об’єкта. При цьому, одна сторона намагається проникнути, а інша – захистити. Тестер має усі необхідні доступи та відомості про систему. Цей вид пентесту дуже схожий на класичний аудит кібербезпеки. 
  3. Grey-Box Pentest –  це тест на проникнення сірої скриньки. Тестер має певні накопичені відомості про досліджуваний об’єкт. Йому також може бути наданий авторизований доступ в систему з обмеженими правами. Пентестер намагатиметься здійснити ескалацію привілеїв, виявляючи вразливості. 

Тестування на проникнення дозволяє:

  • Виявити вразливості та інформаційні витоки на ранніх стадіях, які можуть призвести до серйозних атак, взлому, компрометації системи та знищення даних;
  • Оцінити актуальний рівень захищеності ІТ-системи, продемонструвати наслідки атаки та спрогнозувати можливі економічні, репутаційні втрати і збитки;
  • Провести комплексну оптимізацію кіберзахисту, відповідно до світових вимог і стандартів: COBIT, ITIL, ISO, NIST, MITRE, SANS, PCI-DSS, X.800 та інших;
  • Усунути усі можливі ризики з кібербезпеки на всіх рівнях та зробити ІТ-інфраструктуру більш надійною, ефективною, стійкішою, конкурентоздатною та обороноздатною;
  • Випередити потенційних зловмисників у виявленні та експлуатації недоліків безпеки.
  • Спроєктувати безвідмовну архітектуру кібербезпеки та налагодити в ній усі процеси, підібрати комплексні рішення з кіберзахисту: WAF, IPS/IDS, NGFW тощо;

Фактично, кожен бізнес, кожна інформаційна і технічна система на сьогодні є потенційно вразливою та вимагає тестування. Щодня виникають десятки, а то й сотні нових кібер-загроз, зокрема вразливості нульового дня, які невідомі самим розробникам (0-Zero Day Vulnerabilities). Тому Тестування на проникнення є своєрідним “щепленням” від майбутніх загроз. Рекомендується регулярно проводити пентести аби бути підготовленим до можливої масованої цілеспрямованої APT-атаки (Advanced Persistent Threat).

Фази пентесту

Розвідка

Атака

Звітність

Методології пентесту

OWASP Testing Guide

OWASP (Open Web Application Security Project) – це міжнародна відкрита спільнота, націлена на поліпшення безпеки програмного забезпечення та електронних ресурсів. Кожен має право брати участь в розвитку методологій OWASP, а усі їх матеріали вільно розповсюджуються. OWASP Testing Guide являє собою найбільш актуальну та пропрацьовану методологію, яка дає не тільки вказівки по тестам на проникнення, але й аналізу веб-додатків в цілому (наприклад – вихідного коду), оскільки ця методика фокусує свою увагу саме на виявлення вразливостей веб-додатків.

OSSTMM

OSSTMM (The Open Source Security Testing Methodology Manual) - добре структуризована методологія, містить так-звану "Мапу безпеки" - візуальний показник безпеки. На карті вказуються основні області безпеки, які включають в себе набори елементів, які повинні бути протестовані на відповідність методиці.

NIST

NIST (The United States National Institute of Standards and Technology) - методологія з кібербезпеки, розроблена Національним Інститутом Технологій США. Містить рекомендації щодо способів оцінки захищеності, внутрішнього і зовнішнього аудиту, тестування на проникнення, організації процесів безпеки, аналізу результатів, використання результатів аналізу для постійного вдосконалення СУІБ організації. Документ постійно оновлюється і доробляється. Існує кілька версій цього документу, зокрема NIST 800-115 та NIST 800-181.

PTES

PTES (Penetration Testing Execution Standard) - дуже якісно та глибинно пропрацьований стандарт проведення тестів на проникнення. Містить цілий ряд рекомендацій, описів, вимог. Фактично у PTES викладені основні ази, принципи та основи пентесту.

ISSAF

ISSAF (Information System Security Assessment Framework) - документ охоплює величезну кількість питань, пов'язаних з інформаційною та кібербезпекою. Присутні глави, що описують оцінку безпеки міжмережевих екранів, маршрутизаторів, антивірусних систем і багато іншого.

BSI

BSI (Study A Penetration Testing Model) - методологія з кібербезпеки, розроблена німецьким підрозділом "Federal Office for Information Security". В документі описується проведення тестувань на проникнення та випробувань системи на міцність. Детально описуються усі необхідні вимоги, правові аспекти застосування методології та процедури, які необхідно виконати для успішного проведення пентестів.

PCI-DSS

PCI DSS (PCI Data Security Standard) - документ, що містить рекомендації і вимоги безпеки з точки зору фінансово-технічних операцій. Документ добре структурований і має обширну теоретичну базу.

Які переваги пентесту?

Якість

Враховуємо усі побажання замовника. Готуємо максимально деталізовані звіти, які включають експертні висновки і рекомендації. Структура оформлена по стандарту, містить лише перевірені факти. Надані інформація чітка та зрозуміла.

Методичність

Наша робота проходить кілька стадій, сценаріїв та етапів, а тому результати є точними, конкретними, достовірними. Ретельно вивчаємо об'єкт, проводимо експерименти і лабораторний аналіз, випробовуємо різноманітні тактики, техніки та методики.

Досвідченість

Є досвід у проведенні пентестів різних видів для різноманітних інформаційних систем та платформ: Endpoint, Mobile, Cloud, On-Premise, SCADA, IoT і т.д.

Наші інструменти

Наші сертифікати

Ціна на пентест

Вартість пентесту залежить від багатьох факторів: типу досліджуваного об'єкту (інфраструктура, сервер, додаток чи електронний ресурс), об'єму та кількості перевірок, кількості задіяних штатних спеціалістів, тривалості виконання, формату/сценарію (White/Grey/BlackBox Pentest і т.д.), методології та багатьом іншим факторам. Пентест може бути зовнішнім або внутрішнім, повністю ручним (manual pentest) або автоматичним/напівавтоматичним, виконаним з допомогою DAST/SAST/IAST-сканерів або іншого софту. Звіт з тестування на проникнення теж буває різним: стандартним, розширеним, скороченим, індивідуальним. Детальніше про різні види пентестів ви можете ознайомитись тут.

За статистикою, середня ціна Тестування на проникнення на міжнародному ринку становить: $15 000 - $100 000. В Україні: ~ 30 000 - 100 000 грн. Компанія KR. Laboratories пропонує найнижчі ціни на ринку кібербезпеки, орієнтуючись на український малий та середній бізнес. Ви можете заповнити короткий бриф, щоб отримати індивідуальну комерційну пропозицію.

🚀 Отримати приклад звіту тестування на проникнення

Як ми працюємо?

1 крок

Отримуємо заявку

Ви залишаєте заявку на нашому сайті або інші канали зв'язку й ми опрацьовуємо її. Наш менеджер зв'яжеться з вами, щоб розповісти більше про нашу компанію та поділитися прикладами виконаних робіт. 

2 крок
Бриф

Ми надішлемо вам бриф для заповнення, щоб ми могли проаналізувати надану вами інформацію, сформувати цілі, обрати відповідні тип і методологію пентесту, спрогнозувати терміни виконання роботи та орієнтовну вартість.

3 крок
Формуємо КП

Беручи до уваги усю зібрану і отриману нами інформацію, формуємо комерційну пропозицію у вигляді PDF-документа, що буде містити послугу або перелік рішень для вашого проєкту, разом з описом, кінцевими термінами проведення та вартістю.

4 крок
Укладаємо договір

Ми укладаємо двосторонній договір, у якому прописуються умови співпраці, строки проведення пентесту, підтвердження права власності на сайт/ресурс і дозвіл власника та інші деталі. Окремим є пункт про нерозголошення інформації (NDA).

5 крок
Проводимо пентест

Виконуємо тестування на проникнення згідно договору. Пентест проводить спеціаліст або група спеціалістів з відповідними навичками, які пройшли міжнародну фахову сертифікацію. У середньому, пентест може виконуватися від 7 до 30 днів.

6 крок
Звіт

Замовник отримує деталізований структурований звіт в форматі PDF, який містить повний список перевірок, виявлені вразливості та їх оцінку, сценарії їх виявлення, способи експлуатації, будь-які інші додаткові матеріали, включаючи рекомендації та висновки експерта.

Найчастіші питання

У вартість входить звіт у форматі PDF, який замовник отримує як результат проведеного нами пентесту. Документ містить повний список виконаних тестів та виявлених вразливостей, їх детальний опис з кроками відтворення, скріншотами та іншими супутніми матеріалами, ідентифікацію вразливостей по базам CVE/CWE, оцінку вразливості згідно системи калькуляції CVSSv3, висновок та короткі рекомендації експерта, посилання на документації і джерела.

 

Пентест виконується в середньому від 7 до 30 днів, в залежності від об’єму мережевого периметру – кількості хостів, електронних ресурсів, доменів і субдоменів, IP-адрес, інтерфейсів, компонентів, службових сервісів. Конкретних вимог і поставлених перед нами задач. 

Так. Ми укладаємо 2 договори. Перший – стандартний договір на надання ІТ-послуг (завантажити зразок). Другий – це договір NDA про нерозголошення інформації (завантажити зразок).

Пентест – це атака на об’єкт, аудит – лише аналіз і перевірка. Пентест моделює злам, аудит – збирає дані. Пентест може включати усі техніки і методики аудиту, наприклад сканування і оцінку вразливостей, аудит – не передбачає тестування. Пентестер – це добре підготовлений програміст з навичками хакера, аудитор – це аналітик, який оцінює.

Пентест – це захід, який необхідно проводити хоча би раз на рік. ІТ-інфраструктура – це середовище, яке постійно змінюється, наповнюється інформацією, оновлюється. Щоразу з’являються нові помилки та проблеми безпеки. Баг-хантери регулярно відстежують вразливості нульового дня, що можуть призвести до несанкціонованого доступу і втрати даних. Тому, тестування треба проводити відносно часто. Це не той захід, який зробив і забув.

Усі тестування на проникнення відбуваються лише за попередньою згодою власника. Перед проведенням, зазвичай, обговорюються усі деталі, нюанси і наслідки, обирається формат тестування і його рівень впливу на інфраструктуру. Деякі формати проведення, такі як Red Team, передбачають повне відтворення дій зловмисника, проведення повномасштабної націленої APT-атаки на ресурс. Звичайно, такий вид пентестів може вивести з ладу систему, але власник знає про це і добровільно іде на це, щоби переконатися у критичності недоліків його системи. Ми рекомендуємо у таких випадках проводити комплексне резервне копіювання, або створити дублікат інфраструктури на окремому сервері, який тестуватиметься. У будь-якому випадку, тестування з безпеки принесе вашому бізнесу тільки користь, а не шкоду.

Зв'язатись з нами

Напишіть, обговоримо ваш проєкт.

0
Поставте запитання й отримайте відповідь!x
Замовити консультацію
Отримати комерційну пропозицію
Оформити заявку
Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!