Тест на проникнення, Пентест (анг. Penetration Testing) – це тип комп’ютерних тестувань безпеки, спрямованих на пошук та виявлення потенційних загроз, недоліків, несправностей (багів, помилок) та вразливостей у захисті електронно-обчислювальних, інформаційних систем. Пентест проводиться лише за згодою власника електронного ресурсу, підтвердженою офіційним документом. В основі тестування на проникнення лежить принцип імітації кібер-атак. Завдання пентестера – спробувати обійти існуючий захист системи, перевірити її на цілісність, стійкість, гнучкість, вразливість, моделюючи справжню загрозу, застосовуючи техніки Білого “Етичного” Хакінгу (Ethical Hacking).
Компанія KR. Laboratories провела більше 10-ти успішних пентестів в різних сферах для різних клієнтів: приватний малий та середній бізнес, підприємства, комерційні організації, торгові компанії (b2b/retail), ІТ індустрія, освітні установи тощо. Сертифіковані пентестери, велика база інструментів та методик дає нам можливість відповідати міжнародним вимогам та гарантувати швидкість і якість проведення пентестів.
Тестування на проникнення діляться на 3 типи:
Тестування на проникнення дозволяє:
Фактично, кожен бізнес, кожна інформаційна і технічна система на сьогодні є потенційно вразливою та вимагає тестування. Щодня виникають десятки, а то й сотні нових кібер-загроз, зокрема вразливості нульового дня, які невідомі самим розробникам (0-Zero Day Vulnerabilities). Тому Тестування на проникнення є своєрідним “щепленням” від майбутніх загроз. Рекомендується регулярно проводити пентести аби бути підготовленим до можливої масованої цілеспрямованої APT-атаки (Advanced Persistent Threat).
OWASP (Open Web Application Security Project) – це міжнародна відкрита спільнота, націлена на поліпшення безпеки програмного забезпечення та електронних ресурсів. Кожен має право брати участь в розвитку методологій OWASP, а усі їх матеріали вільно розповсюджуються. OWASP Testing Guide являє собою найбільш актуальну та пропрацьовану методологію, яка дає не тільки вказівки по тестам на проникнення, але й аналізу веб-додатків в цілому (наприклад – вихідного коду), оскільки ця методика фокусує свою увагу саме на виявлення вразливостей веб-додатків.
OSSTMM (The Open Source Security Testing Methodology Manual) - добре структуризована методологія, містить так-звану "Мапу безпеки" - візуальний показник безпеки. На карті вказуються основні області безпеки, які включають в себе набори елементів, які повинні бути протестовані на відповідність методиці.
NIST (The United States National Institute of Standards and Technology) - методологія з кібербезпеки, розроблена Національним Інститутом Технологій США. Містить рекомендації щодо способів оцінки захищеності, внутрішнього і зовнішнього аудиту, тестування на проникнення, організації процесів безпеки, аналізу результатів, використання результатів аналізу для постійного вдосконалення СУІБ організації. Документ постійно оновлюється і доробляється. Існує кілька версій цього документу, зокрема NIST 800-115 та NIST 800-181.
PTES (Penetration Testing Execution Standard) - дуже якісно та глибинно пропрацьований стандарт проведення тестів на проникнення. Містить цілий ряд рекомендацій, описів, вимог. Фактично у PTES викладені основні ази, принципи та основи пентесту.
ISSAF (Information System Security Assessment Framework) - документ охоплює величезну кількість питань, пов'язаних з інформаційною та кібербезпекою. Присутні глави, що описують оцінку безпеки міжмережевих екранів, маршрутизаторів, антивірусних систем і багато іншого.
BSI (Study A Penetration Testing Model) - методологія з кібербезпеки, розроблена німецьким підрозділом "Federal Office for Information Security". В документі описується проведення тестувань на проникнення та випробувань системи на міцність. Детально описуються усі необхідні вимоги, правові аспекти застосування методології та процедури, які необхідно виконати для успішного проведення пентестів.
PCI DSS (PCI Data Security Standard) - документ, що містить рекомендації і вимоги безпеки з точки зору фінансово-технічних операцій. Документ добре структурований і має обширну теоретичну базу.
Враховуємо усі побажання замовника. Готуємо максимально деталізовані звіти, які включають експертні висновки і рекомендації. Структура оформлена по стандарту, містить лише перевірені факти. Надані інформація чітка та зрозуміла.
Наша робота проходить кілька стадій, сценаріїв та етапів, а тому результати є точними, конкретними, достовірними. Ретельно вивчаємо об'єкт, проводимо експерименти і лабораторний аналіз, випробовуємо різноманітні тактики, техніки та методики.
Є досвід у проведенні пентестів різних видів для різноманітних інформаційних систем та платформ: Endpoint, Mobile, Cloud, On-Premise, SCADA, IoT і т.д.
Вартість пентесту залежить від багатьох факторів: типу досліджуваного об'єкту (інфраструктура, сервер, додаток чи електронний ресурс), об'єму та кількості перевірок, кількості задіяних штатних спеціалістів, тривалості виконання, формату/сценарію (White/Grey/BlackBox Pentest і т.д.), методології (PCI-DSS/ISO27001/OWASP/SANS/NIST) та багатьом іншим факторам. Пентест може бути зовнішнім або внутрішнім, повністю ручним (manual pentest) або автоматичним/напівавтоматичним, виконаним з допомогою DAST/SAST/IAST-сканерів або іншого софту. Звіт з тестування на проникнення теж буває різним: стандартним, розширеним, скороченим, індивідуальним. Детальніше про різні види пентестів ви можете ознайомитись тут.
За статистикою, середня ціна Тестування на проникнення на міжнародному ринку становить: $15 000 - $100 000. В Україні: ~ 30 000 - 100 000 грн. Компанія KR. Laboratories пропонує найнижчі ціни на послуги кібербезпеки, орієнтуючись на середньостатистичного користувача, український малий та середній бізнес. Ви можете заповнити короткий бриф, щоб отримати індивідуальну комерційну пропозицію.
🚀 Отримати приклад звіту тестування на проникнення
Ви залишаєте заявку на нашому сайті або інші канали зв’язку й ми опрацьовуємо її. Наш менеджер зв’яжеться з вами, щоб розповісти більше про нашу компанію та поділитися прикладами виконаних робіт.
Ми надішлемо вам бриф для заповнення, щоб ми могли проаналізувати надану вами інформацію, сформувати цілі, обрати відповідні тип і методологію пентесту, спрогнозувати терміни виконання роботи та орієнтовну вартість.
Беручи до уваги усю зібрану і отриману нами інформацію, формуємо комерційну пропозицію у вигляді PDF-документа, що буде містити послугу або перелік рішень для вашого проєкту, разом з описом, кінцевими термінами проведення та вартістю.
Ми укладаємо двосторонній договір, у якому прописуються умови співпраці, строки проведення пентесту, підтвердження права власності на сайт/ресурс і дозвіл власника та інші деталі. Окремим є пункт про нерозголошення інформації (NDA).
Виконуємо тестування на проникнення згідно договору. Пентест проводить спеціаліст або група спеціалістів з відповідними навичками, які пройшли міжнародну фахову сертифікацію. У середньому, пентест може виконуватися від 7 до 30 днів.
Замовник отримує деталізований структурований звіт в форматі PDF, який містить повний список перевірок, виявлені вразливості та їх оцінку, сценарії їх виявлення, способи експлуатації, будь-які інші додаткові матеріали, включаючи рекомендації та висновки експерта.
У вартість входить звіт у форматі PDF, який замовник отримує як результат проведеного нами пентесту. Документ містить повний список виконаних тестів та виявлених вразливостей, їх детальний опис з кроками відтворення, скріншотами та іншими супутніми матеріалами, ідентифікацію вразливостей по базам CVE/CWE, оцінку вразливості згідно системи калькуляції CVSSv3, висновок та короткі рекомендації експерта, посилання на документації і джерела.
Пентест виконується в середньому від 7 до 30 днів, в залежності від об’єму мережевого периметру – кількості хостів, електронних ресурсів, доменів і субдоменів, IP-адрес, інтерфейсів, компонентів, службових сервісів. Конкретних вимог і поставлених перед нами задач.
Так. Ми укладаємо 2 договори. Перший – стандартний договір на надання ІТ-послуг (завантажити зразок). Другий – це договір NDA про нерозголошення інформації (завантажити зразок).
Пентест – це атака на об’єкт, аудит – лише аналіз і перевірка. Пентест моделює злам, аудит – збирає дані. Пентест може включати усі техніки і методики аудиту, наприклад сканування і оцінку вразливостей, аудит – не передбачає тестування. Пентестер – це добре підготовлений програміст з навичками хакера, аудитор – це аналітик, який оцінює.
Пентест – це захід, який необхідно проводити хоча би раз на рік. ІТ-інфраструктура – це середовище, яке постійно змінюється, наповнюється інформацією, оновлюється. Щоразу з’являються нові помилки та проблеми безпеки. Баг-хантери регулярно відстежують вразливості нульового дня, що можуть призвести до несанкціонованого доступу і втрати даних. Тому, тестування треба проводити відносно часто. Це не той захід, який зробив і забув.
Усі тестування на проникнення відбуваються лише за попередньою згодою власника. Перед проведенням, зазвичай, обговорюються усі деталі, нюанси і наслідки, обирається формат тестування і його рівень впливу на інфраструктуру. Деякі формати проведення, такі як Red Team, передбачають повне відтворення дій зловмисника, проведення повномасштабної націленої APT-атаки на ресурс. Звичайно, такий вид пентестів може вивести з ладу систему, але власник знає про це і добровільно іде на це, щоби переконатися у критичності недоліків його системи. Ми рекомендуємо у таких випадках проводити комплексне резервне копіювання, або створити дублікат інфраструктури на окремому сервері, який тестуватиметься. У будь-якому випадку, тестування з безпеки принесе вашому бізнесу тільки користь, а не шкоду.
Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!
