Пентест
Что такое пентест или тестирование на проникновение?
Пентест – это метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника (или другими словами попытка взлома компьютерной сети организации с целью деструктивного воздействия или кражи конфиденциальной информации).
Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Анализ ведётся с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Цель испытаний на проникновение — оценить возможность его осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки.
Кому это нужно?
Пентест нужен всем, кто хочет заранее обезопасить компьютерную систему или сеть от атак черных хакеров.
Что включает в себя пентест?
Пентест показывает реальную картину защищенности компьютерной инфраструктуры заказчика, демонстрирую слабые уязвимые места.
По результатам пентеста Заказчик получает отчет по результатам пентеста, который содержит перечень и описание найденных уязвимостей, степени их критичности и способы их устранения.
Условия проведения работ описываются в договоре между заказчиком и исполнителем.
Какие бывают виды пентеста?
Пентест бывает системы, сетей или веб сайта.
Внутренний пентест — работы проводятся по модели внутреннего злоумышленника, т.е. злонамеренного сотрудника или случайного посетителя с доступом к рабочей станции организации.
Внешний пентест — работы проводятся через Интернет.
Пентест выполняется методами:
- черного ящика — это когда атакующий не имеет каких-либо сведений об атакуемой системе и информации по инфраструктуре организации;
- серого ящика — это когда имеется минимальная информация о системе и об инфраструктуре организации;
- белого ящика – это когда имеется вся необходимая информация для попытки взлома системы и инфраструктуры организации.
Сколько стоит пентест?
Стоимость зависит от множества критериев:
- количество компьютеров и серверов, сетевого и коммуникационного оборудования, систем хранения данных, средства виртуализации, средства защиты информации, виртуальные машины и др.;
- состав используемого общесистемного и прикладного программного обеспечения,
- применяемые технологии и режимы обработки конфиденциальной информации;
- от срочности проведения.
Стоимость пентеста можете узнать отправив запрос на адрес почты mail@centerbit.ru.
Что предлагаем мы?
Мы предлагаем провести пентест Вашей организации под ключ или можно сделать пентест каждой системы, сети (подсети) или веб сайта в отдельности.
В результате вы получите подробный отчет по результатам пентеста с описанием наличия выявленных уязвимостей с подробным описанием способов их устранения.
Как дополнительная опция, мы готовы устранить найденные уязвимости и продемонстрировать их устранение.
Кто может проводить пентест?
Пентест может проводить только лицензиат ФСТЭК России с следующими пунктами (видами) работ в лицензии на техническую защиту конфиденциальной информации:
- б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
- е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).
Указанные пункты в лицензии ФСТЭК являются обязательными для вида деятельности «Пентест».
Лицензионные требования к лицензиату ФСТЭК России предъявляются постановлением Правительства № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
Как выглядит отчет по обследованию пентеста?
Отчет по результатам пентеста выглядит так:
Что содержит отчет о проведении пентеста?
- 1. Общие сведения
- 1.1 Основание и сроки проведения работ
- 1.2 Цель проведения работ
- 1.3 Задачи проведения работ
- 1.4 Состав работ
- 1.5 Описание области работ и объектов тестирования
- 1.6 Модели внутреннего и внешнего нарушителя
- 1.7 Условия проведения пентеста
- 2. Описание результатов пентеста
- 2.1 Отчет по выявленным уязвимостям и степени их критичности
- 3. Детальное описание пентеста
- 3.1 Предложения по устранению выявленных уязвимостей
- 4. Заключение
- Скачать коммерческое предложение на проведение пентеста
- Скачать коммерческое предложение на проведение пентеста