Для уверенности в защищённости Ваших систем и инфраструктуры необходимо проводить регулярные тесты на проникновение.
Тестирование систем и инфраструктуры на проникновение (penetration test) — анализ защищённости инфраструктуры компании с помощью моделирования действий злоумышленника по проникновению в информационную систему.
Тестирование на проникновение позволяет:
- Обнаружить уязвимость раньше злоумышленника и своевременно принять меры по её исправлению;
- Обнаружить уязвимость раньше злоумышленника и своевременно принять меры по её исправлению;
- Выявить нарушения и несоответствия политикам информационной безопасности.
Тестирование на проникновение подразумевает контролируемый взлом отдельно взятой части Вашей системы.
Цели пентеста:
- Ообнаружение проблем защищённости;
- Принятие своевременных мер.
Тестирование может проводиться по трём сценариям:
- Black box – Тестировщик не обладает знаниями о проверяемой инфраструктуре;
- Grey box – Тестировщик получает доступ обычного пользователя;
- White box – Тестировщик обладает широким набором знаний о вашей инфраструктуре.
Через определённое время после тестирования рекомендуется проводить повторное тестирование с учётом обнаруженных уязвимостей и с применением полученной при первичном тестировании информации для того, чтобы удостовериться что найденные раннее уязвимости более неактуальны.
Тестирование проводится в соответствии с международными стандартами и методологиями проведения тестирования на проникновение:
- ISECOM OSSTMM Open-Source Security Testing Methodology Manual;
- OWASP Testing Guide;
- BSI Penetration Testing Model;
- ISACA IS - P8 Security Assessment - Penetration testing and vulnerability analysis;
- PCI DSS Penetration Testing Requirements;
- PTES Penetration Testing Execution Standard;
- NIST Technical Guide to Information Security Testing and Assessment.
Для того, чтобы гарантировать непредвзятый и конфиденциальный результат работы, мы разделяем наши команды, которые будут оказывать услуги. Пентест проводится отдельной группой профессионалов, не связанной со специалистами, занимающимися разработкой и внедрением СУИБ и управлением средствами киберзащиты.
