Компания «Лайтигард» оказывает услуги по проведению тестирование на проникновение (пентестов), обследование защищенности внешней и внутренней ИТ инфраструктуры, формирование заключений и отчетов по результатам проведенных обследований и тестов в бумажной и электронной форме согласно соответствующим нормативным требованиям.
Сегодня проведение пентеста требуется согласно положениям Центрального Банка России 382-П, 683-П и 684-П. Последнее постановление требует проведение пентестов не только для банков (кредитных финансовых организаций), но и для некредитных финансовых организациий.
Тест на проникновение помогает обнаружить слабые места в защите корпоративной сети и элементах сетевой инфраструктуры. Услуга пентеста представляет собой анализ внешних и внутренних угроз и уязвимостей с помощью автоматизированных инструментов для проверки возможности проникновения, а также ручных методов взлома, которые применяют злоумышленники
Тестирование на проникновение (пентест, penetration test) включает в себя моделирование действий злоумышленника, направленное на обнаружение уязвимостей информационной безопасности, и как следствие, приводящее к устранению найденных уязвимостей (или ограничению возможностей по эксплуатации найденных уязвимостей) и соответственно к повышению уровня защищенности.
При проведении внешнего пентеста моделируются действия внешнего нарушителя и действия нарушителя предполагаются извне информационной ИТ инфраструктуры.
Проведение внутреннего пентеста осуществляется в целях проверки ИТ инфраструктуры заказчика на наличие уязвимостей внутри. При этом пентестер (лицо, моделирующее действия внутреннего нарушителя) получает доступ внутри с правами рядового пользователя (либо вообще без прав), но с физическим доступом к сети или рабочему месту. При этом внутреннее тестирование может производиться либо удаленно (посредством защищенного подключения), либо с физическим присутствием пентестера на территории Заказчика. На месте проверки для целей тестирования используется либо физический компьютер с установленной системой анализа защищенности, либо виртуальная среда (образ виртуальной машины) с такой же установленной системой анализа защищенности.
Итоговые результаты теста оформляются в виде подробного отчета с описанием уязвимостей, уровня их критичности и рекомендациями по их устранению
Примерное содержание отчета по результатам проведенного пентеста:
1) Методика проведения теста.
2) Выводы для руководства, содержащие общую оценку уровня защищенности.
3) Описание выявленных недостатков СУИБ.
4) Описание хода тестирования с информацией по всем выявленным уязвимостям и результатам их эксплуатации.
5) Рекомендации по устранению выявленных уязвимостей.
6) При оценке критичности обнаруженных уязвимостей может использоваться методика Common Vulnerability Scoring System (CVSS), что позволяет использовать результаты тестирования на проникновения в качественных и количественных методиках анализа риска.
7) Оценки эксперта о реальной возможности эксплуатации тех или иных уязвимостях (наличие той или иной уязвимости не всегда возможно эксплуатировать – особенно для тех условий когда злоумышленник хочет остаться незамеченным)
После окончания работ тестов на проникновение могут проводиться следующие работы:
1) Проектирование и внедрение систем защиты
2) Проектирование и внедрение системы управления уровнем защищенности
3) Мониторинг защищенности периметра корпоративной сети
4) Устранение недостатков по разработанному плану из рекомендаций
Легитимность проведения пентестов (тестирование на проникновение) и обследования защищенности информационной инфраструктуры подтверждены лицензией Федеральной службы по техническому и экспортному контролю (ФСТЭК) России на деятельность по разработке и (или) производству средств защиты конфиденциальной информации.
Любые вопросы по составу и содержанию услуг, предоставляемых компанией «Лайтигард», в области проведения пентестов (тестирование на проникновение) и обследования защищенности информационной инфраструктуры Вы можете задать, заполнив форму обратной связи. Наши специалисты обязательно свяжутся с Вами.
Также Вы можете связаться с нами по телефону или электронной почте.