Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Illustration

Ми, звісно, жартуємо та знаємо як запобігти такій ситуації

Image placeholder

Тестування на проникнення

Тестування на проникнення запобігає економічним та репутаційним втратам шляхом перевірки або побудови ефективного інформаційного захисту компанії.

У ході тестування виконується виявлення та перевірка вразливостей у системі, які могли виникнути через програмні та технічні помилки, неправильні налаштування, операційні недоліки тощо. Також тестування дозволяє наочно продемонструвати актуальність виявлених уразливостей та значимість потенційного збитку для компанії-замовника.


Результати, які ви отримаєте, замовивши послугу тестування на проникнення

    Узагальнена інформація про поточний рівень захищеності ІТ-систем
    Список виявлених сервісів і компонентів
    Перелік виявлених та оцінених уразливостей (рівень ризику) ІТ-систем
    Перевірка можливості експлуатації вразливих робочих додатків
    Рекомендації для усунення виявлених уразливостей
    Розуміння шляхів та пріоритетів для покращення безпеки додатку

Етапи тестування на проникнення

1

Ініціалізація

Результати етапу:● Сформована та затверджена робоча група● Визначені та затверджені область дії та параметри тестування, можливі ризики та обмеження, план-графік проведення робіт, регламент комунікацій

2

Збір даних із відкритих джерел інформації (пасивний збір інформації)

Результати етапу:Виконано не інтерактивне дослідження інфраструктури, що підлягає тестуванню. З відкритих джерел зібрана та систематизована інформація щодо цієї інфраструктури. Виконана підготовка до етапу активного збору інформації.

3

Активний збір інформації

Інструментальний аналіз захищеності зовнішнього периметру по діапазону IP-адрес:● Виявлення ресурсів● Виявлення вразливостей● Аналіз уразливостей● Здійснення доступу (перевірка вразливостей)

4

Аналіз результатів та розробка звіту

Результати етапу:Задокументований звіт, що містить виявлені вразливості, результати та докази перевірки актуальності вразливостей, а також рекомендації щодо управління ризиками, що пов’язані з виявленими вразливостями.

5

Демонстрація та обговорення результатів


Типи тестування на проникнення

Illustration

Зовнішнє і внутрішнє тестування

Тестування моделює дії зловмисника, який має доступ до внутрішньої мережі компанії, і дозволяє виявити, наскільки потенційний зловмисник може нашкодити ІТ інфраструктурі.

● Збір усієї інформації про область дії тестування, використовуючи методи OSINT (Open Source Intelligence)● Використання автоматизованих систем збору інформації, сканерів, інвазійних методів розвідки● Імітація діяльності порушника інструментами експуатації вразливостей (експлойти), техніки здійснення атак та інші дії● Підвищення привілеїв, виявлення можливості розширення поверхні атаки, отримання доступу до даних інших користувачів, закріплення в системі ● Звіт, що містить безпосередню оцінку безпеки, оцінки ризиків та вразливостей, рекомендації щодо їх усунення

Illustration

Тестування захищеності вебзастосунків

Тестування захищеності веб-додатків - це симуляція атаки нашими висококваліфікованими консультантами з питань безпеки.

● Мануальне тестування за методами та інструментами OWASP● Серія автоматизованих сканувань вразливостей● Негайне повідомлення про будь-які критичні вразливості● Оцінка рівня ризику для вашої організації● Детальний звіт, який ідентифікує та пояснює вразливості (оцінюється за порядком значимості)● Список рекомендованих контрзаходів для усунення виявлених уразливостей

Illustration

Тестування захищеності мобільних застосунків

Тестування безпеки мобільних додатків — це глибокий аналіз безпеки вашого застосунку на пристроях, таких як телефон або планшет. Наша команда використовує ручне тестування, виконане досвідченими фахівцями в галузі безпеки. Цей підхід дозволяє виявити значно більше потенційних проблем, порівняно з автоматизованими тестами.

● Аналіз мобільного додатка, використовуючи OWASP Mobile Top 10 у поєднанні з власними методологіями тестування● Виявлення помилок коду, програмного забезпечення, конфігурацій служб, небезпечних налаштувань та недоліків операційної системи ● Підсумовування результатів тестування та звіт

Illustration

Тестування захищеності бездротових мереж

Тестування на проникнення бездротових мереж проводиться з метою виявлення вразливостей у поточній архітектурі бездротового сегмента інформаційної системи й окремих компонентів цієї архітектури; дозволяє виявити вразливості, доступні для використання в бездротових мережах, системах, хостах і мережевих пристроях, перш ніж хакери зможуть їх виявити.

● Розвідка бездротових мереж замовника● Детальне вивчення характеристик і особливостей● Проведення атак на автентифікацію та авторизацію в мережах● Проведення атак на апаратне забезпечення мереж● Проведення атак на клієнтів мереж

Illustration

Тестування методом соціальної інженерії

Тестування на проникнення соціальним каналом призначене для імітації нападів, які соціальні інженери використовують, щоб нашкодити вашій компанії. Ми використовуємо цілий ряд способів для включення всіх методів телефонного зв’язку, взаємодії в Інтернеті та на місці.

● Ретельне тестування на периметрі мережі Інтернет у режимі реального часу та на місці● Детальні рекомендації щодо звітності та пом’якшення● Конфіденційне роз’яснення, включаючи методи, джерела та покрокові атаки, що дозволяють вашій компанії знати, що ви робите правильно, а де потрібні вдосконалення● Навчання здійснюється на місці або на основі запиту замовника

Illustration

Тестування на стійкість до DDoS-атак

Тестування на стійкість до DDoS - перевірка здатності інформаційних систем протидіяти атакам, спрямованим на порушення доступності інформації. У рамках тестування нашою командою розгортається мережа з віртуальних серверів (Botnet), розгорнутих у різних частинах світу. Керування мережею та запуск симуляції атаки здійснюється за допомогою технології C&C.

Illustration

Методологія

Illustration

Open Source Security Testing Methodology Manual

Високорівнева методологія тестування систем безпеки, яка розроблена та підтримується консорціумом «Institute for Security and Open Methodologies». У межах тестування ця методологія використовується як основа для планування і координації робіт, а також для складання звітів за його результатами.

Illustration

Penetration Testing Execution Standard

Методологія, яка розробляється групою фахівців із тестування на проникнення, аудиту безпеки та соціальної інженерії. Методологія доповнює OSSTMM у ході планування та координації проєкту, а також використовується на етапі неавтоматизованого пошуку й аналізу вразливостей ІТ-систем в області дії тесту. 

Illustration

Technical Guide to Information Security Testing and Assessment

Методологія інструментального тестування безпеки ІТ-систем, обов'язкова до застосування у федеральних агентствах США. Ця методологія використовується на етапі автоматизованого пошуку й аналізу вразливостей ІТ-систем в області дії тестування, а також у ході можливої імітації атак із використанням виявлених уразливостей.

Illustration

OWASP Testing Guide v4

Індустріальний стандарт тестування на проникнення веб-додатків і пов'язаних із ними технологій. Методологія використовується при тестуванні веб-додатків. 

Illustration

OWASP Mobile Security Testing


Наші компетенції

Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration

Напишіть нам!

Ми надамо безкоштовну консультацію з пентесту у вашій компанії

Дякуємо!

Ми зв'яжемося з вами якомога швидше!

Can't send form.

Please try again later.

Illustration


Зателефонувати

+38 (044) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

+38 (044) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124