Услуга тестирования на проникновение позволяет получить независимую оценку фактического уровня защищенности информационных систем организации.
В процессе тестирования на проникновение имитируются действия вероятного внешнего и внутреннего злоумышленников по компрометации информационных систем тестируемой организации.
К сожалению, стандартные организационные и технические мероприятия по защите информации (в том числе регулярный анализ уязвимостей системы и оперативное устранение выявленных уязвимостей) не всегда в полной мере нивелируют риски компрометации информационных систем.
Ниже приведены лишь некоторые возможные предпосылки компрометации любой информационной системы возможным злоумышленником:
- высокий уровень автоматизации злоумышленниками сканирования общедоступных сетей на предмет наличия возможностей для компрометации (известных уязвимостей, ошибок конфигурации, паролей по умолчанию);
- слабый уровень информированности персонала организации в области информационной безопасности;
- слабый контроль со стороны организации публикуемой информации об организации, ее организационной структуре, о применяемых технологиях и т. д. (официальный сайт, сайты для поиска сотрудников, сайты партнеров и подрядчиков, социальные сети);
- высокая доступность (бесплатность, наличие подробных инструкций по применению) «хакерских» инструментов;
- отсутствие парольной политики или отсутствие контроля за ее выполнением (как следствие – применение слабых паролей, в запущенных случаях, в том числе, для доступа с правами администратора);
- некачественная разработка приложений с точки зрения информационной безопасности (особенно веб-приложений);
- распространение подхода «security through obscurity» (мы повесим интерфейс удаленного доступа в систему на нестандартный сетевой порт и никто не догадается);
- применение устаревших версий операционных систем, прикладного ПО, фреймворков, JS-библиотек и т. д.
В ООО «Информационный центр» тестирование на проникновение проводится опытной командой пентестеров, участники которой проходят обучение по различным программам, в том числе Certified Ethical Hacker от EC-Council. А также, занимаются постоянным самообучением в сфере этичного хакинга и, конечно же, имеют богатый опыт пентестов. По результатам тестирования на проникновение заказчик получает отчет, содержащий не только сведения об обнаруженных недостатках системы защиты информации, но и рекомендации по устранению выявленных проблем.