Информационный центр

Тестирование на проникновение

Главная / Тестирование на проникновение

Услуга тестирования на проникновение позволяет получить независимую оценку фактического уровня защищенности информационных систем организации.

В процессе тестирования на проникновение имитируются действия вероятного внешнего и внутреннего злоумышленников по компрометации информационных систем тестируемой организации.

К сожалению, стандартные организационные и технические мероприятия по защите информации (в том числе регулярный анализ уязвимостей системы и оперативное устранение выявленных уязвимостей) не всегда в полной мере нивелируют риски компрометации информационных систем.

Ниже приведены лишь некоторые возможные предпосылки компрометации любой информационной системы возможным злоумышленником:

  • высокий уровень автоматизации злоумышленниками сканирования общедоступных сетей на предмет наличия возможностей для компрометации (известных уязвимостей, ошибок конфигурации, паролей по умолчанию);
  • слабый уровень информированности персонала организации в области информационной безопасности;
  • слабый контроль со стороны организации публикуемой информации об организации, ее организационной структуре, о применяемых технологиях и т. д. (официальный сайт, сайты для поиска сотрудников, сайты партнеров и подрядчиков, социальные сети);
  • высокая доступность (бесплатность, наличие подробных инструкций по применению) «хакерских» инструментов;
  • отсутствие парольной политики или отсутствие контроля за ее выполнением (как следствие – применение слабых паролей, в запущенных случаях, в том числе, для доступа с правами администратора);
  • некачественная разработка приложений с точки зрения информационной безопасности (особенно веб-приложений);
  • распространение подхода «security through obscurity» (мы повесим интерфейс удаленного доступа в систему на нестандартный сетевой порт и никто не догадается);
  • применение устаревших версий операционных систем, прикладного ПО, фреймворков, JS-библиотек и т. д.

В ООО «Информационный центр» тестирование на проникновение проводится опытной командой пентестеров, участники которой проходят обучение по различным программам, в том числе Certified Ethical Hacker от EC-Council. А также, занимаются постоянным самообучением в сфере этичного хакинга и, конечно же, имеют богатый опыт пентестов. По результатам тестирования на проникновение заказчик получает отчет, содержащий не только сведения об обнаруженных недостатках системы защиты информации, но и рекомендации по устранению выявленных проблем.