Penetration test — от 150 тыс. руб. (>1699$)
Penetration test – это официальный взлом компьютерной системы руками этичного хакера по договору с заказчиком.
По итогам испытаний заказчик услуг получает подробный отчет, содержащий информацию о выявленных уязвимостях и профессиональную консультацию по их устранению.
2023 год
Что такое Penetration test?
Penetration test (security) в отличие от кибератаки — процедура абсолютно легальная. Она подразумевает этичный взлом компьютерной системы, задача которого обнаружить возможные уязвимости.
Испытания объекта тестирования проводятся только после заключения договора с заказчиком. По результатам услуг предоставляется полный отчет о выявленных уязвимостях и рекомендации по их ликвидации.
Обращаем внимание, что данный вид тестирования может быть использован к разным типам компонентов компьютерной системы.
Тестирование может быть проведено не только целиком (в комплексе), но и по отдельности. Например, для веб-приложения, для микросервиса, для IT-инфраструктуры, для облачной онлайн платформы.
Что дает Penetration test?
У penetration test важная миссия – заметить уязвимые стороны информационной системы, тем самым, предотвратив имиджевые риски ее владельца.
Обратившись к услугам белого хакинга вовремя, можно избежать атаки хакинга черного.
В противном случае, при обнаружении критической уязвимости типа Remote Execution, черный хакер получит контроль над системой и сможет выполнить любые действия.
В их числе:
— расширение полномочий на сервере;
— управление командной строкой и прочее.
Виды Penetration test?
Есть три вида тестирования:
«White Box» или «Белый ящик»;
«Black Box» или «Черный ящик»;
«Grey Box» или «Серый ящик».
По объектам тестирования деление такое:
— Информационная инфратруктура — компьютерная сеть компании;
— Микросервис — конкретный модуль, сервис сайта;
— Облачная платформа — платформа с множеством сайтов;
— Веб-приложение / оконное, консольное, мобильное приложение / демон, сервис, служба.
Методы Penetration test?
Разберем каждый метод тестирования подробнее.
Модель «White box» или «Белый ящик» предусматривает максимально полное раскрытие информации аудитору. Предоставляется административный доступ к тестируемым серверам, исходным кодам и документации.
Такой метод идеален для выявления всех уязвимостей. Чаще всего он применяется при первых комплексных аудитах и для выявления более сложных векторов атак.
Модель «BlackBox» или «Черный Ящик» отличает минимальное раскрытие информации аудитору. При использовании такого режима имитируется настоящая хакерская атака. Защищенность web-приложения проверяется на практике.
Модель «Grey box» или «Серый ящик» предусматривает раскрытие аудитору только части информации.
Для каких приложений применим Penetration test?
Penetration test широко используют для самых разных приложений:
— Web-приложение
— Мобильное ПО
— Оконное приложение
— Облачная платформа
— «Демон» / сервис / служба
— Консольное приложение
Приложения разные и подходы к их тестированию тоже отличаются. Поэтому утверждать, что penetration test применим только для одного типа объекта тестирования, нельзя.
Какой ящик выбрать: «черный», «белый» или «серый»? Метод тестирования определяется с учетом типа продукта, которым владеет заказчик или эксплуататор информационной системы.
Инструменты Penetration test?
При выполнении работ пентестеры применяют самые разные инструменты (программы) для тестирования. Вот типовой набор основных средств контроля защищенности:
- Burpsuite
- Acunetix WVS
- w3af
- Scrawlr
- HP WebInspect Real-Time
- Wapiti
- Kali linux
- skipfish
- WebScarab
Как проводится Penetration test?
Для проведения указанного тестирования методики ФСТЭК России не применяются.
Используется международная методика OWASP: «The Ten Most Critical Web Application Security Vulnerabilities –The Open Web Application Security Project».
В ходе тестирования осуществляется проверка настроек веб-приложения и его окружения на различные уязвимости, включая логические:
- «Insufficient Anti-automation»;
- «Insufficient Authentication»;
- «Insufficient Authorization»;
- «Insufficient Password Recovery»;
- «Insufficient Process Validation»;
- «Insufficient Session Expiration»;
- «Insufficient Transport Layer Protection»;
- «Server Misconfiguration»;
- «Improper Input Handling»;
- «Improper Output Handling»;
- «Information Leakage»;
- «Application Misconfiguration»;
- «Directory Indexing».
Что такое Penetration test в сеть?
Penetration test в сеть – это имитация взлома компьютерной системы за счет уязвимых элементов. В их числе:
— Отдельный микросервис веб-приложения;
— Веб или FTP сервер;
— Криптошлюз;
— Маршрутизатор / коммутатор;
— Firewall / IDS/IPS;
— Само веб-приложение;
Специализированное средство защиты, такое как firewall и IDS/IPS, также могут быть уязвимыми элементами информационной системы. Это софт, который разработал вендор, а значит, риск есть!
Что такое внешний Penetration test?
Внешний penetration test включает в себя сканирование IP адресов, портов и нахождение уязвимостей, которые могут быть в сети.
В ходе такой проверки безопасности системы специалист имитирует взлом объекта испытаний, применяя те же методы, что и черные хакеры.
Отличие в том, что инициатива проведения такой хакерской атаки принадлежит заказчику. По итогам тестирования он получит подробный отчет и предложения по устранению выявленных уязвимостей.
Важное дополнение: внешние аудиты могут проводить только компании, имеющие действующую лицензию в области информационной безопасности. Выдает ее ФСТЭК России.
В лицензии должны содержаться пункты «б» и «е».
Penetration test веб приложений
Penetration test веб приложений – это аудит безопасности в определенном веб приложении.
Примеры объектов оценки:
— конкретный сайт;
— микросервис заданного родительского веб приложения;
— облачная платформа с тысячами сайтов.
Какой метод тестирования и какие границы объекта испытаний выбрать, решает заказчик.
По окончании проведения тестирования составляется подробный отчет, в котором содержится информация о выявленных уязвимостях и рекомендации по их устранению.
Отчет по результатам Penetration test
Итогом проведения теста на проникновения выступает отчет с подробными рекомендациями.
Он содержит следующие разделы:
1. Общие сведения о тестировании:
— Основание и сроки оказания услуг
— Границы оказания услуг и описание объектов тестирования
— Модели злоумышленника
— Условия проведения тестирования
— Цель и задачи проведения тестирования
— Состав оказываемых услуг
2.Краткое описание результатов
— Сводный отчет по выявленным уязвимостям и степени их критичности
3.Подробное описание результатов и рекомендации по устранению уязвимостей
4.Заключение и выводы
По результатам оказания услуг отчет выглядит следующим образом:
Penetration test информационной системы
Penetration test информационной системы на проникновение подразумевает белый хакинг ИТ-инфраструктуры заказчика на основании заключенного договора и с обязательным предоставлением отчета по итогам проведенных работ.
ИТ-инфраструктура, как правило, включает следующие системы организации:
-хранения данных, например «Seafile»
-управления клиентами, например «Bitrix 24»
-управления бухгалтерией и персоналом, например «1С Кадры и 1С Предприятие»
-управления задачами, например «Jira»
-корпоративной почты, например «Exchange»
-электронного документооборота, например «Ефрат Документооборот»
Получается, что у организаций в наличии есть не менее шести корпоративных информационных ресурсов. Работают они на специализированном софте, поэтому уязвимы.
Penetration test сайта
Penetration test на проникновение сайта представляет собой попытку взлома веб приложения, находящегося на веб сервере. Сайт может располагаться как на собственном сервере в офисе предприятия, так и на хостинге.
Когда выполняется тест на проникновение сайта, идет поиск:
— страниц, содержащих небезопасный код,
— анализ фрагментов кода,
— инъекции кода в адресную строку,
— попытки ввода неточных значений в поля ввода данных и другие действия.
Типов атак так очень много, например:
- * «Cross-Site Scripting»
- * «Cross-Site Request Forgery»
- * «JSONP»
- * «Cross-Site WebSocket Hijacking (CSWSH)»
- * «Abuse of Functionality»
- * «Brute Force»
- * «Directory Indexing»
- * «Content Spoofing»
- * «Credential/Session Prediction»
Penetration test для мобильных приложений
Penetration test – эффективный способ защитить от кибератак и мобильные приложения. Отличие одно: этот тип объекта оценки работает на смартфоне, а не компьютере.
Чтобы начать тест для мобильных приложений, следует выбрать перечень мобильных платформ, на базе которых объект оценки сможет работать, а также определиться с методами тестирования (черный, белый, серый ящик).
Тестирование проводится в рамках заключенного договора на условиях фиксированной стоимости и установленного срока.
После прохождения тестирования заказчик получает детальный отчет, включающий описание обнаруженных уязвимостей и предложения по их ликвидации.
Работы ведутся по договору, в котором указаны фиксированная цена и определен срок.
По итогам работ клиент получает доклад, который содержит не просто развернутое описание обнаруженных уязвимостей, но и советы по их ликвидации.
Этапы Penetration test
Penetration test включает в себя следующие этапы:
— Составление плана мероприятий по нахождению и анализу уязвимостей;
— Реализация процедуры тестирования системы для выявления уязвимостей;
— Изучение обнаруженных в ходе тестирования уязвимостей;
— Разработка рекомендаций по ликвидации слабых мест в системе.
Этапы работ по договору:
— Выявление уязвимостей веб-приложений.
— Составление документации, включающую оценку критичности выявленных уязвимостей̆ и неточностей конфигурации.
— Разработка предложений по ликвидации обнаруженных уязвимостей.
— Повторная проверка на наличие слабых мест в системе после их ликвидации.
Условия и порядок работ обговариваются индивидуально и фиксируются в договоре или в техническом задании к договору.
Penetration test ФСТЭК
Приказом ФСТЭК России № 21 устанавливаются следующие требования: каждый оператор персональных данных обязан проводить мониторинг эффективности «реализованных мер защиты персональных данных в информационной системе персональных данных» не менее одного раза в 3 (три) года (см. п. 6 приказа ФСТЭК № 21).
Требования 21 приказа вместе с тем не определяют форму оценки соответствия. В итоге операторы персональных данных определяет такую форму оценки самостоятельно.
В качестве такой оценки защищенности информационной системы penetration test подходит просто идеально.
Методология Penetration test
Официальных методик проведения penetration test в информационные системы в России нет: ни у ФСТЭК России, ни у Росстандарта.
Аудиторы вынуждены применять международную методологию OWASP: «The Ten Most Critical Web Application Security Vulnerabilities –The Open Web Application Security Project».
Вместе с тем у ФСТЭК России есть методика проведения анализа уязвимостей отдельно взятого программного обеспечения. Предполагается, что его будут сертифицировать в системе сертификации ФСТЭК России.
Эта методика развернуто разъясняет процедуру проведения анализа и регламентирует соответствующие требования к нему.
У Росстандара также имеются стандарты:
- «ГОСТ Р 58143-2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения» (неэквивалентен ISO/IEC TR 20004:2015)»
- «ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем»
- «ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей»
- «ГОСТ Р 58142-2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 1. Использование доступных источников для идентификации потенциальных уязвимостей» (неэквивалентен ISO/IEC TR 20004:2015)»
Вышеперечисленные требования затрагивают только программное обеспечение, а не всю информационную систему. А значит, считать ее как методику анализа уязвимостей информационной системы не стоит.
Как заказать Penetration test
Проводить penetration test разрешено при наличии соответствующих лицензий. Их полный набор есть у ООО ЦБИС.
В числе сотрудников ООО ЦБИС опытные специалисты, которые давно и успешно работают в сфере пентеста, сертификации и аттестации программного обеспечения.
Услуги предоставляются по договору, в котором указаны фиксированная стоимость и конкретный срок.
Клиентам гарантируем конфиденциальность полученных данных.
Постоянные клиенты ООО ЦБИС:
MAIL.RU
MEDABOUTME.RU
RSV.RU
TVOYHOD.ONLINE
MANAGERCUP.RU
DRUGOEDELO.RU
CLUB-ELBRUS.RU
STARTGAME.RSV.RU
HACKS-AI.RU
ЛИДЕРЫРОССИИ.РФ
MOYASTRANA.RU
MORETHANTRIP.RU
ЛИДЕРЫМЕНЯЮТМИР.РФ
CULTURELEADERS.RU
МУРАВЬЕВАМУРСКИЙ-2030.РФ
CASE—IN.RU
МЕЧТАЙСОМНОЙ.РФ
ISKRA—SYSTEM.RU
JUNIOR.NTCONTEST.RU
Прочить отзывы о нашей работе вы можете здесь.
Где купить Penetration test
Чтобы получить данную услугу, нажмите кнопку «Заказать звонок».
Специалисты оперативно перезвонят и проконсультируют по объектам и методам тестирования, а также озвучат стоимость и сроки проведения работ.
Услуги по тестированию предоставляются по договору, в котором прописаны фиксированная стоимость и сроки выполнения работ. Также исполнитель предоставляет гарантию конфиденциальности результатов тестирования и материальную ответственность за предоставленные услуги.
Обращайтесь к нам!
Закажите услугу penetration test у лидера рынка — ООО «ЦБИС» со скидкой 20% (ваш промокод PT23) прямо сейчас.
