Тест на проникновение — от 150 тыс. руб.
2023 год
Что такое тест на проникновение?
Тест на проникновение — это официальная процедура, которая заключается в этичном взломе компьютерной системы. Она проводится по договоренности с заказчиком. В результате такого тестирования заказчик получает подробный отчет о выявленных уязвимостях и рекомендации по их нейтрализации.
Важное дополнение! Тест на проникновение применим к различным типам объектов (компонентов) информационной системы.
Процедура проводится в комплексе (целиком) и по отдельности:
- для облачной платформы
- для ИТ-инфраструктуры
- для веб-приложения / оконного / мобильного приложения
- для микросервиса
По вопросу теста на проникновение вы можете оставить заявку в форме справа или позвонить по телефонному номеру: +7(800)550-44-71
Что дает тест на проникновение?
Тест на проникновение выявляет слабые стороны информационной системы, а значит, снижает репутационные риски ее владельца.
Тест на проникновение является надежным способом обнаружения уязвимостей в системе и предотвращения возможного хакерского нападения. Поэтому лучше сыграть на опережение: заказать услуги белого хакинга, чтобы избежать негативных последствий черного хакинга.
Если будет обнаружена критическая уязвимость типа RCE, злоумышленник может получить полный контроль над системой и выполнить практически любые действия:
— выполнение команд на веб-сервере
— управление консолью (командной строкой)
— и мн. другое.
По вопросу теста на проникновение вы можете оставив заявку справа или позвонив по телефонному номеру: +7(800)550-44-71
Виды теста на проникновение?
Существует три виды теста на проникновение:
- «White Box» (Белый ящик
- «Grey Box» (Серый ящик)
- «Black Box» (Черный ящик)
Также тест на проникновение делится по объектам тестирования:
- «Микросервис» — конкретный модуль, сервис сайта
- «Веб-приложение» (сайт), оконное приложение, консольное приложение, мобильное приложение, «демон», сервис, служба
- «ИТ-инфраструктура» — компьютерная сеть компании
- «Облачная платформа» — платформа с множеством сайтов
По вопросу видов теста на проникновение вы можете оставить заявку справа, внизу или позвонить по телефонному номеру: +7(800)550-44-71
Методы теста на проникновение
Как уже упоминалось, существует три метода теста на проникновение:
Модель «White box» (Белый ящик) – модель тестирования с максимальным раскрытием информации для аудитора. Она предусматривает предоставление административного доступа к тестируемым серверам, а также к исходным кодам и документации тестируемых сервисов компании.
Такой метод позволяет максимально выявить все уязвимости. Его рекомендуется использовать при первых комплексных аудитах или при необходимости обнаружения более сложных векторов атак.
Модель «Grey box» (Серый ящик) предполагает частичное раскрытие информации для аудитора.
Модель «BlackBox» (Черный ящик) подразумевает минимальное раскрытие информации для аудитора.
Цель такого режима — смоделировать настоящую хакерскую атаку, чтобы на практике проверить защищенность объекта тестирования.
По вопросу методов теста на проникновение вы можете оставить заявку справа, внизу или позвонить по телефонному номеру: +7(800)550-44-71
Для каких приложений применим тест на проникновение?
Тест на проникновение применим для различных приложений:
- «Демон» / сервис / служба
- Мобильное приложение
- Оконное приложение
- Консольное приложение
- Веб-приложение
- Облачная платформа
Различные типы приложений подразумевают разного рода подходы к их тестированию, а значит, нельзя утверждать, что тест на проникновение проводится только для одного типа объекта тестирования.
Конкретный тип и метод теста на проникновение заказываются в зависимости от типа продукта, которым владеет заказчик или эксплуататор информационной системы. В зависимости от этого выбирается «белый», «серый» или «черный» ящик.
По вопросу того для каких приложений применим тест на проникновение вы можете оставить заявку справа, внизу или позвонить по телефонному номеру: +7(800)550-44-71
Инструменты теста на проникновение
В своей работе пентестеры используют различные инструменты (программы) для аудита. К основным средствам контроля защищенности можно отнести следующий набор:
- Burpsuite
- Wapiti
- skipfish
- Scrawlr
- WebScarab
- N-map
- Acunetix WVS
- w3af
- HP WebInspect Real-Time
- Xspider
- Сканер-ВС
- Kali linux
Как проводится тест на проникновение
Тест на проникновение проводится по международной методике OWASP:
Для тестирования используется международная методика OWASP (The Ten Most Critical Web Application Security Vulnerabilities –The Open Web Application Security Project ), а не методики ФСТЭК России.
В процессе тестирования проверяются настройки веб-приложения и его окружения на наличие различных уязвимостей, включая логические:
- «Insufficient Transport Layer Protection»; «Server Misconfiguration».
- «Insufficient Session Expiration»;
- «Insufficient Process Validation»;
- «Insufficient Password Recovery»;
- «Insufficient Authorization»;
- «Insufficient Authentication»;
- «Insufficient Anti-automation»;
- «Insecure Indexing»;
- «Information Leakage»;
- «Improper Output Handling»;
- «Improper Input Handling»;
- «Improper Filesystem Permissions»;
- «Directory Indexing»;
- «Application Misconfiguration».
Что такое тест на проникновение в сеть?
Тест на проникновение в сеть – это попытка взлома компьютерной системы через уязвимые элементы. К ним относятся:
- Веб-приложение
- Криптошлюз
- Межсетевой экран, детектор атак
- Маршрутизатор, коммутатор
- Веб / FTP сервер
- Отдельный микросервис
Уязвимым элементом системы может быть и специализированное средство защиты, например, межсетевой экран и детектор атак. Дело в том, что это такой же софт, который разработал вендор. Это важно учитывать!
Что такое внешний тест на проникновение
Внешний тест на проникновение – это тестирование объекта оценки через Интернет, оно включает сканирование и выявление уязвимостей внешних IP-адресов и портов.
В процессе внешнего аудита эксперт проводит имитацию попытки взлома объекта оценки, используя методы, аналогичные тем, которые применяются черными хакерами.
При этом отличие существенное: заказчик не просто в курсе, именно он стал инициатором проведения работы, по итогам которой получит детальный отчет и профессиональные рекомендации по устранению выявленных уязвимостей.
Обращаем внимание на то, что внешний аудит может проводить только лицензиат ФСТЭК России, компания с действующей лицензией на техническую защиту конфиденциальной информации.
Лицензия должна содержать пункты «б» и «е».
Тест на проникновение веб приложений
Тест на проникновение веб приложений – это проверка наличия уязвимостей в конкретном web приложении.
Объектами оценки могут выступать:
- конкретный сайт;
- облачная платформа с тысячами сайтов;
- микросервис заданного родительского web приложения.
Предпочтительный метод тестирования и границы объекта оценки выбирает заказчик.
По итогам проведения теста составляется подробный отчет, в котором содержится информация о выявленных уязвимостях и рекомендации по их устранению.
Отчет по результатам теста на проникновение
Итогом проведения теста на проникновения выступает отчет с подробными рекомендациями.
Он содержит следующие разделы:
- Общие сведения о тестировании
- Цель и задачи проведения тестирования
- Основание и сроки проведения работ
- Состав работ
- Модели злоумышленника
- Границы проведения работ и описание объектов тестирования
- Краткое описание результатов
- Условия проведения тестирования
- Подробное описание результатов и рекомендации по устранению уязвимостей
- Сводный отчет по выявленным уязвимостям и степени их критичности
- Заключение и выводы
Выглядит отчет следующим образом:
Тест на проникновение веб приложений
Тест на проникновение веб приложения – это тестирование конкретного сайта. При использовании метода черного ящика достаточно лишь адреса домена сайта.
В случаи тестирования методом серого ящика потребуются доступы ко всем типам учёток веб приложения.
Смоделировав кибератаку, этичный хакер создает отчет, в котором прописаны способы взлома системы, а также содержатся рекомендации по ликвидации уязвимости.
В целях наглядного подтверждения уязвимости системы и представления исчерпывающего отчета можем наглядно продемонстрировать взлом веб приложения и «слив» базы данных.
Тест информационной системы на проникновение
Тест информационной системы на проникновение — это легальный или этичный хакинг ИТ-инфраструктуры заказчика по официальному договору и с предоставлением отчета по итогам работы.
ИТ-инфраструктура обычно включает следующие системы организации:
- управления клиентами, типа Простой.Ру
- электронного документооборота, типа Директум
- управления персоналом, типа «1С Кадры»
- бухгалтерская, типа «1С Предприятие»
- управления задачами, типа Jira
- корпоративная почта, типа Exchange
- хранения данных, типа Seafile
Таким образом, у каждой организации есть не менее 7 (семи) корпоративных информационных систем. Все они работают на специализированном софте, а значит, потенциально уязвимы.
Тест на проникновение сайта
Тест на проникновение сайта подразумевает попытку взлома веб приложения, размещенного на веб сервере. Сайт при этом может находиться не только на хостинге, но и размещаться на собственном сервере в офисе компании.
При проведении теста на проникновение сайта идет поиск:
- страниц сайта с уязвимым кодом
- фрагментов кода, которые могут быть выполнены при вставке в адресную строку
- фрагментов кода, которые могут быть выполнены через поля форм ввода данных
- и мн. другое
Векторов кибератак не перечесть, в их числе, например:
- «Credential/Session Prediction»
- «Content Spoofing»
- «Directory Indexing»
- «Brute Force»
- «Abuse of Functionality»
- «Cross-Site WebSocket Hijacking (CSWSH)»
- «JSONP»
- «Cross-Site Request Forgery»
- «Cross-Site Scripting»
Тест на проникновение для мобильных приложений
Мобильные приложения также можно защитить от чужих рук. И здесь вновь применим тест на проникновение.
Разница лишь в том, что этот тип объекта оценки функционирует на смартфоне, а не компьютере.
Чтобы провести тест на проникновение мобильных приложений, потребуется определиться с перечнем мобильных платформ, на базе которых возможна работа объекта оценки, а также с методами тестирования (черный ящик, серый ящик, белый ящик).
Пентест проводится в рамках заключенного договора на условиях фиксированной стоимости и установленного срока.
После прохождения тестирования заказчик получает детальный отчет, включающий описание обнаруженных уязвимостей и предложения по их ликвидации.
Этапы теста на проникновение
Тест на проникновение включает в себя несколько этапов:
- Разработка рекомендаций для устранения обнаруженных слабых мест в системе.
- Анализ обнаруженных уязвимостей при тестировании.
- Проведение процедуры тестирования системы с целью обнаружения ее уязвимостей.
- Организация планирования мероприятий по выявлению и анализу уязвимостей.
По договору этапы работ выглядят так:
- Проверка наличия уязвимостей после их устранения, с целью подтверждения успешности мер по повышению безопасности.
- Разработка документации, включающей оценку критичности выявленных уязвимостей̆ и ошибок конфигурации.
- Обнаружение уязвимостей веб-приложений.
- Составление рекомендаций по устранению обнаруженных уязвимостей̆.
Обращаем внимание: порядок и условия работ определяются индивидуально и прописываются в техническом задании к договору или в самом договоре.
Тест на проникновение ФСТЭК
Согласно требованиям 21 приказа ФСТЭК России, операторы персональных данных должны проводить оценку эффективности мер защиты персональных данных в своей информационной системе не реже, чем один раз в три года.
Вместе с тем требования 21 приказа не устанавливают форму оценки соответствия. В итоге операторы персональных данных определяет такую форму оценки самостоятельно.
Тест на проникновение выступает эффективной формой оценки реальной защищенности информационной системы.
Тест на проникновение и пентест
Тест на проникновение по-другому еще называют пентест. Различает термины только количество слов. На их фоне особо выделяется еще один термин — аудит кода. Проводится он не на загруженной системе (запущенной), а исключительно по исходным текстам. Для этого используются специализированные сканеры исходников.
О том, как проводить аудит кодов, можно прочитать здесь.
Хакинг и тест на проникновение
Хакинг и тест на проникновение, какие между ними различия? Давайте разберемся.
Тест на проникновение – это «этичный хакинг», а хакинг – взлом, за который грозит наказание.
Этичный хакинг помогает различным компаниям защитить свои информационные системы от хакерских атак.
К хакингу чаще прибегают недобросовестные конкуренты, чтобы убрать с рынка своих коллег по рынку.
Методология теста на проникновение
Утвержденные методики проведения теста на проникновение в информационные системы в России отсутствуют. Их нет ни у ФСТЭК России, ни у Росстандарта.
Аудиторам по сей день приходится использовать международную методологию OWASP. Расшифровывается она так: «The Ten Most Critical Web Application Security Vulnerabilities –The Open Web Application Security Project».
При этом ФСТЭК России располагает методикой анализа уязвимостей отдельного программного обеспечения, которое планируется сертифицировать в системе сертификации ФСТЭК России. Но эта методика имеет гриф ДСП (для служебного пользования).
Такая методика детально излагает процедуру проведения анализа и устанавливает соответствующие требования к нему.
Росстандар также имеет:
- ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем»
- ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей»
- ГОСТ Р 58143-2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения» (неэквивалентен ISO/IEC TR 20004:2015)
- ГОСТ Р 58142-2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 1. Использование доступных источников для идентификации потенциальных уязвимостей» (неэквивалентен ISO/IEC TR 20004:2015)
Важно! Вышеуказанные требования касаются лишь программного обеспечения, а не всей информационной системы. Поэтому рассматривать их как методику анализа уязвимостей информационной системы не следует.
Как заказать тест на проникновение
В ООО ЦБИС работают профессиональные хакеры, имеющие большой опыт работы в области пентеста, сертификации и аттестации программного обеспечения.
Услуги оказываются на условиях договора, в котором прописаны фиксированная стоимость и конкретный срок. Конфиденциальность всех полученных данных гарантируем.
В числе постоянных заказчиков ООО ЦБИС:
- ПАО «ИнтерРАО»
- КЛУБ ЭЛЬБРУС
- ДРУГОЕ ДЕЛО
- БОЛЬШЕ ЧЕМ ПУТЕШЕСТВИЕ
- КУЛЬТУРНАЯ ИНИЦИАТИВА
- УПРАВЛЯЙ
- МОЯ СТРАНА – МОЯ РОССИЯ
- CASE-IN
- МЕЧТАЙ СО МНОЙ
- JUNIOR
- ТВОЙ ХОД
- МУРАВЬЕВ-АМУРСКИЙ
- АНО РСВ
- ИСКРА
- ЦИФРОВОЙ ПРОРЫВ
- НАЧНИ ИГРУ
- ЛИДЕРЫ РОССИИ
- ЛИДЕРЫ МЕНЯЮТ МИР
- ООО «МЕДИЦИНАОБОМНЕ»
- ООО «МЭЙЛ.РУ»
Ознакомиться с отзывами о нашей работе вы можете по ссылке.
Где купить тест на проникновение
Тест на проникновение необходимо покупать у лицензиата ФСТЭК России, так как по закону это лицензируемый вид деятельности. Эта лицензия называется «на техническую защиту конфиденциальной информации» и в ней должны быть открыты лицензионные виды «б» и «е».
ООО «ЦБИС» имея у себя в арсенале такую лицензию оказывает услугу теста на проникновение на наивысшем уровне.
Среди клиентов ЦБИС крупнейшие компании России из городов миллионников.
Обычно услуги по тестированию предоставляются по договору, который определяет фиксированную стоимость и сроки выполнения работ. Со своей стороны исполнитель обеспечивает полную конфиденциальность результатов тестирования и несет финансовую ответственность за предоставленные услуги.
Обращайтесь к нам, мы гарантируем профессиональное проведение теста на проникновение.
Закажите услугу теста на проникновение у лидера рынка — ООО «ЦБИС» со скидкой 20% (ваш промокод PT20) прямо сейчас.