Санкціонований спосіб обійти існуючий комплекс засобів захисту та систему безпеки в інформаційній системі...

Тестування на проникнення (penetration test, pentesting) - метод оцінювання захищеності автоматизованих систем (далі – АС) або інформаційно-телекомунікаційних систем (далі – ІТС) шляхом часткового моделювання дій "зовнішніх зловмисників" з проникнення (втручання у роботу) в АС або ІТС (які не мають авторизованих засобів доступу) і "внутрішніх зловмисників" (які мають певний рівень санкціонованого доступу).

Фахівці ТОВ "НВП "СМАРТ СОЛЮШЕНС" мають профільну освіту, багаторічний досвід роботи у сфері кібербезпеки, а також творчій підхід в проведенні тестування на проникнення.

Фахівці ТОВ "НВП "СМАРТ СОЛЮШЕНС" мають профільну освіту та багаторічний досвід роботи в сфері технічного та криптографічного захисту інформації, а також досвід з проектування і створення комплексних систем захисту інформації в інформаційно-телекомунікаційних системах (ділі - ІТС) різної складності, починаючи від автоматизованих систем першого класу та закінчуючи складними, розподіленими системами.

Суть послуги "тестування на проникнення" полягає в санкціонованій спробі обійти існуючий комплекс засобів захисту інформаційної системи.

В ході тестування на проникнення роль "зловмисника" відіграють фахівці ТОВ "НВП "СМАРТ СОЛЮШЕНС", тобто фахівці, які повинні визначити рівень захищеності та наявні вразливості, ідентифікувати найбільш вірогідні шляхи злому і визначити наскільки добре працюють засоби виявлення вторгнень і захисту інформаційної системи від кібератак на підприємстві.

Тест на проникнення дозволяє отримати об'єктивну оцінку того, наскільки легко отримати доступ до ресурсів корпоративної мережі чи певної інформаційної системи, яким способом і через які вразливості.

Основною задачею здійснення тесту на проникнення це повна імітація дії "зловмисника", що дозволяє санкціоновано здійснити атаку на веб-сервер, сервер застосувань або баз даних, персонал чи корпоративну мережу. Тестування на проникнення може проводитися як у складі аудиту на відповідність стандартам, так і у вигляді окремої задачі.

При проведенні тесту на проникнення вирішуються такі завдання: 

          • оцінка поточного стану системи захисту інформації в ІС або ІТС;
          • виявлення вразливостей інформаційної системи;
          • використання виявлених вразливостей для отримання несанкціонованого доступу з метою демонстрації наявності вразливостей для інформаційної системи;
          • вироблення рекомендацій щодо підвищення ефективності захисту інформації в ІС.

Типи тестів на проникнення:

Соціальна інженерія тестування з підключенням «людського фактору», здатність чітко виявляти і отримувати конфіденційні дані та іншу інформацію через Інтернет чи телефон (до цієї групи можуть відноситися співробітники організації чи будь-які інші уповноважені особи, які присутні в локальній мережі організації);
Веб-додаток використовується для виявлення вразливості в безпеці та інших проблем в декількох варіантах веб-додатків і сервісів, які розміщені на стороні клієнта чи сервера;
Мережева служба тестування проникнення в мережу для виявлення можливості доступу «хакерів» чи інших неавторизованих користувачів;
Клієнтська частина тест використовується для тестування додатків, встановлених на клієнтському хості / додатку;
Віддалене підключення тестування «vpn» чи аналогічного об'єкта, який може забезпечити доступ до підключеної системи;
Бездротові мережі тест призначений для бездротових додатків і сервісів, включаючи їх різні компоненти та функції (маршрутизатори, фільтраційні пакети, шифрування, дешифрування та інше.);
 SCADA тестування Системи автоматичного контролю та збору інформації.

  

Етапи тесту на проникнення:

Роботи по тесту на проникнення включають в себе ряд послідовних етапів:

          • Аналіз відкритих джерел;
          • Інструментальне сканування;
          • Аналіз / оцінка виявлених вразливостей і вироблення рекомендацій;
          • Підготовка звіту. 

Режим тестування:

Як об'єкт дослідження може бути вибраний як зовнішній периметр мережі, так і окремо запущений сервіс або хост.

Вибирається режим тестування на основі рівня початкових знань виконавця про тестованої системі (Black Box або White Box) і рівня інформованості замовника про випробування (режим Black Hat або White Hat).

При виборі рівня Black Box виконавцю відомий лише діапазон зовнішніх IP-адрес. Даний підхід максимально наближений до дій хакера, дані про тестованому об'єкті будуть збиратися за допомогою відкритих джерел, соціальної інженерії і т. д.

У режимі White Box доступна виконавцю інформація значно ширше. У цій ситуації фахівцям може бути надано документація, вихідні коди, структура мережі, а також повний доступ до об'єкту, який тестується.

Тестування на проникнення може бути безцінним методом для забезпечення інформаційної безпеки будь-якої організації. Тестування на проникнення методом білої коробки часто робиться, як повністю автоматизований недорогий процес. Тестування на проникнення методом чорної коробки є трудомісткою діяльністю і вимагає спеціальних знань, щоб мінімізувати ризик для цільових систем.