НАВИГАЦИЯ:
ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ (PENTEST)
ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ (PENTEST)

Компания ООО «Инновационные Технологии в Бизнесе» оказывает услуги по тестированию на проникновение (Pentest) информационных систем. За последние годы специалистами компании был получен богатейший опыт проведения тестирования на проникновении информационных систем Заказчиков. Используя инновационные подходы, методики, и передовые средства специалисты компании провели тестирование ИС, ИСПДн, АС, АСУ ТП, ГИС.
ОПЫТ КОМПАНИИ
Основными заказчиками услуги по тестированию на проникновение (Pentest) выступали:
Генерирующие компании (ГЭС, ТЭЦ)Энергосбытовые компании
Компании Группы «Интер РАО ЕЭС»
Государственные и корпоративные порталы
СОСТАВ УСЛУГИ
В состав работ по тестированию на проникновение (Pentest) может входить:
Проведение исследования внешнего периметраПроведение исследования внутреннего периметра
Анализ защищенности веб-приложений
Анализ защищенности мобильных приложений
Анализ защищенности беспроводного эфира
Социотехническое тестирование
В ходе тестирования специалист по анализу защищенности выполняет роль злоумышленника, мотивированного на нарушение информационной безопасности Заказчика. Предоставление услуг тестирования на проникновения основывается на методологиях OWASP (Open Web Application Security Project); OSSTMM (The Open Source Security Testing Methodology Manual); NIST Cybersecurity Framework; ГОСТ Р 56939-2016.
Возможны форматы оказания услуги как Black Box\Gray Box\White Box
Стоимость оказания услуги оценивается на основе данных предоставляемых Заказчиком в Опросном листе на предварительном этапе подготовке к оказанию услуги.
НАГРУЗОЧНОЕ ТЕСТИРОВАНИЕ (DOS-АТАКА)
По предварительному согласованию со специалистами Заказчика ответственными за обеспечение информационной безопасности порталов Заказчика возможно проведение нагрузочного тестирования на предмет отказоустойчивости порталов так называемым DOS-атакам, с применением специализированного программного обеспечения. Специализированное программное обеспечение выполняет атаку вида «отказ в обслуживании» путём постоянных передач на нужный сайт или узел TCP-, UDP-пакетов или HTTP-запросов с целью появления сбоев в работе целевого узла, стоит отметить что данное программное обеспечение способно отправлять запросы в режиме многопоточности. Стоит отметить что в общем случае для не стабильной работы целевой системы как правило достаточно в 200 потоков отправить 65 000 000 UDP запросов на 80 или же 443 TCP порт, что займет около 20 минут.
АНАЛИЗ РЕЗУЛЬТАТОВ
По результатам выполнения заданных проверок формируется сводный отчет в формате rtf, html или pdf. Экспертом Исполнителя проводится анализ обнаруженных уязвимостей\сценариев компрометации и степени их влияния на защищенность объекта обследования осуществляется экспертным методом. Формат описания уязвимостей включает:
краткое описание;подробное описание;
решение;
ссылки.
Для эксплуатации уязвимостей конфигурации не всегда требуются специальные программные средства. Нарушитель может воспользоваться штатными средствами системы. Устранение такого рода уязвимостей, как правило, требует внесения изменений в настройки системы.
Определение уровня защищенности объекта обследования осуществляется путем обработки, анализа и оценки результатов аудита состояния информационной безопасности корпоративной информационной системы.
По результатам, полученным в ходе оказания услуги, экспертами дается заключение об уровне защищенности объекта обследования и приводятся рекомендации по повышению уровня защищенности.