Выберите из списка ваш регион

«ИнфоТеКС Интернет Траст»

Логотип ИнфоТеКС Интернет Траст
Техподдержка 24/7
По России звонок бесплатный
8 800 250-0-260
8 800 250-0-265
ноль
линия
Электронная отчетность
линия
Электронный документооборот
линия
Удостоверяющий центр
линия
Информационная безопасность
Аудит информационной безопасности
Разработка документов политики ИБ
Создание защищенных ИС
Примеры типовых систем защиты информации
Аутсорсинг информационной безопасности
Содействие в получении лицензии ФСБ России
линия
Защита каналов связи
линия
СМЭВ

Тестирование на проникновение (взлом системы защиты)

Тестирование на проникновение (Penetration Testing) — метод оценки безопасности систем или сетей средствами моделирования атак.

Тестирование на проникновение позволяет взглянуть на систему защиты информационной системы глазами хакера и попробовать ее взломать техническим путем, что позволяет выявить слабые места в системе защиты и принять превентивные меры по блокированию потенциальных угроз безопасности информации.

Проведение специалистами ОАО «ИнфоТеКС Интернет Траст» тестов на проникновение основывается анализе возможностей по использованию выявленных ими уязвимостей. Подобный анализ позволяет понять не только то, насколько в информационной системе правильно настроено оборудование, но и насколько персонал правильно понимает цели и задачи информационной безопасности. Кроме этого, анализ данных, полученных в ходе проведения тестирования, дает возможность установить, каким образом защищаемые информационные ресурсы могут быть атакованы в случае разглашения конфиденциальной информации об используемых в информационной системе технологиях.

Результаты проведенных специалистами ОАО «ИнфоТеКС Интернет Траст» тестов на проникновение предоставляют Заказчику:

  • актуальную и независимую оценку текущего состоянии информационной безопасности;
  • рекомендации по повышению текущего уровня защищенности информационной системы.

Типовой состав работ, проводимых специалистами ОАО «ИнфоТеКС Интернет Траст», по тестированию на проникновение включает в себя:

  1. Внутренние тесты на проникновение:

    • попытки получения учетных записей и паролей пользователей и администраторов информационной системы путём перехвата сетевого трафика;
    • сбор информации о доступных из сегмента пользователей локальной сети ресурсах (сетевых сервисах, операционных системах и приложениях) и определение мест возможного хранения/обработки критичных данных;
    • поиск уязвимостей сетевых ресурсов, способных привести к возможности осуществления несанкционированных воздействий на них;
    • разработка векторов атак и методов получения несанкционированного доступа к критичным данным;
    • попытки получения несанкционированного доступа к серверам, базам данных, компьютерам пользователей с использованием уязвимостей программного обеспечения, сетевого оборудования, некорректных настроек;
  2. Внешние тесты на проникновение:

    • сбор общедоступной информации об информационной системе Заказчика с помощью поисковых систем, через регистрационные базы данных (регистраторы имен и адресов, DNS, Whois и т.п.) и других публичных источников информации;
    • сбор информации о доступных из сетей общего доступа ресурсах (сетевых сервисах, операционных системах и приложениях);
    • определение мест возможного хранения/обработки критичных данных, доступных извне;
    • сбор публично доступной информации о сотрудниках Заказчика (персонала системы) (корпоративные электронные адреса, посещение веб-сайтов, Интернет-форумов, социальные сети, личная информации о человеке);
    • поиск уязвимостей в веб-приложениях публичных серверов, эксплуатация которых может привести к неавторизированному доступу к критичным данным;
    • выявление уязвимостей ресурсов внешнего сетевого периметра, эксплуатация которых может привести к компрометации ресурса и/или использована для получения неавторизованного доступа к критичным данным;
    • разработка векторов атак и методов проникновения.

По результатам выполненных специалистами ОАО «ИнфоТеКС Интернет Траст» работ Заказчик получает:

  • детальный отчет об уязвимостях информационной системы;
  • рекомендации по повышению текущего уровня защищенности.

Вернуться к описанию услуг «Аудит информационной безопасности»