Penetration testing

Тестирование на проникновение

Проведение внешнего и внутреннего тестирования на проникновение является обязательным для успешного прохождения сертификационного аудита на соответствие требованиям стандарта PCI DSS.

Наш подход к проведению тестов на проникновение позволит Вам не только подготовиться к прохождению аудита, но и получить полезную информацию о реальном состоянии дел в сфере защиты ваших информационных ресурсов. Наши работы включают в себя не только системы, входящие в область действия стандарта PCI DSS, но и смежные информационные системы.

Если Вы занимаетесь вопросами информационной безопасности в вашей организации, то проведение тестирования на проникновение позволит Вам получить ценные сведения. Полученные результаты наглядно продемонстрируют существующие проблемы в сфере информационной безопасности и последствия, к которым приводит недостаточная защита. Результаты проведения тестирования на проникновение позволят обосновать бюджет и другие затраты на обеспечение информационной безопасности компании.

Стоит отметить, что услуга не является дорогостоящей, поэтому тестирование можно проводить в рамках бюджета подразделения.

Во многих организация тестирование на проникновение является обязательной стадией при проведении анализа рисков. Это особенно актуально при вводе новых систем в эксплуатацию или после изменений в инфраструктуре, когда можно упустить момент изменения рисков информационной безопасности.

Тестирование на проникновение позволит оценить изменившиеся риски и проконтролировать выполнение процессов обеспечения информационной безопасности.


  Задайте вопрос эксперту

Получите бесплатную консультацию по тестированию на проникновение

Или позвоните по телефону (044) 332-0117

SQL Injection Buffer overflows Cross-site scripting Cross-site request forgery
проверка уязвимостей
автоматизированная, ручная, эффективная

Какие сценарии мы используем

Злоумышленник, действующий из сети Интернет, не имеющий прав доступа информационные системы и обладающий только общедоступной информацией об информационных системах, применяемых методах и средствах защиты.
Злоумышленник, имеющий сетевой доступ ко внутренней сети (в каком либо из сетевых сегментов), не имеющий прав доступа информационные системы и обладающий только общедоступной информацией об информационных системах, применяемых методах и средствах защиты.
Злоумышленник, действующих из внутренней сети, имеющий логические права в информационных системах, возможно имеющий привилегии локального администратора и обладающий поверхностными (возможно подробными) сведениями о структуре сети, применяемых методах и средствах защиты.

Методология проведения работ

Работы по тестированию на проникновение, как правило, выполняются в несколько этапов:

  • Сбор предварительной информации. Например, о структуре и компонентах корпоративной сети (сетевая адресация, компоненты сети, используемые средства защиты). Сбор осуществляется из доступных источников, в том числе из сети Интернет;
  • Определение типов и версий устройств, ОС, сетевых сервисов и приложений по реакции на внешнее воздействие (т.е. по рекации на различные запросы);
  • Идентификация уязвимостей на сетевом уровне и уровне приложений (автоматизированными и ручными методами);
  • Моделирование атак на сетевом уровне;
  • Моделирование атак на уровне приложений;
  • Подготовка отчета и рекомендаций по результатам работ.

Хотите провести Pentest? Напишите нам

Или позвоните по телефону (044) 332-0117