Услуги

Внешнее тестирование на проникновение

Внешнее тестирование на проникновение (penetration testing) является критически важным компонентом современной стратегии кибербезопасности. В условиях, когда киберугрозы становятся все более сложными и изощренными, организации обязаны принимать активные меры для защиты своих информационных систем и данных от потенциальных атак.

Получить консультацию
image

Основной целью проведения внешнего теста на проникновение является выявление уязвимостей и построение векторов атак, позволяющих злоумышленнику получить конфиденциальные данные на внешнем периметре Заказчика и\или получить удаленный доступ во внутреннюю сеть Заказчика.

1. Поиск информации в открытых источниках

Сбор такой информации о КИИ Заказчика, как используемые IP-подсети, DNS-имена, e-mail и телефоны сотрудников.

2. Cканирование портов и расположенных на них служб с использованием автоматизированных средств.

В рамках сканирования хостов производится обнаружение сетевых сервисов, сбор их текстовых сигнатур в ответ на стандартные запросы, определение типа и версий используемого ПО на сканируемых хостах, проверка стандартных уязвимостей для обнаруженных сервисов.

3. Анализ защищенности почтовых серверов, посредством тестирования следующих атак на почтовые серверы:

  • перебор существующих почтовых адресов в домене;
  • отправка поддельных сообщений от имени сотрудника Заказчика другим сотрудникам Заказчика;
  • отправка поддельных сообщений от имени сотрудника Заказчика на внешние почтовые адреса.

4. Анализ защищённости DNS-серверов и сбор информации о DNS-именах, посредством тестирования следующих атак:

  • выполнение трансфера прямой и обратной DNS-зон;
  • поиск доменных имен путём разрешения IP-адресов в обратной DNS зоне.

5. Полуавтоматизированный и ручной поиск уязвимостей таких как удаленное выполнение кода на целевой системе, в веб-приложениях, нарушение бизнес-логики, повышение привилегий.

6. Проведение тестовой эксплуатации обнаруженных уязвимостей и разработанных векторов атак с целью повышения привилегий, преодоления сетевого периметра и дальнейшего развития атаки вплоть до получения доступа к целевым компонентам. Разработка векторов атак и методов проникновения на основе полученных данных о КИИ Заказчика.

В результате заказчик получает:

  • отчет о найденных уязвимостях по итогам проведение внешнего тестирования на проникновение;
  • рекомендации по устранению найденных уязвимостей;
  • рекомендации по использованию дополнительных защитных мер и процессов для снижения рисков информационной безопасности.
У Вас есть вопросы?
Вы находитесь:

Внешнее тестирование на проникновение: обеспечение безопасности вашей организации

Внешнее тестирование на проникновение (penetration testing) является одним из важнейших компонентов современной стратегии кибербезопасности. В условиях, когда киберугрозы становятся все более сложными и изощренными, организации обязаны принимать активные меры для защиты своих информационных систем и данных от потенциальных атак.

Основная цель внешнего тестирования на проникновение заключается в выявлении уязвимостей в защите и формировании векторов атак, которые могут быть использованы злоумышленниками для получения конфиденциальных данных на внешнем периметре вашей организации или для получения удаленного доступа во внутреннюю сеть.

В этой статье мы рассмотрим основные этапы и методы внешнего тестирования на проникновение, а также преимущества, которые вы получите, проведя такое тестирование.

1. Поиск информации в открытых источниках

Перед началом тестирования необходимо собрать информацию о вашей организации из открытых источников. Это может включать использование IP-подсетей, DNS-имен, адресов электронной почты и телефонов сотрудников. Сбор такой информации позволяет определить возможные уязвимости и слабые места в вашей системе безопасности.

2. Сканирование портов и служб

На этом этапе производится сканирование портов и обнаружение расположенных на них служб с помощью автоматизированных средств. Целью сканирования является обнаружение сетевых сервисов, анализ их текстовых сигнатур в ответ на стандартные запросы, определение типа и версии используемого программного обеспечения на сканируемых хостах, а также проверка на стандартные уязвимости, которые могут существовать для обнаруженных сервисов.

3. Анализ защищенности почтовых серверов

На этом этапе проводится анализ защищенности почтовых серверов, который включает тестирование следующих атак на почтовые серверы:

  • Перебор существующих почтовых адресов в домене.
  • Отправка поддельных сообщений от имени сотрудника вашей организации другим сотрудникам.
  • Отправка поддельных сообщений от имени сотрудника вашей организации на внешние почтовые адреса.

Целью анализа является выявление уязвимостей в почтовых серверах и предоставление рекомендаций по их устранению.

4. Анализ защищенности DNS-серверов

На этом этапе проводится анализ защищенности DNS-серверов и сбор информации о DNS-именах. В рамках этого анализа могут быть выполнены следующие атаки:

  • Выполнение трансфера прямой и обратной DNS-зон.
  • Поиск доменных имен путем разрешения IP-адресов в обратной DNS-зоне.

Целью анализа является выявление уязвимостей в DNS-серверах и предоставление рекомендаций по их устранению.

5. Поиск уязвимостей

На этом этапе проводится полуавтоматизированный и ручной поиск уязвимостей. Это может включать поиск уязвимостей, таких как удаленное выполнение кода на целевой системе, уязвимости в веб-приложениях, нарушение бизнес-логики, повышение привилегий и другие. Целью такого поиска является выявление конкретных уязвимостей в системе безопасности и предоставление рекомендаций по их устранению.

6. Тестовая эксплуатация уязвимостей

На этом этапе производится тестовая эксплуатация обнаруженных уязвимостей и разработанных векторов атак. Цель такой эксплуатации состоит в повышении привилегий, преодолении сетевого периметра и дальнейшем продвижении атаки до получения доступа к целевым компонентам. В результате проведения тестовой эксплуатации вы получите отчет о найденных уязвимостях, рекомендации по их устранению, а также рекомендации по использованию дополнительных защитных мер и процессов для снижения рисков информационной безопасности.

Заключение

Внешнее тестирование на проникновение является важным инструментом в обеспечении безопасности информационных систем. Оно позволяет организациям выявлять и устранять уязвимости, прежде чем злоумышленники смогут использовать их в своих целях. Регулярное проведение внешнего тестирования на проникновение помогает предотвратить потенциальные угрозы и повысить уровень безопасности вашей организации.

Если вы заинтересованы в проведении внешнего тестирования на проникновение для вашей организации, обратитесь к профессионалам в области кибербезопасности. Они помогут вам разработать соответствующую стратегию и провести тестирование, чтобы обеспечить безопасность вашей информационной инфраструктуры.

Оставить заявку

Мы всегда рады ответить на любые Ваши вопросы

* Обязательные поля для заполнения

Отправить резюме

* Обязательные поля для заполнения

Спасибо!

Благодарим за обращение. Ваша заявка принята

Наш специалист свяжется с Вами в течение рабочего дня
У Вас есть вопросы?

Политика конфиденциальности и согласие на обработку персональных данных

Настоящая Политика конфиденциальности описывает основы того, как мы будем обрабатывать персональную информацию, которую мы собираем в отношении вас или которую вы предоставляете нам в связи с использованием сайта BSSYS.COM. Данный сайт принадлежит Обществу с ограниченной ответственностью «Бэнкс Софт Системс» (Далее Компания BSS), адрес места нахождения: 117105, г. Москва, Нагорный проезд, д. 5. Используя сайт BSSYS.COM, вы соглашаетесь с условиями настоящей Политики.


Персональная информация

Компания BSS с уважением относится к конфиденциальности вашей персональной информации и прилагает всяческие усилия для её защиты. Для нас имеет первостепенное значение поддержание конфиденциальности любых личных данных, которые вы нам предоставляете.


Под персональной информацией в настоящей Политике понимается:

Информация, которую вы самостоятельно предоставляете при регистрации, подписке, оформлении заявки или авторизации, а также в процессе дальнейшего использования сайта BSSYS.COM, включая персональные данные.

Обязательная для предоставления услуг информация явно обозначена. К такой информации отнесены: имя, адрес электронной почты, контактный телефон.

Иная информация предоставляется пользователем на его усмотрение или может быть обязательна для предоставления, если это связано со спецификой отдельного сервиса Компании BSS, о чём явно указывается.

Данные, которые передаются в автоматическом режиме в зависимости от настроек используемого вами программного обеспечения, включая IP-адрес, cookie, данные об используемом оборудовании, параметрах и настройках браузера, операционной системе, URL-адресе, с которого был осуществлён переход, просмотры страниц, время доступа и ваше местонахождение. Эта информация привязана к устройству, которым вы пользуетесь для доступа к услугам BSSYS.COM.

Компания BSS не осуществляет проверку достоверности предоставляемой вами персональной информации, полагая, что вы действуете добросовестно, осмотрительно и прилагаете все необходимые усилия к поддержанию такой информации в актуальном состоянии. Вы можете в любой момент изменить (обновить, дополнить) предоставленную вами персональную информацию или её часть.


Цели обработки

Мы будем использовать хранящуюся у нас информацию относительно вас для следующих целей:

— Предоставление персонализированного сервиса;
— Получение вами доступа к услугам, которыми вы выразите желание воспользоваться;
— Связь с вами, в том числе для направления вам уведомлений, запросов и информации, касающихся использования сайта, обработки ваших запросов и заявок, для отправки вам по электронной почте маркетинговых сообщений Компании BSS, относящихся к нашим услугам или услугам наших партнёров;
— Улучшение качества сайта, клиентского сервиса и повышение удобства его использования.


Принципы работы с персональной информацией

Мы ни в коем случае не будем передавать вашу персональную информацию третьим лицам. В некоторых случаях Компания BSS может предоставить её третьим лицам в соответствии с настоящей Политикой либо компетентным органам по их запросу.

Мы можем передавать вашу персональную информацию некоторым третьим лицам для её обработки от нашего имени или когда это необходимо для оказания вам услуг с учётом описанных выше целей. Мы требуем от таких третьих лиц строгого соблюдения конфиденциальности передаваемой информации и запрещаем использование вашей персональной информации в собственных коммерческих целях этих компаний. Использование вами сайта BSSYS.COM означает ваше согласие с данными условиями.

Мы будем хранить вашу персональную информацию в нашей системе всё время, пока вы пользуетесь сайтом, и удалим её, как только предоставление услуги закончится либо когда вы выразите желание отказаться от услуг. По соображениям безопасности и в целях соблюдения законодательства Компания BSS хранит в течение определённого времени данные о ваших сообщениях и запросах (в том числе содержимое сообщений, время и даты написания сообщений), оставленных на сайте, а также лог-файлы о действиях, совершённых вами в рамках использования сайта.


Обеспечение безопасности персональной информации

Мы делаем всё возможное для того, чтобы обезопасить сайт BSSYS.COM и вашу персональную информацию от несанкционированных попыток доступа, изменения, раскрытия или уничтожения.

Для этого мы:

— Храним вашу персональную информацию на защищённых серверах и предотвращаем неавторизированный доступ к системам, в которых хранится персональная информация;
— Постоянно совершенствуем способы сбора, хранения и обработки данных, включая физические меры безопасности для противодействия несанкционированному доступу к нашим системам;
— Ограничиваем нашим сотрудникам, подрядчикам и агентам доступ к персональным данным, когда такой доступ не требуется для целей, указанных в настоящей Политике, а также накладываем на них строгие договорные обязательства, за нарушение которых предусмотрены серьёзная ответственность и штрафные санкции.


Использование cookie

Во время просмотра любой страницы сайта BSSYS.COM на ваш компьютер загружается сама страница, а также небольшой текстовый файл под названием cookie. Информация, которую мы получаем посредством cookie-файлов, помогает нам предоставлять услуги в наиболее удобном для вас виде. Файл cookie представляет собой небольшое количество данных, среди которых часто содержится уникальный анонимный идентификатор, посылаемый вашему браузеру компьютером сайта и сохраняемый на жёстком диске вашего компьютера. Использование сайта с помощью веб-браузера, который принимает данные из cookies, означает ваше согласие с тем, что Компания BSS может собирать и обрабатывать данные из cookies в целях, предусмотренных настоящей Политикой, а также на передачу данных из cookies третьим лицам в случаях, перечисленных в настоящей Политике. Отключение или блокировка вами опции веб-браузера по приёму данных из cookies означает запрет на сбор и обработку Компанией BSS данных из cookies в соответствии с условиями настоящей Политики конфиденциальности.


Персональные данные

Компания BSS обрабатывает ваши персональные данные с соблюдением действующего законодательства, в том числе Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».


Вы имеете право на получение в любое время информации, касающейся обработки ваших персональных данных в Компании BSS, для чего вправе направить письменный запрос на адрес: 117105, г. Москва, Нагорный проезд, д. 5, Обществу с ограниченной ответственностью «Бэнкс Софт Системс», с пометкой «запрос информации о порядке обработки персональных данных». Для исполнения данного положения Компания BSS может потребовать от вас подтверждения личности в любой непротиворечащей закону форме.


Прекращение обработки персональных данных

Вы вправе в любой момент отозвать своё согласие на обработку Компанией BSS ваших персональных данных путём направления письменного уведомления на адрес: 117105, г. Москва, Нагорный проезд, д. 5, Обществу с ограниченной ответственностью «Бэнкс Софт Системс», с пометкой «отзыв согласия на обработку персональных данных». Отзыв вами согласия на обработку персональных данных влечёт за собой уничтожение записей, содержащих ваши персональные данные, в системах обработки персональных данных Компании BSS, что может сделать невозможным пользование сервисами и услугами Компании BSS. Для исполнения данного положения Компания BSS может потребовать от вас подтверждения личности в любой непротиворечащей закону форме.


Отписка от рассылки

В любое время вы можете отказаться от получения рекламных и маркетинговых сообщений Компании BSS по электронной почте, нажав ссылку отказа от подписки в нижней части таких сообщений.