Пентест для заказчика из банковского сектора

Заказчику потребовалось проведение пентеста для поиска существующих уязвимостей и реализации мер, которые помогли бы их оперативно устранить. Работали по методу «белого ящика».

Заказчик из банка обратился за проведением тестирования на проникновение методом «белого ящика». Эта методика предполагает наличие знаний у пентестера о системе, которая проверяется, перед началом проекта. Заказчик выбрал этот способ потому, что у него возникли трудности с обновлениями для ОС Microsoft и Red Hat и он хотел оперативно разобраться с проблемами. Требовалось вначале дать рекомендации по возможностям устранения имеющихся уязвимостей и дефектов безопасности, а затем проверить корректность их устранения.

 

Результат

Пентестеры RTM Group в ходе анализа инфраструктуры выявили большой перечень уязвимых сетевых ресурсов. Детальный анализ показал, что основная их масса (более 50%) не требуются в повседневной деятельности банка и относятся к выведенным из эксплуатации или, напротив, тестовым системам.

Для этих ресурсов была создана отдельная подсеть, без связи с продуктивом. Также в этих системах были обезличены персональные данные и скрыта чувствительная информация. Действительно необходимые ресурсы из оставшихся были частично перенесены на серверы под управлением RED OS, а частично закрыты средствами защиты (включая антивирусы и межсетевые экраны). Риск реализации потенциальным злоумышленником оставшихся уязвимостей признан банком незначительным.

По итогам оказания данной услуги заказчик получил полный отчет о проделанной работе и список рекомендаций по устранения выявленных уязвимостей и повышения уровня защищенности своих ресурсов.

Сопутствующие услуги

Пентест — услуги тестирования на проникновение и анализа уязвимостей

Пентест — услуги тестирования на проникновение и анализа уязвимостей

- Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
- Пример технического задания на проведение пентеста по 683-П, 821-П, 757-П
- Почему RTM Group?
- Цена проведения пентеста

Анализ защищенности банкоматов (АТМ)

Анализ защищенности банкоматов (АТМ)

— Пентест банкомата: что это?
— Этапы оценки защищенности банкомата
— Форматы тестирования безопасности банкомата

Стресс-тестирование по типовому техническому заданию

Стресс-тестирование по типовому техническому заданию

Техническое задание включает в себя пентест внешнего периметра и WEB-приложений, моделируя действия внешнего нарушителя. Достаточно стандартная работа имеет ряд нюансов, которые надо учесть, чтобы корректно выполнить законодательные требования.

Полезные статьи

Пентест для организации: задачи, средства, оценка эффективности

Пентест для организации: задачи, средства, оценка эффективности

С тех пор, как пентест «пошел в народ», с каждым годом появляется все больше вариантов его реализации. Нужно ли выделять огромные бюджеты на его выполнение? Есть ли разница в методике тестирования для разных размеров предприятий? Отвечаем на эти и другие вопросы.

Что такое пентест (pentest) и кто такой пентестер?

Что такое пентест (pentest) и кто такой пентестер?

- Что входит в тестирование на проникновение?
- Примеры пентестинга
- Что является результатом пентеста?
- Заключение