Сокрытие части инфраструктуры предприятия
При анализе ситуации было обнаружено, что две функционирующие ИСПДн не были включены в область оценки. Организации-заказчику требовалось провести анализ ситуации и устранить указанные проблемы.
Пентест – тестирование на проникновение
Оцените уязвимость вашей системы безопасности, прежде чем кто-то решит проверить это за вас
Главные задачи при проведении пентеста
Оценка защищенности
Оценка реального уровня защищённости информационных систем
Выявление уязвимостей
Выявление и последующее устранение существующих уязвимостей
Рекомендации
Составление рекомендаций от экспертов касательно увеличения качества защиты
Повышение безопасности
Повышение степени защиты информации от противоправных посягательств
Варианты проведения пентеста
Внешний пентест (внешнего периметра) – моделирует действия злоумышленника, предполагает его действия «снаружи» сети.
Тестировщик не имеет доступа к системе. Он использует уязвимости и различные ошибки для проникновения внутрь сети.
Этапы
- Сбор информации. Анализируется общедоступная информация, сведения от заказчика, а иногда и конфиденциальная информация, полученная от третьих лиц. Часть данных или всё необходимое может быть передана по договору исполнителю заказчиком.
- Поиск уязвимостей. На данном этапе применяются программные сканеры уязвимостей (эксплойтов) сети. Таким образом находятся точки несанкционированного доступа.
- Эксплуатация уязвимостей. Использование полученных данных для нанесения «вреда» или доступа к конфиденциальным данным. Понятное дело, что в рамках пентеста компания заказчика ущерба не получит.
- Развитие и закрепление атаки. Попытки продвижения внутрь инфраструктуры и/или приложения за счет итерационного повторения этапов 1-3.
Внутренний пентест (внутреннего периметра) – проводится в целях проверки инфраструктуры заказчика на наличие уязвимостей изнутри.
Тестировщик имеет доступ к локальной сети организации. Работа может проводиться как локально, так и удалённо.
Этапы
- Поиск доступной информации. Используется всё, что попадёт под руку – пароли сотрудников, служебная информация и многое другое.
- Повышение прав доступа. Полученные сведения применяются для несанкционированного доступа.
- Повторный поиск информации. Несанкционированный доступ используется для совершения действий, необходимых для достижения конечной цели (в зависимости от согласованного с заказчиком ТЗ). Может повторятся неоднократно.
Проверка Red Team — имитация кибератаки на организацию. Это можно назвать учениями, в которых участвует 2 стороны условных противников red-team vs blue-team. Первые – атакуют, вторые защищают.
Что даёт проведение тестирования методом Red Team:
- Оценка Red Team поможет выявить и устранить уязвимости, обнаруженные в программном обеспечении и системах инфраструктуры.
- Редтиминг помогает выявить широкий спектр уязвимостей в организации, которые могут использоваться совместно для компрометации конфиденциальных активов или данных.
- Red Team позволит раскрыть множество способов, которыми злоумышленник сможет взломать вашу защиту.
- Red Team поможет определить потенциальный ущерб от кибератаки.
- Оценка в области моделировании продвинутых атак повышает уровень готовности и компетентности внутренних команд ИБ.
- Редтиминг позволяет оценить эффективность защиты без последствий реального инцидента.
Социальная инженерия (иногда произносится как “социальный инжиниринг” от англ. “social engineering”) в контексте информационной безопасности – это способ несанкционированного получения закрытой информации или склонения к определённым действиям путём обмана или психологического манипулирования людьми.
Что даёт проведение тестирования методом социальной инженерии:
- Значительное снижение риска утечек конфиденциальной информации
- Увеличение компетентности сотрудников при хакерских атаках
- Материалы и план для обучения новых сотрудников методам защиты от социальной инженерии.
Процедура анализа уязвимостей сайта/web-приложения (пентеста или тестирования на проникновение) имитирует хакерскую атаку и дает возможность выявить слабые места сайта.
Что даёт обнаружить пентест сайта/веб-приложения:
- Ошибки программирования;
- Программные закладки;
- Уязвимые компоненты сайта;
- Ошибки в настройках серверного оборудования, операционной системы и сторонних приложениях хостинга.
Почему RTM Group?
- Специалисты RTM Group имеют стаж более 10 лет в проведении пентестов.
- Компания является лицензиатом ФСБ и ФСТЭК.
- Мы активно сотрудничаем с клиентами из финансового сектора, где требования к безопасности регламентируются строгими законодательными нормами. Специалисты RTM Group обладают высокой компетентностью и учитывают все требования, выполняя пентесты так, чтобы у регуляторов не возникало вопросов.
- Гарантируем конфиденциальность – заключаем договор NDA.
- Путём эксплуатации уязвимостей находим слабые места в системе безопасности.
- По результатам предоставляем отчет с найденными уязвимостями и рекомендации по их устранению.
- Естественно, при таком «взломе» Вы не получите никакого ущерба – все сведения по поводу эксплойтов будут незамедлительно переданы Вам для принятия дальнейших мер.
Не откладывайте вопрос с безопасностью на завтра, лучше быть уверенным сегодня!
Звоните 8 800 201-20-70
Обратите внимание, что мы работаем только с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Сроки и стоимость пентеста
В зависимости от объёма и комплекса работ стоимость тестирования на проникновение может значительно меняться. Однако минимальная цена услуги в компании RTM Group составляет от 200 000 рублей, а срок – 2 недели.
Для Вашего удобства и экономии времени предлагаем Вам обратиться к нашему менеджеру по телефону или на почту sales@rtmtech.ru. На основании Вашего запроса, мы оперативно подберём лучший вариант исходя из особенностей Вашей ситуации и бюджета!
И Вы получите:
Развёрнутую информацию по тестированию на проникновение и ответы на все вопросы
Подбор подходящего в рамках Вашей ситуации пакета услуг
Расчёт цены и сроков проведения пентеста
ПОЧЕМУ RTM GROUP
Широкая география работы и присутствия
Работа на территории России, Беларуси и КазахстанаКаждый 5-й российский банк - наш клиент
Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержкуБолее 700 аудитов
Сотрудники компании провели более 500 аудитов по различным критериямБолее 1700 экспертиз
проведено нашими экспертамиболее 45 вариантов
производимых ИТ-экспертиз9 лет
минимальный стаж экспертной работы35
дипломированных экспертовдо 12 часов
экстренный выезд эксперта на местоНам доверяют
Отзывы и благодарности
ЛИЦЕНЗИИ
Лицензия ФСБ России
Лицензия ФСБ России на работу со средствами криптозащиты
Лицензия ФСТЭК России
Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
Лицензия ФСТЭК России
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
Наши кейсы
Правовой анализ документов на выполнение работ по разработке ПО (информационно-аналитической системы)
Помочь в грамотном оформлении документов с подрядчиком-разработчиком ПО, в том числе в части передачи прав на интеллектуальную собственность, и исключении финансовых потерь.
Исследование оборудования на соответствие госконтракту
Проблема: Возможное несоответствие технических характеристик системного блока и мониторов характеристикам, указанным в техническом задании к государственному контракту. Проведён анализ ТЗ, техники, составлено заключение.