Подготовка к внедрению системы ИБ
Подготовить необходимую базу для грамотного и поступательного выстраивания системы ИБ. Вскоре после закупки средств информационной безопасности стало ясно, что они не выполняют свою задачу должным образом.
Пентест – тестирование на проникновение
Узнайте, насколько эффективна Ваша система информационной безопасности уже сегодня, пока этого не сделали злоумышленники
Главные задачи при проведении пентеста
Оценка защищенности
Оценка реального уровня защищённости информационных систем
Выявление уязвимостей
Выявление и последующее устранение существующих уязвимостей
Рекомендации
Составление рекомендаций от экспертов касательно увеличения качества защиты
Повышение безопасности
Повышение степени защиты информации от противоправных посягательств
Варианты проведения пентеста
Внешний пентест (внешнего периметра) – моделирует действия злоумышленника, предполагает его действия «снаружи» сети.
Тестировщик не имеет доступа к системе. Он использует уязвимости и различные ошибки для проникновения внутрь сети.
Этапы
- Сбор информации. Анализируется общедоступная информация, сведения от заказчика, а иногда и конфиденциальная информация, полученная от третьих лиц. Часть данных или всё необходимое может быть передана по договору исполнителю заказчиком.
- Поиск уязвимостей. На данном этапе применяются программные сканеры уязвимостей (эксплойтов) сети. Таким образом находятся точки несанкционированного доступа.
- Эксплуатация уязвимостей. Использование полученных данных для нанесения «вреда» или доступа к конфиденциальным данным. Понятное дело, что в рамках пентеста компания заказчика ущерба не получит.
- Развитие и закрепление атаки. Попытки продвижения внутрь инфраструктуры и/или приложения за счет итерационного повторения этапов 1-3.
Внутренний пентест (внутреннего периметра) – проводится в целях проверки инфраструктуры заказчика на наличие уязвимостей изнутри.
Тестировщик имеет доступ к локальной сети организации. Работа может проводиться как локально, так и удалённо.
Этапы
- Поиск доступной информации. Используется всё, что попадёт под руку – пароли сотрудников, служебная информация и многое другое.
- Повышение прав доступа. Полученные сведения применяются для несанкционированного доступа.
- Повторный поиск информации. Несанкционированный доступ используется для совершения действий, необходимых для достижения конечной цели (в зависимости от согласованного с заказчиком ТЗ). Может повторятся неоднократно.
Проверка Red Team — имитация кибератаки на организацию. Это можно назвать учениями, в которых участвует 2 стороны условных противников red-team vs blue-team. Первые – атакуют, вторые защищают.
Что даёт проведение тестирования методом Red Team:
- Оценка Red Team поможет выявить и устранить уязвимости, обнаруженные в программном обеспечении и системах инфраструктуры.
- Редтиминг помогает выявить широкий спектр уязвимостей в организации, которые могут использоваться совместно для компрометации конфиденциальных активов или данных.
- Red Team позволит раскрыть множество способов, которыми злоумышленник сможет взломать вашу защиту.
- Red Team поможет определить потенциальный ущерб от кибератаки.
- Оценка в области моделировании продвинутых атак повышает уровень готовности и компетентности внутренних команд ИБ.
- Редтиминг позволяет оценить эффективность защиты без последствий реального инцидента.
Социальная инженерия (иногда произносится как “социальный инжиниринг” от англ. “social engineering”) в контексте информационной безопасности – это способ несанкционированного получения закрытой информации или склонения к определённым действиям путём обмана или психологического манипулирования людьми.
Что даёт проведение тестирования методом социальной инженерии:
- Значительное снижение риска утечек конфиденциальной информации
- Увеличение компетентности сотрудников при хакерских атаках
- Материалы и план для обучения новых сотрудников методам защиты от социальной инженерии.
Процедура анализа уязвимостей сайта/web-приложения (пентеста или тестирования на проникновение) имитирует хакерскую атаку и дает возможность выявить слабые места сайта.
Что даёт обнаружить пентест сайта/веб-приложения:
- Ошибки программирования;
- Программные закладки;
- Уязвимые компоненты сайта;
- Ошибки в настройках серверного оборудования, операционной системы и сторонних приложениях хостинга.
Почему RTM Group?
- Специалисты RTM Group имеют стаж более 10 лет в проведении пентестов.
- Компания является лицензиатом ФСБ и ФСТЭК.
- Гарантируем конфиденциальность – заключаем договор NDA.
- Путём эксплуатации уязвимостей находим слабые места в системе безопасности.
- По результатам предоставляем отчет с найденными уязвимостями и рекомендации по их устранению.
- Естественно, при таком «взломе» Вы не получите никакого ущерба – все сведения по поводу эксплойтов будут незамедлительно переданы Вам для принятия дальнейших мер.
Не откладывайте вопрос с безопасностью на завтра, лучше быть уверенным сегодня!
Звоните 8 800 201-20-70
Обратите внимание, что мы работаем только с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Сроки и стоимость пентеста
В зависимости от объёма и комплекса работ стоимость тестирования на проникновение может значительно меняться. Однако минимальная цена услуги в компании RTM Group составляет от 200 000 рублей, а срок – 2 недели.
Для Вашего удобства и экономии времени предлагаем Вам обратиться к нашему менеджеру по телефону или на почту sales@rtmtech.ru. На основании Вашего запроса, мы оперативно подберём лучший вариант исходя из особенностей Вашей ситуации и бюджета!
И Вы получите:
Развёрнутую информацию по тестированию на проникновение и ответы на все вопросы
Подбор подходящего в рамках Вашей ситуации пакета услуг
Расчёт цены и сроков проведения пентеста
ПОЧЕМУ RTM GROUP
Широкая география работы и присутствия
Работа на территории России, Беларуси и КазахстанаКаждый 5-й российский банк - наш клиент
Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержкуБолее 700 аудитов
Сотрудники компании провели более 500 аудитов по различным критериямБолее 1700 экспертиз
проведено нашими экспертамиболее 45 вариантов
производимых ИТ-экспертиз9 лет
минимальный стаж экспертной работы35
дипломированных экспертовдо 12 часов
экстренный выезд эксперта на местоНам доверяют
Отзывы и благодарности
ЛИЦЕНЗИИ
Лицензия ФСБ России
Лицензия ФСБ России на работу со средствами криптозащиты
Лицензия ФСТЭК России
Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
Лицензия ФСТЭК России
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
Наши кейсы
Подготовка объяснений по уголовному делу
Заказчик обратился за помощью в подготовке объяснения в рамках уголовного дела, возбужденного по ч. 1 ст. 274.1 УК РФ. Объяснили, по каким причинам сотрудник не может быть привлечён к уголовной ответственности.
Исследование оборудования на соответствие госконтракту
Проблема: Возможное несоответствие технических характеристик системного блока и мониторов характеристикам, указанным в техническом задании к государственному контракту. Проведён анализ ТЗ, техники, составлено заключение.