8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Информационная безопасность » Периодический контроль внешнего периметра

Периодический контроль внешнего периметра

Эксперты по контролю внешнего периметра

Эксперт по контролю внешнего периметра Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по контролю внешнего периметра Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты

Тестирование на проникновение внешнего периметра

Внешний периметр корпоративной сети организации является рубежом, отделяющим внутреннюю инфраструктуру от общедоступного интернета.

Проблема заключается в том, что ресурсы, находящиеся на внешнем периметре, должны обеспечивать безопасное взаимодействие пользователей интернета c ресурсами, находящимися внутри сети, будь то предоставление доступа в информационную инфраструктуру удаленным сотрудникам или работа клиентов с базами данных через web-приложения.

Все это может привести к тому, что злоумышленник, не имеющий каких-либо привилегий в информационной системе, преодолеет внешний периметр и получит доступ во внутреннюю инфраструктуру.

Особенностью функционирования внешнего периметра является то, что любой пользователь интернета имеет к нему непосредственный сетевой доступ.

Помимо этого, происходит устаревание работающих операционных систем и служб, а также эволюция самого внешнего периметра сети, что может отразиться на его состоянии защищенности.

Поэтому периодическое тестирование на проникновение внешнего периметра корпоративной сети позволит своевременно выявить ошибки конфигурации, а также уязвимости ПО, которые могут привести к нарушению доступности, конфиденциальности, целостности информационных активов организации.

Кому нужно проводить пентест внешнего периметра

Тестирование на проникновение внешнего периметра может проводиться как по требованиям регуляторов, так и по инициативе самой организации.

  1. Например, периодический ежегодный контроль внешнего периметра в финансовой сфере проводится в соответствии с требованиями Положений ЦБ РФ 821-П и 683-П, а также Национального стандарта РФ ГОСТ Р 57580.1-2017
  2. Помимо этого, организация может заказать независимую оценку состояния безопасности внешнего периметра с целью повышения уровня защищенности корпоративной информационной системы

Что входит в периодический контроль внешнего периметра сети

Пентест внешнего периметра подразумевает имитацию действий хакеров, пытающихся получить доступ во внутреннюю инфраструктуру заказчика с помощью тех же подходов, методов и средств, что и реальные злоумышленники.

Результатом тестирования является перечень обнаруженных уязвимостей и рекомендации по их устранению. 

Этапы проведения пентеста внешнего периметра сети

После согласования области исследования наши эксперты проводят предварительный сбор информации

Это может быть как непосредственное сканирование, так и анализ открытых источников, таких как Shodan.io и Сensys.io.

На этом этапе выявляются работающие хосты, открытые порты, работающие на этих портах службы и их версии. Выявляется использование средств защиты.

Далее проводится анализ защищенности внешнего периметра

Проводится поиск известных уязвимостей для выявленных версий служб, попытка их эксплуатации, поиск ошибок конфигурации с целью преодоления внешнего периметра и получения доступа во внутреннюю инфраструктуру.

По согласованию с заказчиком возможен сценарий, при котором IP-адреса, с которых проводится тестирование на проникновение, добавляются в «белые списки» средства защиты сетевого периметра.

Это дает более полное представление о состоянии информационной безопасности сервисов и служб, работающих на внешнем периметре.

По результатам пентеста внешнего периметра сети готовится отчет

Отчет содержит:

  • Описание проведенных проверок
  • Перечень обнаруженных уязвимостей с рекомендациями по их устранению
  • Заключение о состоянии защищенности внешнего периметра корпоративной сети

Почему RTM Group

С учетом изложенных выше нюансов, компания RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выявить уязвимости, но и повысить уровень защиты. Мы предлагаем различные виды теста на проникновение, включая внутренний и внешний пентест, социальную инженерию, RED Team.

Мы обладаем лицензиями:

  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по контролю внешнего периметра

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:




Оглавление:

Что такое пентест внешнего периметра Кому нужно тестирование на проникновение внешнего периметра Контроль внешнего периметра сети Этапы проведения пентеста Почему RTM Group Заказать периодический контроль внешнего периметра сети Стоимость периодического контроля внешнего периметра сети


Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по контролю внешнего периметра

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Тестирование на проникновение (пентест) и анализ уязвимостей

Срок — от 2 недель

Подробное описание
 

от 150 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

3 лицензии

ФСТЭК России и ФСБ России

Услуги для вас

Услуга Пентест сайта и веб-приложений

Пентест сайта и веб-приложений

— Для чего нужен пентест сайта
— Методика тестирования на проникновение сайта
— Где заказать пентест сайта
Услуга Пентест — услуги тестирования на проникновение и анализа уязвимостей

Пентест — услуги тестирования на проникновение и анализа уязвимостей

- Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
- Пример технического задания на проведение пентеста по 683-П, 821-П, 757-П
- Почему RTM Group?
- Цена проведения пентеста
Услуга Тестирование на проникновение беспроводных сетей Wi-Fi

Тестирование на проникновение беспроводных сетей Wi-Fi

— Что такое пентест Wi-Fi
— Кому нужен пентест беспроводных сетей
— Аудит безопасности Wi-Fi сетей
— Этапы проведения тестирования на проникновение Wi-Fi

Продукты и решения для вас

Офисный пакет

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
Системы защиты информации

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
DLP

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
SIEM

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
Управление уязвимостями

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
Цифровая криминалистика

Цифровая криминалистика
Операционные системы

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

Информационная безопасность

Информационная безопасность

Нам доверяют

Полезные статьи

Статья Пентест для организации: задачи, средства, оценка эффективности

Пентест для организации: задачи, средства, оценка эффективности

С тех пор, как пентест «пошел в народ», с каждым годом появляется все больше вариантов его реализации. Нужно ли выделять огромные бюджеты на его выполнение? Есть ли разница в методике тестирования для разных размеров предприятий? Отвечаем на эти и другие вопросы.
Статья Что такое пентест (pentest) и кто такой пентестер?

Что такое пентест (pentest) и кто такой пентестер?

- Что входит в тестирование на проникновение?
- Примеры пентестинга
- Что является результатом пентеста?
- Заключение
Статья Специалисты по обеспечению информационной и программной безопасности систем

Специалисты по обеспечению информационной и программной безопасности систем

Специалисты по информационной безопасности являются основным эшелоном защиты Компании от воздействия вредоносного кода, несанкционированного доступа в информационную инфраструктуру, а также преступных посягательств посредством социальной инженерии и иных методов воздействия на сотрудников Компании.

FAQ: Часто задаваемые вопросы

Включает ли пентест сайта анализ php-кода?

Здравствуйте.
В зависимости от условий договора и, как следствие, формата пентеста, возможны варианты как с анализом, так и без. Также опционально возможна проверка защищенности WEB-сервера, на котором расположен сайт и социальная инженерия административных учетных записей.

Как проводят пентест? Какая методика проведения? Проводят внутреннее или внешнее сканирование?

Пентест надо делать как следует. Это не просто требование ЦБ, а реальный инструмент, который позволяет повысить уровень информационной безопасности. Для тех, кто хочет сэкономить, скажу так: ЦБ не регламентирует формат проведения пентеста. Официального документа нет, методики или даже разъяснений по этому поводу тоже нет. То, что говорится кулуарно, может говориться бесконечно долго, но на сегодняшний день методики нет.

Мы рекомендуем внешнее тестирование и внутреннее хотя бы с дистанционным подключением эксперта. Но хотелось сказать, что сканирование и тестирование –  это немножко разные вещи. Сканирование банк должен выполнять самостоятельно, причём на постоянной основе, а не один раз в год. Про это есть целая группа мер в ГОСТ 57580. Тестирование предполагает помимо сканирования ещё и анализ этих самых уязвимостей, по согласованию с банком их эксплуатации и иные действия, чтобы попасть в инфраструктуру банка дальше и получить доступ к конфиденциальной информации.

Если коротко, методики нет, поэтому каждый делает, как хочет. И если методика когда-нибудь появится, то тогда появятся какие-то рамки, в которых мы будем работать, а пока ничего не понятно.

Как связаны между собой эти процедуры: пентест, анализ уязвимостей информационной безопасности объектов ИИ, анализ уязвимостей ПО?

Пентест включает в себя анализ уязвимостей инфраструктуры – серверов, сетей, сайтов. В ходе пентеста производится не только выявление уязвимостей, но и их эксплуатация (разумеется, по согласованию с заказчиком). Помимо этого, в ходе пентеста могут проводиться сопутствующие работы, такие как социальная инженерия или анализ физической защищенности контролируемой зоны Заказчика.

Исследование ПО на уязвимости по уровню ОУД4 – это отдельное требование 382-П и 683-П/684-П. Оно включает в себя анализ документации на программное обеспечение с расчетом потенциала злоумышленника, способного взломать приложение, и пентест самого приложения. То есть отличается от пентеста или анализа уязвимостей инфраструктуры составом работ и областью тестирования.

Здравствуйте! Если при проведении пентеста выяснилось, что наши системы уязвимы, должны ли мы устранить все уязвимости до сдачи отчета сторонними пентестерами?

Пентест проводится для выявления уязвимости систем. При условии, что система, к которой проводился пентест, является уязвимой, рекомендуется в кратчайшие сроки устранить выявленные недостатки, иначе при проведении повторного пентеста количество угроз может возрасти, а риск оказаться жертвой злоумышленника останется значительным.

Помимо данной практической рекомендации требований к проведению работ по результатам пентестов нет.

Мы проводили пентест корпоративной сети, по результатам пентестинга был получен доступ к AD. Должны ли мы заказывать пентест заново, чтобы продемонстрировать отсутствие уязвимостей?

По окончании работ по пентесту предоставляется отчет. В отчете содержится список уязвимостей, а также описание эксплуатации выявленных уязвимостей и рекомендации по их устранению. В случае соблюдения предоставленных рекомендаций, повторный пентест проводить не требуется. Повторно его можно провести для того, чтобы убедиться в устранении уязвимостей и быть уверенным, что Ваша система полностью защищена.

Здравствуйте!

Что в обязательном порядке должно быть в ТЗ на тестирование на проникновение, а что можно исключить?

Здравствуйте!

В техническом задании указываются цель и суть работ, области проверки, сроки и время проведения пентеста, этапы проведения пентеста и требования к составу отчета. Это основные пункты технического задания для проведения тестирования на проникновение.