Периодический контроль внешнего периметра

Эксперты по контролю внешнего периметра

Эксперт по контролю внешнего периметра Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по контролю внешнего периметра Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты

Тестирование на проникновение внешнего периметра

Внешний периметр корпоративной сети организации является рубежом, отделяющим внутреннюю инфраструктуру от общедоступного интернета.

Проблема заключается в том, что ресурсы, находящиеся на внешнем периметре, должны обеспечивать безопасное взаимодействие пользователей интернета c ресурсами, находящимися внутри сети, будь то предоставление доступа в информационную инфраструктуру удаленным сотрудникам или работа клиентов с базами данных через web-приложения.

Все это может привести к тому, что злоумышленник, не имеющий каких-либо привилегий в информационной системе, преодолеет внешний периметр и получит доступ во внутреннюю инфраструктуру.

Особенностью функционирования внешнего периметра является то, что любой пользователь интернета имеет к нему непосредственный сетевой доступ.

Помимо этого, происходит устаревание работающих операционных систем и служб, а также эволюция самого внешнего периметра сети, что может отразиться на его состоянии защищенности.

Поэтому периодическое тестирование на проникновение внешнего периметра корпоративной сети позволит своевременно выявить ошибки конфигурации, а также уязвимости ПО, которые могут привести к нарушению доступности, конфиденциальности, целостности информационных активов организации.

Кому нужно проводить пентест внешнего периметра

Тестирование на проникновение внешнего периметра может проводиться как по требованиям регуляторов, так и по инициативе самой организации.

  1. Например, периодический ежегодный контроль внешнего периметра в финансовой сфере проводится в соответствии с требованиями Положений ЦБ РФ 821-П и 683-П, а также Национального стандарта РФ ГОСТ Р 57580.1-2017
  2. Помимо этого, организация может заказать независимую оценку состояния безопасности внешнего периметра с целью повышения уровня защищенности корпоративной информационной системы

Что входит в периодический контроль внешнего периметра сети

Пентест внешнего периметра подразумевает имитацию действий хакеров, пытающихся получить доступ во внутреннюю инфраструктуру заказчика с помощью тех же подходов, методов и средств, что и реальные злоумышленники.

Результатом тестирования является перечень обнаруженных уязвимостей и рекомендации по их устранению. 

Этапы проведения пентеста внешнего периметра сети

После согласования области исследования наши эксперты проводят предварительный сбор информации

Это может быть как непосредственное сканирование, так и анализ открытых источников, таких как Shodan.io и Сensys.io.

На этом этапе выявляются работающие хосты, открытые порты, работающие на этих портах службы и их версии. Выявляется использование средств защиты.

Далее проводится анализ защищенности внешнего периметра

Проводится поиск известных уязвимостей для выявленных версий служб, попытка их эксплуатации, поиск ошибок конфигурации с целью преодоления внешнего периметра и получения доступа во внутреннюю инфраструктуру.

По согласованию с заказчиком возможен сценарий, при котором IP-адреса, с которых проводится тестирование на проникновение, добавляются в «белые списки» средства защиты сетевого периметра.

Это дает более полное представление о состоянии информационной безопасности сервисов и служб, работающих на внешнем периметре.

По результатам пентеста внешнего периметра сети готовится отчет

Отчет содержит:

  • Описание проведенных проверок
  • Перечень обнаруженных уязвимостей с рекомендациями по их устранению
  • Заключение о состоянии защищенности внешнего периметра корпоративной сети

Почему RTM Group

С учетом изложенных выше нюансов, компания RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выявить уязвимости, но и повысить уровень защиты. Мы предлагаем различные виды теста на проникновение, включая внутренний и внешний пентест, социальную инженерию, RED Team.

Мы обладаем лицензиями:

  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по контролю внешнего периметра

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:






Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по контролю внешнего периметра

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Тестирование на проникновение (пентест) и анализ уязвимостей

Срок — от 2 недель

Подробное описание
 

от 150 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

3 лицензии

ФСТЭК России и ФСБ России

Продукты и решения для вас

Нам доверяют

Полезные статьи

FAQ: Часто задаваемые вопросы

Включает ли пентест сайта анализ php-кода?

Здравствуйте.
В зависимости от условий договора и, как следствие, формата пентеста, возможны варианты как с анализом, так и без. Также опционально возможна проверка защищенности WEB-сервера, на котором расположен сайт и социальная инженерия административных учетных записей.

Как проводят пентест? Какая методика проведения? Проводят внутреннее или внешнее сканирование?

Пентест надо делать как следует. Это не просто требование ЦБ, а реальный инструмент, который позволяет повысить уровень информационной безопасности. Для тех, кто хочет сэкономить, скажу так: ЦБ не регламентирует формат проведения пентеста. Официального документа нет, методики или даже разъяснений по этому поводу тоже нет. То, что говорится кулуарно, может говориться бесконечно долго, но на сегодняшний день методики нет.

Мы рекомендуем внешнее тестирование и внутреннее хотя бы с дистанционным подключением эксперта. Но хотелось сказать, что сканирование и тестирование —  это немножко разные вещи. Сканирование банк должен выполнять самостоятельно, причём на постоянной основе, а не один раз в год. Про это есть целая группа мер в ГОСТ 57580. Тестирование предполагает помимо сканирования ещё и анализ этих самых уязвимостей, по согласованию с банком их эксплуатации и иные действия, чтобы попасть в инфраструктуру банка дальше и получить доступ к конфиденциальной информации.

Если коротко, методики нет, поэтому каждый делает, как хочет. И если методика когда-нибудь появится, то тогда появятся какие-то рамки, в которых мы будем работать, а пока ничего не понятно.

Как связаны между собой эти процедуры: пентест, анализ уязвимостей информационной безопасности объектов ИИ, анализ уязвимостей ПО?

Пентест включает в себя анализ уязвимостей инфраструктуры — серверов, сетей, сайтов. В ходе пентеста производится не только выявление уязвимостей, но и их эксплуатация (разумеется, по согласованию с заказчиком). Помимо этого, в ходе пентеста могут проводиться сопутствующие работы, такие как социальная инженерия или анализ физической защищенности контролируемой зоны Заказчика.

Исследование ПО на уязвимости по уровню ОУД4 — это отдельное требование 382-П и 683-П/684-П. Оно включает в себя анализ документации на программное обеспечение с расчетом потенциала злоумышленника, способного взломать приложение, и пентест самого приложения. То есть отличается от пентеста или анализа уязвимостей инфраструктуры составом работ и областью тестирования.

Здравствуйте! Если при проведении пентеста выяснилось, что наши системы уязвимы, должны ли мы устранить все уязвимости до сдачи отчета сторонними пентестерами?

Пентест проводится для выявления уязвимости систем. При условии, что система, к которой проводился пентест, является уязвимой, рекомендуется в кратчайшие сроки устранить выявленные недостатки, иначе при проведении повторного пентеста количество угроз может возрасти, а риск оказаться жертвой злоумышленника останется значительным.

Помимо данной практической рекомендации требований к проведению работ по результатам пентестов нет.

Мы проводили пентест корпоративной сети, по результатам пентестинга был получен доступ к AD. Должны ли мы заказывать пентест заново, чтобы продемонстрировать отсутствие уязвимостей?

По окончании работ по пентесту предоставляется отчет. В отчете содержится список уязвимостей, а также описание эксплуатации выявленных уязвимостей и рекомендации по их устранению. В случае соблюдения предоставленных рекомендаций, повторный пентест проводить не требуется. Повторно его можно провести для того, чтобы убедиться в устранении уязвимостей и быть уверенным, что Ваша система полностью защищена.

Здравствуйте!

Что в обязательном порядке должно быть в ТЗ на тестирование на проникновение, а что можно исключить?

Здравствуйте!

В техническом задании указываются цель и суть работ, области проверки, сроки и время проведения пентеста, этапы проведения пентеста и требования к составу отчета. Это основные пункты технического задания для проведения тестирования на проникновение.