![Музалевский Федор Александрович Эксперт по контролю внешнего периметра Музалевский Федор Александрович](https://rtmtech.ru/wp-content/uploads/2019/08/muzalevskij-f.jpg)
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”
Все экспертыВедущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”
Все эксперты
Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
Наименование услуги | Стоимость |
---|---|
Консультация |
Бесплатно |
Тестирование на проникновение (пентест) и анализ уязвимостей Срок — от 2 недель |
от 150 000 руб. |
Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету. |
Включает ли пентест сайта анализ php-кода?
Андрей
Здравствуйте.
В зависимости от условий договора и, как следствие, формата пентеста, возможны варианты как с анализом, так и без. Также опционально возможна проверка защищенности WEB-сервера, на котором расположен сайт и социальная инженерия административных учетных записей.
Как проводят пентест? Какая методика проведения? Проводят внутреннее или внешнее сканирование?
Андрей
Пентест надо делать как следует. Это не просто требование ЦБ, а реальный инструмент, который позволяет повысить уровень информационной безопасности. Для тех, кто хочет сэкономить, скажу так: ЦБ не регламентирует формат проведения пентеста. Официального документа нет, методики или даже разъяснений по этому поводу тоже нет. То, что говорится кулуарно, может говориться бесконечно долго, но на сегодняшний день методики нет.
Мы рекомендуем внешнее тестирование и внутреннее хотя бы с дистанционным подключением эксперта. Но хотелось сказать, что сканирование и тестирование – это немножко разные вещи. Сканирование банк должен выполнять самостоятельно, причём на постоянной основе, а не один раз в год. Про это есть целая группа мер в ГОСТ 57580. Тестирование предполагает помимо сканирования ещё и анализ этих самых уязвимостей, по согласованию с банком их эксплуатации и иные действия, чтобы попасть в инфраструктуру банка дальше и получить доступ к конфиденциальной информации.
Если коротко, методики нет, поэтому каждый делает, как хочет. И если методика когда-нибудь появится, то тогда появятся какие-то рамки, в которых мы будем работать, а пока ничего не понятно.
Как связаны между собой эти процедуры: пентест, анализ уязвимостей информационной безопасности объектов ИИ, анализ уязвимостей ПО?
Михаил
Пентест включает в себя анализ уязвимостей инфраструктуры – серверов, сетей, сайтов. В ходе пентеста производится не только выявление уязвимостей, но и их эксплуатация (разумеется, по согласованию с заказчиком). Помимо этого, в ходе пентеста могут проводиться сопутствующие работы, такие как социальная инженерия или анализ физической защищенности контролируемой зоны Заказчика.
Исследование ПО на уязвимости по уровню ОУД4 – это отдельное требование 382-П и 683-П/684-П. Оно включает в себя анализ документации на программное обеспечение с расчетом потенциала злоумышленника, способного взломать приложение, и пентест самого приложения. То есть отличается от пентеста или анализа уязвимостей инфраструктуры составом работ и областью тестирования.
Здравствуйте! Если при проведении пентеста выяснилось, что наши системы уязвимы, должны ли мы устранить все уязвимости до сдачи отчета сторонними пентестерами?
Максим
Пентест проводится для выявления уязвимости систем. При условии, что система, к которой проводился пентест, является уязвимой, рекомендуется в кратчайшие сроки устранить выявленные недостатки, иначе при проведении повторного пентеста количество угроз может возрасти, а риск оказаться жертвой злоумышленника останется значительным.
Помимо данной практической рекомендации требований к проведению работ по результатам пентестов нет.
Мы проводили пентест корпоративной сети, по результатам пентестинга был получен доступ к AD. Должны ли мы заказывать пентест заново, чтобы продемонстрировать отсутствие уязвимостей?
Виктор Владимирович
По окончании работ по пентесту предоставляется отчет. В отчете содержится список уязвимостей, а также описание эксплуатации выявленных уязвимостей и рекомендации по их устранению. В случае соблюдения предоставленных рекомендаций, повторный пентест проводить не требуется. Повторно его можно провести для того, чтобы убедиться в устранении уязвимостей и быть уверенным, что Ваша система полностью защищена.
Здравствуйте!
Что в обязательном порядке должно быть в ТЗ на тестирование на проникновение, а что можно исключить?
Алексей
Здравствуйте!
В техническом задании указываются цель и суть работ, области проверки, сроки и время проведения пентеста, этапы проведения пентеста и требования к составу отчета. Это основные пункты технического задания для проведения тестирования на проникновение.