+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Тест на проникновение (пентест) и анализ уязвимостей

Тестирование на проникновение (пентест, penetration test) – это моделирование действия злоумышленника, направленное на обнаружение уязвимостей информационной безопасности, и как следствие, повышение уровня защищенности.

Пентест необходим для проверки уровня информационной безопасности инфраструктуры организации, а так же требуется банкам и некредитным финансовым организациям (согласно положениям Банка России 382-П, 683-П и 684-П).

Компания RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выполнить требования Банка России, но и повысить уровень информационной безопасности предприятия.

Тест на проникновение (пентест) и анализ уязвимостей

Эксперты по проведению пентеста (pentest) и анализа уязвимостей

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Муравский Юрий Юрьевич

Муравский Юрий Юрьевич

Эксперт компьютерно-технического направления

Опыт: Стаж работы в сфере информационных технологий с 2009 года. Стаж экспертной работы с 2017 года.

Профиль >>

Все эксперты

Описание

Где встречаются требования проводить пентест?

Где встречаются требования проводить пентест?В РФ проведение пентеста требуется согласно положениям Банка России 382-П, 683-П и 684-П. Причем последнее затрагивает не только банки, но и некредитные финансовые организации.

  • Согласно п. 2.5.5.1 Положению № 382-П, Банк России требует обеспечить ежегодное тестирование на проникновение (далее — пентест) и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. Данное требование было введено указанием Банка России 4793-У. Фактически Банком России введено требование проведения пентеста на ежегодной основе.
  • Согласно п. 3.2 Положению № 683-П Центральный банк требует также обеспечить ежегодный пентест и анализ уязвимостей.
  • Согласно п.5.4 Положению № 684-П некредитные финансовые организации должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Каким бывает пентест?

Тестирование на проникновение может быть внешним и внутренним. В качестве одного из элементов внешнего пентеста выделяется социальная инженерия.
Типы пентеста

Внешний пентест

Внешний пентест моделирует действия нарушителя, и предполагает действия хакера снаружи. Данный вариант пентеста состоит из следующих этапов:

  1. Сбор информации. Пентестера интересуют, как правило, адреса внешнего периметра Заказчика – web-сайты, серверы. При этом анализируется как общедоступная информация, информация переданная Заказчиком, так и, в ряде случаев, конфиденциальная информация, полученная от третьих лиц. Часть сведений или вся необходимая информация может быть передана по договору Исполнителю непосредственно Заказчиком.
  2. Поиск уязвимостей. На данном этапе применяются различные сканеры, которые, в общем случае, могут дополнять друг-друга. Из наиболее известных – Nessus, XSpider, OpenVAS, Maxpatrol.
  3. Эксплуатация уязвимостей. На данном этапе от пентестеров требуется творческий подход – ведь этичному хакеру нельзя допустить ущерб инфраструктуре Заказчика, поэтому данный этап в ряде случаев пропускается. Эксплуатация уязвимостей происходит только с согласия Заказчика при условии не допустить нарушение функционирования систем.

Отдельным направлением внешнего пентеста является социальная инженерия. Наиболее массово используемым ее видом инструментом является рассылка зараженных электронных писем. По результатам рассылки анализируется не только работа антивирусных средств и инструментов мониторинга трафика, но и главный фактор – ответственность сотрудников при реагировании на получение подобных писем. Сам факт открытия письма уже может быть предметом внутреннего разбирательства или основанием для обучения сотрудников базовым требованиям ИБ.

Внутренний пентест

Внутренний пентест проводится в целях проверки инфраструктуры заказчика на наличие уязвимостей изнутри. При этом пентестер получает доступ внутрь с правами рядового пользователя (либо вообще без прав), но с физическим доступом к сети или рабочему месту. При этом тестирование может производиться как удаленно, посредством VPN-подключения, либо с присутствием пентестера на территории Заказчика.

Поскольку внутренние нарушители составляют основную массу в числе инцидентов ИБ, именно внутренний пентест представляет особый интерес. При этом нет необходимости искать точки входа – ведь моделируется ситуация, когда хакер уже проник внутрь. Поэтому его действия состоят из следующих этапов:

  • Поиск доступной информации (зачастую рядовому пользователю доступна конфиденциальная информация, находящаяся на сетевом ресурсе, просто ярлык от ресурса явно не выведен на рабочий стол)
  • Повышение прав доступа за счет эксплуатации известных уязвимостей
  • Повторный поиск информации с повышенными правами – в зависимости от согласованного с заказчиком ТЗ.

Методика проведения пентеста

Поскольку методика проведения пентестов регуляторами не определена, опишем основные нюансы, которые следует учесть при выполнении данного требования:
Методика проведения пентеста

  1. Пентест (pentest) может привести к отказам в обслуживании, в случае, если обнаружена и использована существенная уязвимость. Разумеется, наступление негативных последствий зависит от квалификации исполнителя, однако, зачастую, это неизбежно. В связи с этим лучше напрямую оговорить в техническом задании на пентест или применяемой методике пентеста требование не эксплуатировать обнаруженные уязвимости.
  2. Тестирование на проникновение – достаточно широкое понятие. Оно может включать в себя внешнее исследование (по методу черного ящика), открытый анализ существующей инфраструктуры (по методу белого ящика), смешанные методы (серый ящик), социальную инженерию и иные разделы. В связи с этим необходимо определиться с объемом тестирования. Это напрямую повлияет на полноту обнаруженных уязвимостей, но, в то же время, отразится на сроках и стоимости.
  3. В качестве исполнителя работ может привлекаться организация – лицензиат ФСТЭК России (имеющая лицензию на техническую защиту конфиденциальной информации).
  4. Требование проводить пентест по 382-П является нормативным и критерий достаточности не установлен, поэтому заказчику работ необходимо определиться с объемом проводимых работ.

Очевидно, что наиболее полным тестированием будет смешанное – открытый анализ и пентест по черному ящику. При этом следует оговорить независимость экспертов, реализующих данные подходы.

Однако, как было отмечено выше, подобное исследование может быть чрезвычайно дорогостоящим и длительным. Поэтому тестирование можно проводить не на всей инфраструктуре, а на выборке – например, утвердив перечень серверов, сервисов, рабочих станций или информационных систем, используемых банком.

При выборе направления для тестирования (внешнее или внутреннее) по черному ящику – следует помнить, что подавляющее большинство нарушений доступа к информации – следствие внутренних нарушителей.

Методики поиска уязвимостей существенно различаются по инструментарию и алгоритмам, и зависят от особенностей инфраструктуры. Сведения о шагах поиска приводятся в отчете о пентесте.

Существенное различие между внешним и внутренним пентестами заключается в сборе предварительных сведений. В рамках пентестов, проводимых согласно требованиям ЦБ, сведения предоставляются Заказчиком.

Запрос коммерческого предложения

Какие результаты пентеста можно получить?

В результате действий пентестера, выявляются недостатки информационной безопасности, которые могут заключаться в следующем:

  • Некорректное разграничение прав доступа
  • Слабые пароли
  • Неактуальные версии программного обеспечения
  • Плохая сегментация вычислительной сети
  • И пр.

Пример технического задания на проведение пентеста по 382-П


п.п.
Раздел Содержание раздела для внутреннего пентеста
Содержание раздела для внешнего пентеста
1 Время тестирования 15 рабочих дней 5 рабочих дней
2 Время составления отчета 5 рабочих дней 5 рабочих дней
3 Формат тестирования
  • Поиск уязвимостей;
  • Анализ защищенности сервисов
  • Поиск уязвимостей;
  • Анализ защищенности сервисов
4 Объем тестирования
  • Рабочие станции – 10-20 шт.
  • Серверы – 5-10 шт.
  • WEB-сервисы – не тестируются
Общедоступные ресурсы Заказчика — до 10 шт.
5 Эксплуатация уязвимостей Не проводится Не проводится
6 Исходные данные для тестирования
  • VPN-доступ в сеть Заказчика
  • RDP-доступ к рабочей станции с правами непривилегированного пользователя домена
  • Права локального администратора на рабочей станции (по запросу)
IP и/или URL-адреса ресурсов Заказчика
7 Состав отчета
  1. Применяемые средства
  2. Методика тестирования
  3. Обнаруженные недостатки защищенности
  4. Перечень учетных записей, к которым удалось скомпрометировать пароли
  5. Перечень рекомендаций по повышению защищенности
8 Дополнительные условия Рядовые сотрудники отдела IT не должны обладать информацией, для которых предоставляется удаленный доступ к рабочей станции и VPN-соединение Необходимо обеспечить доступность (работоспособность) тестируемых ресурсов на все время проведения пентеста.
9
Стоимость от 200 000 рублей от 150 000 рублей

 

С учетом изложенных выше нюансов, компания RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выполнить требования Банка России, но и повысить уровень информационной безопасности предприятия. Вы можете заказать тестирование во внешнему или внутреннему контурам отдельно, либо комплексное тестирование по стоимости от 300 000 рублей.

Мы обладаем лицензиями:

  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

 

Заказать услуги пентеста

В нашей компании Вы можете заказать услугу пентеста корпоративной сети, сайта, программы, приложений, а так же пентест ДБО в банках. Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

Также можете заполнить форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.






Видео по проведению пентеста (pentest) и анализа уязвимостей

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

Без сбоев в работе

Без нарушения функционирования информационной инфраструктуры

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

Широкая география работы и присутствия

Работа на территории России, Украины, Белоруси и Казахстана

382-П, 683-П, 684-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

Аудиты и экспертизы

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Судебные ИТ-эксперты, ИТ-юристы и аудиторы

В штате нашей компании

Цены на услуги по проведению пентеста (pentest) и анализа уязвимостей

Наименование услуги Стоимость

Консультация

бесплатно

Социальная инженерия (email) - от 2 недель

от 150 000 руб.

Расширенная социальная инженерия (email + телефон) - от 2 недель

от 300 000 руб.

Полная социальная инженерия (email + телефон + очно) - от 6 недель

от 500 000 руб.

Пентест внешних ресурсов (до 10 IP-адресов) - от 2 недель

от 150 000 руб.

Пентест внутренних ресурсов (удаленно) - от 4 недель

от 200 000 руб.

Пентест внутренних ресурсов (очно) - от 2 недель

от 300 000 руб.

RED TEAM (Редтиминг)

от 1 500 000 руб.

Приложения (ПО заказчика) - от 4 недель

от 300 000 руб.

Пентест сайта - от 5 рабочих дней

от 100 000 руб.

FAQ: Часто задаваемые вопросы

Мы проводили пентест корпоративной сети, по результатам пентестинга был получен доступ к AD. Должны ли мы заказывать пентест заново, чтобы продемонстрировать отсутствие уязвимостей?

По окончании работ по пентесту предоставляется отчет. В отчете содержится список уязвимостей, а также описание эксплуатации выявленных уязвимостей и рекомендации по их устранению. В случае соблюдения предоставленных рекомендаций, повторный пентест проводить не требуется. Повторно его можно провести для того, чтобы убедиться в устранении уязвимостей и быть уверенным, что Ваша система полностью защищена.

Какая лицензия нужна для проведения тестирования на проникновение?

Для проведения тестирования на проникновение лицензия не требуется. Следует отметить, что стоит обращаться к организациям, имеющим опыт в проведении пентеста, т.к. сотрудники имеют опыт в анализе угроз, а также в сфере информационной безопасности и проходят курсы по повышению квалификации, тем самым повышая и совершенствуя накопленные знания.

Здравствуйте! Если при проведении пентеста выяснилось, что наши системы уязвимы, должны ли мы устранить все уязвимости до сдачи отчета сторонними пентестерами?

Пентест проводится для выявления уязвимости систем. При условии, что система, к которой проводился пентест, является уязвимой, рекомендуется в кратчайшие сроки устранить выявленные недостатки, иначе при проведении повторного пентеста количество угроз может возрасти, а риск оказаться жертвой злоумышленника останется значительным.

Помимо данной практической рекомендации требований к проведению работ по результатам пентестов нет.

Здравствуйте!
Существует ли какая-то утвержденная методика ЦБ на проведение пентеста в банке?

Здравствуйте!

Банком России утверждены рекомендательные требования к проведению тестирования на проникновение систем (пентест) содержащиеся в Положениях Банка России 382-П и 683-П.

Согласно 382-П: «2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: (в ред. Указания ЦБ РФ от 07.05.2018 N 4793-У).»

Согласно 683-П: «3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.»

Также существуют международные стандарты пентеста, которые имеют рекомендательный характер.

Методологии тестирования защищенности:
Open Source Security Testing Methodology Manual (OSSTMM);
Information Systems Security Assessment Framework (ISSAF);
NIST 800-42 Guideline on Network Security Testing;
OWASP Testing Guide;
Wireless Penetration Testing Framework.

По результатам пентеста составляется отчет, который включает в себя помимо прочего список выявленных уязвимостей и рекомендации по их устранению.

При выполнении рекомендаций осуществляется повышение устойчивости системы за счет снижения рисков информационной безопасности и соответствие требованиям Законам Российской Федерации (пример: «Закон о персональных данных»), а также требованиям по информационной безопасности Банка России (382-П).

Здравствуйте!

Что в обязательном порядке должно быть в ТЗ на тестирование на проникновение, а что можно исключить?

Здравствуйте!

В техническом задании указываются цель и суть работ, области проверки, сроки и время проведения пентеста, этапы проведения пентеста и требования к составу отчета. Это основные пункты технического задания для проведения тестирования на проникновение.

Наши отзывы по проведению пентеста (pentest) и анализа уязвимостей

Отзыв о RTM Group от КБ «Байкалкредобанк» (ПАО)
Настоящим подтверждаем, что компания ООО «РТМ ТЕХНОЛОГИИ» выполнила в КБ «Байкалкредобанк» (ПАО) проект по проведению аудита информационной безопасности. В рамках аудита был проведен тест на проникновение, а также оценка уровня защищенности Интернет-портала Банка. Банк получил исчерпывающую информацию о состоянии защищенности своих информационных активов в результате аудита информационной безопасности с моделированием внешних атак потенциальных злоумышленников, а также анализа уязвимостей в клиентских приложениях, сетях Wi-Fi и серверном ПО. Сотрудники ООО «РТМ ТЕХНОЛОГИИ» зарекомендовали себя как квалифицированные специалисты, хорошо осведомленные о современных информационных технологиях. Мы характеризуем результаты проделанной работы как положительные и хотим отметить высокую квалификацию специалистов компании, профессиональный подход к делу, оперативность в исполнении рабочих задач и строгое следование условиям заключенного договора. Начальник ОА и ИС КБ «Байкалкредобанк» (ПАО) Г.И. Зарубин
Отзыв о RTM Group от «НАЦИНВЕСТПРОМБАНК» (АО)
«Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов

Услуги для вас

НАМ ДОВЕРЯЮТ