Тестирование на проникновение

Пентест (тестирование на проникновение) – это анализ защищенности сетевых ресурсов компании, который выявляет проблемы информационной безопасности и демонстрирует возможные способы взлома и получения несанкционированного доступа к компонентам инфраструктуры или конфиденциальной информации.

Запросить КП

Зачем нужны пентесты?

Три причины для того, чтобы заказать пентест как можно скорее:

Экспертная оценка текущего уровня защищенности

Подробнее

Соответствие требованиям отраслевых стандартов

Подробнее

Соблюдение требований Приказов ФСТЭК России

Подробнее

Что дают пентесты на практике?

(в соответствии с Соглашением о конфиденциальности мы не раскрываем названия предприятий и персональные данные)

Этапы пентеста

Планирование работ

Оценка объемов поставленных задач, согласование работ с ответственными лицами, подписание официальных документов.
Длительность этапа: два рабочих дня.

Планирование работ

Обследование информационных систем

Выполнение ручных проверок и проверок с использованием универсальных сканеров уязвимостей и специализированного ПО, позволяющих обнаруживать уязвимости приложений, операционной системы и сетевой инфраструктуры.
Длительность этапа: 12 рабочих дней.

Обследование информационных систем

Подтверждение актуальности обнаруженных уязвимостей

Моделирование атак с использованием ранее выявленных уязвимостей.
Длительность этапа: три рабочих дня.

Подтверждение актуальности обнаруженных уязвимостей

Разработка рекомендаций по устранению уязвимостей

Составление экспертного заключения с перечнем всех выявленных уязвимостей и подробным планом действий для их устранения и минимизации рисков атак.
Длительность этапа: три рабочих дня.

Разработка рекомендаций по устранению уязвимостей

Каталог услуг

Преимущества

Глубина работ

Пентест УЦСБ

Серьезная аналитическая работа с глубоким пониманием природы обнаруженных уязвимостей и готовностью к адаптации существующих методов и техник проведения атак под конкретное окружение

Пентест No name

Механические автоматизированные работы без возможности адаптации под конкретное окружение Заказчика

Отчет

Пентест УЦСБ

Детальный отчет с указанием причин возникновения уязвимостей и алгоритмом по исправлению актуальных из них

Пентест No name

Несистематизированный технический отчет со сканера (иногда бесплатного), неудобный для восприятия ответственным лицом и содержащий избыточную информацию

Конфиденциальность

Пентест УЦСБ

Вся информация, полученная в ходе работ, строго конфиденциальна, и мы заботимся о том, чтобы она не стала известна третьим лицам

Пентест No name

Полученная информация может быть опубликована в сети Интернет, учетные данные проданы на хакерских форумах

Люди

Пентест УЦСБ

Есть гарантия компетентности. Тестирование проводят сертифицированные эксперты,  известные по своим блогам и выступлениям на отраслевых конференциях

Пентест No name

Нет гарантии компетентности. Нередко подобные работы выполняют студенты, стажеры или некомпетентные специалисты

Работа над задачей

Пентест УЦСБ

Пентест – это элемент стратегии ИБ компании Заказчика

Пентест No name

Пентест – это технический процесс (проверка сервисов на прочность)

Скрытые наценки

Пентест УЦСБ

- Адекватные меры
- Достаточно небольшого аудита

Пентест No name

- Оптимальные меры
- Необходимость повторного тестирования после устранения уязвимостей и проведения мероприятий по защите ресурсов

Компетенции

Опыт

Специалисты компании УЦСБ свободно владеют методиками традиционных сетевых атак и имеют богатый опыт реализации мероприятий по анализу защищенности:

- Платформ Cisco, Juniper, Huawei, Microsoft (AD Windows Server, SQL Server), Oracle
- Веб-серверов и веб-приложений
- Беспроводных сетей
- Мобильных приложений на ОС iOS, Android


Сертификации

В штате УЦСБ – сотрудники с высшим профессиональным образованием по направлению подготовки 090100 «Информационная безопасность», имеющие сертификаты: Certified Information System Auditor (CISA), Certified Information Systems Security Professional (CISSP), Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP)


Награды и достижения

Выступление на конференциях в качестве приглашенного эксперта:

PHDays 2016
Код ИБ 2016
- БИТ Урал 2016
RuCTF 2017

Обнаруженные уязвимости:

CVE-2015-1010: Rockwell Automation RSView32​
CVE-2017-7907: Schneider Electric Wonderware Historian Client
CVE-2017-9627, CVE-2017-9629, CVE-2017-9631: Schneider Electric Wonderware ArchestrA Logger
- CVE-2018-18981: Rockwell Automation FactoryTalk Services Platform

Новости

Закажите пентест сегодня!

Аналитический центр УЦСБ
pentest@ussc.ru