Тестирование на проникновение (пентест) и анализ защищённости – это типы работ, выполняемые для получения объективной оценки степени защищённости всей инфраструктуры компании или отдельных систем.
В ходе проведения работ эксперты ТТК:
определят угрозы, наиболее актуальные для вашего бизнеса
выявят слабозащищённые и уязвимые сервисы и ошибки конфигурации
разработают план по устранению уязвимостей
обеспечат соответствие вашей ИТ-инфраструктуры требованиям регулирующих организаций
Методики работы
Пентест не ставит своей целью обнаружение всех проблем с безопасностью в инфраструктуре клиента, но позволяет в кратчайшие сроки обнаружить слабые места в инфраструктуре заказчика, которые при настоящей атаке первыми будут подвержены взлому. Он даёт понимание, как происходит атака на конкретный периметр, и какое она может получить развитие.
Направления пентеста:
Внешний периметр
Объекты тестирования: ОС, средства защиты информации, сетевые сервисы и службы.
Внутренний периметр
Объекты тестирования: СУБД, рабочие станции, серверы, сетевые службы и сервисы, сетевое оборудование, средства защиты информации
Сайт и web-приложения
Объекты тестирования: операционные системы, системы управления сайтами (CMS), мобильные приложения
Сети Wi-fi
Объекты тестирования: беспроводные сети компании, аппаратное обеспечение сетей Wi-Fi
В результате работы специалистов ТТК заказчик получает:
отчет с описанием хода тестирования и сценариев атак
выявление самого слабого звена в том или ином сегменте IT-инфраструктуры
общие выводы об уровне защищенности IT-инфраструктуры предприятия
Анализ защищённости, в отличии от пентеста, предполагает детальное исследование информационной системы на предмет обнаружения всех уязвимостей и ошибок конфигураций. Такие работы занимают больше времени, но дают клиенту максимально точное представление о состоянии защищённости его систем.
Что дает анализ защищенности:
независимую экспертную оценку IT-инфраструктуры компании
максимально полный перечень обнаруженных уязвимостей и рекомендации по их устранению
оптимизацию затрат на IT-безопасность, обоснование причин повышения этой статьи расходов