Аудит безопасности в части тестирования на проникновение (Pentest) — один из ключевых сервисов, позволяющий выявить уязвимости и слабые места в сегментах ИТ-инфраструктуры организации, а также оценить скорость реакции на возникновение угроз и опера-тивность их устранения ит-персоналом.

Подробнее о тестировании

Данный вид проверки защищенности информационных ресурсов компании — это имитация действий злоумышленника, нацеленного на получение несанкционированного доступа к ресурсам локальной сети как извне, так и внутри периметра за ограниченное время.

В роли злоумышленника выступает сотрудник LWCOM – эксперт по информационной безопасности, а сам тест проводится в целях анализа защищенности и не наносит инфраструктуре и данным компании никакого вреда.

Услуга тестирования может быть проведена как для периметра корпоративной сети (внешний тест), так и для внутренних ресурсов (внутренний тест). Заказать Пентест можно на разных условиях: попытки проникновения могут быть проведены с уведомлением ответственного персонала либо без него.

Виды тестирования

Экспресс-аудит защищенности

Экспресс-анализ средств защиты реализуется с помощью специализированных утилит (сканеров безопасности). В комплекс инструментов входят: OpenVAS, Nexpose, Nessus, Appspider, Metasploit и др. В зависимости от сегмента ит-инфраструктуры и установленных систем защиты могут быть применены различные наборы сканеров и техник сбора информации.

Несомненным плюсом метода автоматизированного поиска уязвимостей является возможность получения в сжатые сроки большого объема информации об исследуемом сегменте инфраструктуры. Результатом теста станет отчет с перечнем выявленных точек уязвимости и рекомендациями по их устранению.

Комплексный аудит защищенности

Этот вид тестирования практически полностью соответствует действиям реальных злоумышленников. Для получения доступа к конфиденциальной корпоративной информации эксперты LWCOM используют как разнообразные технические инструменты, так и методы социальной инженерии.

Процесс тестирования проводится согласно лучшим международным стандартам и практикам. В зависимости от специфики проверяемого объекта и наличия информации об установленных средствах защиты, методика испытания адаптируется, что позволяет учитывать индивидуальные особенности ит-систем.

LWCOM предлагает разработанные методики для тестирования следующих объектов:

Корпоративная сеть передачи данных (внешний периметр и злоумышленник изнутри)
Автоматизированная система управления технологическим процессом
Беспроводная сеть организации
Web-сайт компании

Этапы проведения Пентеста

Подписание NDA (соглашения о неразглашении)

Подготовка и согласование с заказчиком плана тестирования

Сбор информации об организации, её сотрудниках и ит-среде из открытых источников

Сканирование отдельных элементов сети для поиска доступа в систему

Проверка доступности сетевых служб и приложений для определения уязвимостей

Использование методов социальной инженерии, направленных на сотрудников компании

Эксплуатация найденных уязвимостей, определение возможных векторов развития атаки

Документирование результатов тестирования

Подготовка отчета и рекомендаций по повышению безопасности

Реализация рекомендаций

Стоимость

Стоимость проведения Pentest во много раз меньше тех расходов, которые может понести организация из-за действий злоумышленников, не говоря уже о репутационных рисках.

Почему LWCOM

Более 15 лет на рынке системной интеграции
Штат специалистов, имеющих постоянный стаж работы проектах по безопасности более 10 лет
Обширный опыт реализации проектов по защите ИТ-инфраструктуры в компаниях до 20 000 ПК
Наличие необходимых лицензий для выполнения работ
Обязательное подписание NDA (соглашение о неразглашении)
Готовность устранить все найденные в рамках аудита уязвимости