Тестирование на проникновение/Pentest
Традиционно подразумевает имитацию действий злоумышленника, направленную на доступ к конкретным конфиденциальным данным, через обнаружение и последовательную эксплуатацию цепочки уязвимостей. Наиболее реалистичный метод, показывающий на практике насколько эффективны внедренные системы и меры безопасности. В отличие от реальной хакерской атаки, у такого метода не стоит целью нанести компании ущерб и все действия контролируются. Также служит отличным методом для проверки действий службы безопасности в боевых условиях. Часто службу ИБ не предупреждают о проводимом тестировании и смотрят на ее реакцию и эффективности принимаемых контрмер.
Степень раскрытия
информации для аудитора
Тестирование на проникновение по степени раскрытия информации для аудитора делится на 3 варианта:
  • BlackBox (“Черный Ящик”)
Минимальное раскрытие информации для аудитора. Основной целью такого режима тестирования является имитация настоящей хакерской атаки для проверки работы всех систем информационной безопасности на практике и реакции службы ИБ. Наиболее близкий к классическому тестированию на проникновение вариант.

  • WhiteBox (“Белый Ящик”)
Максимальное раскрытие информации для аудитора, включая административный доступ на все сервера и ко всей документации, включая исходные коды всех продуктов и сервисов компании. Используется для максимального покрытия, обычно при первых комплексных аудитах в компании и наоборот, когда компания уже проводила не один аудит, все уязвимости были исправлены и требуется найти более сложные и трудоемкие вектора атак.

  • GrayBox (“Серый ящик”)
Средний вариант между BlackBox и WhiteBox - наиболее частый и рациональный вариант, включающий плюсы обоих режимов тестирования. Аудиторам раскрывается первоначальная информация о составе и расположении ключевых элементов системы, что позволяет сократить необходимое время и ресурсы для проведения аудита. Так как в реальной жизни злоумышленник может обладать неограниченным временем для изучения систем безопасности жертвы, а аудит, даже комплексный аудит - всегда ограничен временем действия договора на проведение аудита. Подобные допущения позволяют аудиторам компенсировать ограниченность во времени и сосредоточится на ключевых моментах. Также во время комплексного аудита, аудиторы вправе выборочно запрашивать доступ и информацию на интересующие их системы.
Технический аудит
Делится на 2 части по направлению своего воздействия:
  • Внешний - Когда моделируется действия “внешнего” злоумышленника. Аудиту подвергается внешний IT-периметр компании, как правило действия ведутся через сеть Интернет.
  • Внутренний - Когда моделируются действия “внутреннего” злоумышленника. Аудиту подвергается внутренняя IT-инфраструктура.
Социо-технический аудит
Социотехнический аудит обычно проводится вместе с тестированием на проникновение, другими словами - это тестирование на проникновение методами социальной инженерии.
Цель данных работ - оценка осведомленности и устойчивости сотрудников к фишинговым рассылкам, мошенническим звонками и другим методам социальной инженерии, направленными на несанкционированное получение информации, которыми пользуются мошенники и промышленные шпионы.

По результатам такого тестирования, часто составляют программу повышения осведомленности сотрудников компании по вопросам информационной безопасности.
Аудит безопасности WiFi-сетей
На данном этапе производится тестирование wifi-сетей клиента на небезопасную настройку и проводятся атаки как на точки доступа, так и на клиентов wifi-сети.
Данные работы подразумевают выезд специалиста на объекты заказчика и занимают от 1 часа до 2-3 дней. И включают в себя:

  • Анализ на использование небезопасных технологий
  • Анализ на использование слабого шифрования/протоколов
  • Перехват и попытки расшифровать трафик
  • Атаки на клиентов wifi-точки направленные на раскрытие паролей от точки доступа
Данный этап также может включать тестирование других радиоканалов передачи данных, используемых у клиента.
Аудит ИБ web-приложений
Аудит безопасности web-приложений является классическим и традиционным методом оценки защищенности web-приложения в контролируемых условиях без ущерба бизнесу.
Уязвимости в web-приложениях способны привести к остановке бизнес-процессов компании, раскрытии конфиденциальной информации и осуществлении НСД злоумышленниками. Все это несет множественные угрозы и риски ИБ. Целью аудита безопасности web-приложения - является оценка актуального уровня защищенности web-приложения и разработка мер, гарантированно повышающих уровень безопасности до необходимого.

Основные задачи аудита web-приложений:
  • Определение уровня защищенности площадки размещения web-приложения
  • Анализ безопасности настроек и конфигурации узла размещения web-приложения
  • Выявление технических и логических уязвимостей и анализ их влияния на бизнес-логику web-приложения
  • Разработка рекомендаций по исправлению уязвимостей и повышению безопасности web-приложения на уровне бизнес-процессов.
Проекты по аудиту безопасности WEB-приложений выполняются экспертами, обладающими высокой квалификацией, подтверждённой международными сертификатами OSCP и богатым опытом проведения аудита безопасности всевозможных WEB- приложений (корпоративные WEB-приложения и системы, системы дистанционно-банковского обслуживания, решения и технологии на базе открытого и закрытого программного кода).

Наличие обширного опыта аудита безопасности разнородных WEB-приложений позволяет обеспечить объективность и эффективность используемых методик и разработать наиболее полный отчет с практически значимыми рекомендациями по повышению уровня информационной безопасности Заказчика.