Демонстрационный тест на проникновение в корпоративную информационную систему

Глобальный отчёт о состоянии информационной безопасности, опубликованный компанией Trustwave в начале 2013 года, содержит ТОП-10 уязвимостей, которые чаще всего приводят к взломам корпоративных информационных систем. Согласно приведённой в данном отчёте статистике, более 80% компаний во всем мире подвержены не менее чем 5-ти уязвимостям из этого списка. При этом Россия занимает 2-е место среди стран, в которых отмечается наибольшая активность киберпреступников.

Для многих компаний в настоящее время становится критически важным получение независимой оценки эффективности существующей системы обеспечения безопасности информации (СОБИ) и, при необходимости, рекомендаций специалистов по модернизации системы в случае обнаружения уязвимостей и недостаточности обеспечиваемых СОБИ функций.

Компания ЭЛВИС-ПЛЮС предлагает бесплатную услугу «Демонстрационный тест на проникновение в корпоративную информационную систему». Благодаря демонстрационному пентесту заказчик оперативно получает предварительную оценку текущего состояния информационной безопасности своей КИС.

ЭЛВИС-ПЛЮС гарантирует конфиденциальность полученной в результате проведения пентеста информации: порядок проведения теста на проникновение предварительно согласовывается с заказчиком, а сами работы проходят при непосредственном контроле специалистов заказчика.

Заказчиками услуг АО «ЭЛВИС-ПЛЮС» по проведению тестов на проникновение (в том числе в рамках интеграционных проектов) уже стали: ОАО «СО ЕЭС», ОАО «ФСК ЕЭС», ФНС России, Группа компаний «ИФД КапиталЪ», ОК РУСАЛ и многие другие российские компании.

Состав работ и ожидаемые результаты:

• Получение доступа к КИС изнутри контролируемой зоны объекта.
• Сканирование внутренних диапазонов сетевых адресов по выборочным портам часто используемых сервисов.
• Сканирование выборочных узлов сканером безопасности.
• Подбор паролей пользователей домена Active Directory, а также пользователей отдельных серверов приложений/АРМ пользователей.
• Прослушивание пользовательского сетевого трафика, в том числе с применением активных сетевых атак.
• Фиксация и краткий анализ с точки зрения обеспечения ИБ беспроводных сетей, доступных в здании объекта.
• Проверка возможности организации DNS/ICMP-туннелей изнутри информационной системы заказчика.
• Проверка готовности заказчика противостоять комплексным направленным атакам — проверка возможности несанкционированного скрытного подключения USB-устройства – HID-эмулятора.
• Сканирование внешних диапазонов сетевых адресов КИС из сети Интернет.
• Разработка Отчёта по результатам демонстрационного пентеста.

Используя результаты демонстрационного теста на проникновение, заказчик сможет:

• Предварительно оценить защищённость КИС.
• Оперативно устранить выявленные недостатки.
• Запланировать развитие комплексной СОБИ.
• Оценить бюджет, необходимый для развития СОБИ.

Ограничения демонстрационного теста на проникновение:

• В рамках бесплатной услуги пентестеры выезжают не более чем на один объект заказчика.
• Отчёт по результатам теста предоставляется в течение трёх рабочих дней после его проведения.
• Состав работ фиксирован для бесплатной услуги. Проведение дополнительных работ может быть предусмотрено отдельным соглашением.
  

Преимущества компании ЭЛВИС-ПЛЮС

Компания ЭЛВИС-ПЛЮС накопила большой опыт проведения тестов на проникновение: за последние 5 лет выполнено более 60 успешных тестов на проникновение, результаты каждого из которых были положительно отмечены заказчиками работ.

Тесты на проникновение проводятся для компаний любого размера и любой отрасли, для КИС, АСУ ТП, отдельных банковских ИС и любых веб-приложений.

Отчёт по результатам тестов на проникновение содержит не только описание обнаруженных уязвимостей, но в обязательном порядке рекомендации, направленные на устранение выявленных недостатков и позволяющие систематизировать подход к обеспечению ИБ.