Тест на проникновение в корпоративную информационную систему (пентест)
Цели аудита
- Независимая оценка эффективности существующей системы обеспечения безопасности информации (СОБИ).
- Получение рекомендаций специалистов по модернизации системы в случае обнаружения уязвимостей и недостаточности обеспечиваемых СОБИ функций.
Преимущества проведения пентестов
- Тесты на проникновение проводятся для компаний любого размера и любой отрасли, для АСУТП, отдельных банковских систем и любых веб-приложений.
- Тесты на проникновение проводятся по максимальному количеству сценариев для выявления наибольшего количества возможных уязвимостей информационной системы заказчика.
- Отчёт по результатам тестов на проникновение содержит не только описание обнаруженных уязвимостей, но в обязательном порядке рекомендации, направленные на устранение выявленных недостатков и позволяющие систематизировать подход к обеспечению ИБ.
- Компания ЭЛВИС-ПЛЮС накопила большой опыт проведения тестов на проникновение: за последние 5 лет выполнено более 60 успешных тестов на проникновение, результаты каждого из которых были положительно отмечены заказчиками работ.
Глобальный отчёт о состоянии информационной безопасности, опубликованный компанией Trustwave в начале 2013 года, содержит ТОП-10 уязвимостей, которые чаще всего приводят к взломам корпоративных информационных систем (КИС). Согласно приведенной в данном отчете статистике, более 80% компаний во всем мире подвержены не менее чем 5-ти уязвимостям из этого списка. При этом Россия занимает 2-е место среди стран, в которых отмечается наибольшая активность киберпреступников.
Заказчиками услуг по проведению тестов на проникновение (в том числе в рамках интеграционных проектов) уже стали: ОАО «ИНТЕР РАО ЕЭС», ОАО «СО ЕЭС», ОАО «ФСК ЕЭС», ФНС России, Группа компаний «ИФД КапиталЪ», ОК РУСАЛ и многие другие российские компании.
При проведении тестов на проникновение специалистами АО «ЭЛВИС-ПЛЮС» для достижения поставленной цели осуществляется демонстрация возможности получения и повышения привилегий в КИС, в том числе получения несанкционированного доступа к критичным информационным ресурсам и системам организации-заказчика.
Примечание: все работы проводятся с учётом требований минимального вмешательства в работу КИС и минимально возможных модификаций информационных ресурсов. При этом не выполняется моделирование атак, направленных на изменение целостности или доступности информационных ресурсов, однако возможность выполнения таких атак фиксируется в отчёте.
Объектом пентеста являются как корпоративная информационная система в целом, так и отдельные её компоненты и информационные системы.
Виды выполняемых ЭЛВИС-ПЛЮС тестов на проникновение:
- Тест на проникновение в КИС, основанный на технических методах.
- Тест на проникновение в КИС, основанный на методах социальной инженерии.
- Комплексный тест на проникновение в КИС, основанный на одновременном использовании технических методов и методов социальной инженерии.
Результат проведения пентеста – отчёт, который содержит:
- Описание действий аудитора (потенциального злоумышленника).
- Результаты тестов на проникновение в корпоративную информационную систему.
- Рекомендации по повышению уровня защищённости.
АО «ЭЛВИС-ПЛЮС» гарантирует неразглашение полученных при проведении тестов на проникновение сведений об информационной системе компании-заказчика. Порядок проведения тестов на проникновение предварительно согласовывается со специалистами заказчика.
Используя результаты тестов на проникновение, Заказчик сможет:
- оценить реальную защищённость КИС;
- запланировать устранение выявленных недостатков;
- запланировать развитие комплексной СОБИ;
- оценить бюджет, необходимый для развития СОБИ.
