Реальный уровень защищённости ИТ-инфраструктуры можно узнать только поставив себя на место злоумышленника и на практике испытав информационную безопасность своих активов.

Услуги


Тестирование на проникновение техническими методами

  • Внутреннее тестирование - тестирование защищенности внутреннего периметра
  • Внешнее тестирование - проверка внешнего сетевого периметра на наличие уязвимостей с определением возможностей их эксплуатации и векторов возможных атак
  • Тестирование (анализ защищённости) веб-приложений (включая интернет-банки и мобильные приложения) - проверка логики веб-приложений, определение недостаточных проверок входных данных и ошибок проектирования

Выполняется моделирование действий:

  • Внешних нарушителей, не обладающих знаниями об ИТ-инфраструктуре, не имеющих доступа в офис и возможности подключения к ЛВС
  • Внутренних нарушителей, имеющих доступ в офис и физическое подключение к ЛВС

Общая последовательность проведения работ:

  • Подготовка к проведению работ - сбор и анализ первичных сведений об объекте исследования, планирование работ по тестированию
  • Проведение работ по выявлению уязвимостей
  • Немедленное информирование заказчика об обнаруженных критичных уязвимостях
  • Апробирование возможности эксплуатации обнаруженных уязвимостей
  • Классификация обнаруженных уязвимостей и оценка их критичности

Результат: подробный отчёт с оценкой уровня защищённости защищаемых объектов, описанием выявленных уязвимостей и рекомендациями по их устранению.

Тестирование на проникновение методами социальной инженерии

  • Санкционированная фишинговая email- или смс-рассылка, с активным вложением или ссылкой на фейковый ресурс, с применением спуфинга, с последующим звонком или без него
  • Звонки в целях выведывания конфиденциальной информации или провокации на заданные действия под заранее разработанной легендой
  • Размещение на территории заказчика носителей информации с активным содержимым
  • Выведывание конфиденциальной информации через социальные сети
  • Получение доступа к рабочему компьютеру под легендой
  • Получение доступа в серверную под легендой
  • Провокация сотрудника на запуск активного содержимого с носителя информации под легендой
  • Манипуляции с парольной информацией или организация удалённого доступа с устройства исполнителя через службу технической поддержки заказчика
  • Получение клиентской информации у справочной службы, службы технической поддержки системы ДБО (клиент - физическое или юридическое лицо)
  • Имитация собеседования с кандидатом на работу в целях получения конфиденциальной информации (в том числе удаленно)
  • Провокация банковского работника на раскрытие банковской тайны

Результат: подробный отчёт с оценкой уровня защищённости защищаемых объектов, описанием выявленных уязвимостей и рекомендациями по их устранению.

Вопросы? Ответим в течение часа.