Тестирование на проникновение и анализ уязвимостей

Проведение пентестов (pentest) – тестов на проникновение.
Тестирование на проникновение это способ оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника.

Компания ООО ЦЗИ «Эгида» применяет комплексный подход к тестированию на проникновение, основанный на методах социальной инженерии и технических методах.

Высокий уровень защищенности сетевых ресурсов организации – один из основных гарантов информационной безопасности для бизнеса любого масштаба и государственных структур. В современном мире киберугрозы приобретают все большую силу и способность нанести огромный, а иногда невосполнимый финансовый ущерб.

Тестирование на проникновение позволяет специалистам ООО ЦЗИ «Эгида» выявить уязвимые и слабые места в системе безопасности организации, которые может использовать злоумышленник, как на виртуальном, так и на физическом уровне.

Тест на проникновение, проведённый специалистом сторонней организации, с минимальным уровнем знаний о построенной системе защиты компании с большей вероятностью найдет уязвимости, пропущенные разработчиками при построении и организации системы защиты. Именно по этой причине, для проведения теста на проникновение обычно заказывают услуги сторонних компаний, специализирующихся в данной сфере.

Объекты исследований:
•    сайты и веб-приложения;
•    сетевые службы и сервисы;
•    протоколы различных уровней сетевой модели OSI;
•    сетевое оборудование;
•    беспроводные технологии;
•    средства защиты информации;
•    серверные и пользовательские операционные системы.

По результатам проведения тестирования на проникновение предоставляется отчет, содержащий:
•    перечень проведённых тестов;
•    перечень выявленных уязвимостей;
•    описание способов эксплуатации уязвимостей для проведения атак;
•    описание применённых техник социальной инженерии с результатами проверки;
•    рекомендации по устранению уязвимостей.

Тестирование на проникновение согласно стандартам PCI DSS и ISO 27001 должно проводится ежегодно или после существенных изменений в информационной инфраструктуре.