Пентест (Pentest) информационных систем

- минимизация рисков от киберпреступлений, финансовых и репутационных потерь.
  • $10,5 B
    Ущерб от киберпреступности приблизится к 10,5 трлн долларов в год к 2025 году. В 2015 ущерб оценивался в 3 трлн долларов. В большинстве случаев проекты не проверили на уязвимости.
  • 71 %
    На столько выросло количество атак с использованием скомпрометированных данных в 2023 году.
  • 26 %
    Самая атакуемая отрасль – производственная, на нее приходится порядка 26% от всех атак. Второе и третье место занимают финансовая отрасль и потребительские сервисы с 18% и 15%.
  • 66 %
    Именно такой процент компаний сталкивался с утечками информации по вине сотрудников в 2023 году. В 2022 их доля составляла 44%.

Для чего это нужно?

  • В наше время бурного развития и усложнения информационных систем, каждая современная организация неизбежно сталкивается с потребностью независимой оценки и анализа уровня защищенности ИТ-инфраструктуры. Безопасность информационных систем, а следовательно, и все бизнес-процессы организации, должны соответствовать самым высоким стандартам качества. Таким образом, повышая защищенность ИТ-инфраструктуры, вы решаете базовые проблемы и пробелы в информационной безопасности организации, минимизируете риски угроз со стороны внешних и внутренних злоумышленников.

    Одним из самых эффективных и популярных способов оценить защищенность информационной системы является пентест, или как это еще называют - "этичный хакинг".

    Тестирование на проникновение (Penetration test/Pentest), представляет собой санкционированную имитацию кибератаки на информационную систему, веб или мобильное приложение, выполняемую для анализа уязвимости системы. Тест проводится для выявления слабых мест (или уязвимостей), включая возможность получения несанкционированными сторонами доступа к функциям и данным системы.

Кому необходим?

  • Тестирование на проникновение необходимо для широкого круга лиц и организаций, которые хотят провести анализ защищенности своих информационных систем и сетей. Вот некоторые категории пользователей, кому может быть полезен penetration test:

    1. Финансовые организации. Банки, страховые компании и другие финансовые учреждения используют анализ защищенности для защиты от кибератак, направленных на кражу финансовых данных, мошенничество с кредитными картами и другие виды финансового мошенничества.
    2. Промышленные предприятия. В условиях растущей автоматизации производства и использования интернета вещей (IoT) промышленные предприятия сталкиваются с новыми угрозами безопасности. Тест на проникновение помогает выявить уязвимости в системах управления производственными процессами и защитить критически важные активы.
    3. Медицинские учреждения. Пентестинг позволяет медицинским учреждениям обеспечить безопасность персональных данных пациентов, защитить системы электронных медицинских карт и предотвратить утечку конфиденциальной медицинской информации.
    4. Образовательные учреждения. Школы, университеты и другие образовательные организации используют пентест для обеспечения безопасности учебных и административных систем, предотвращения несанкционированного доступа к личным данным студентов и преподавателей.
    5. Коммерческие компании. Независимо от размера и сферы деятельности, коммерческие компании могут столкнуться с киберугрозами. Анализ уязвимостей помогает им оценить безопасность своих систем и разработать меры по их защите.
    6. IT-компании. Разработчики программного обеспечения и системные администраторы используют тест на взлом как инструмент для проверки безопасности своих продуктов и сервисов перед их выпуском на рынок.
    7. Физические лица. Хотя pentest обычно ассоциируется с корпоративными клиентами, он также может быть полезен частным лицам для оценки безопасности их домашних сетей и устройств.
    В целом, пентест является важным инструментом для всех, кто хочет обеспечить надёжную защиту своих информационных активов и минимизировать риски, связанные с кибербезопасностью.
Виды пентеста
Пентест web приложений
Пентест веб-приложений (веб пентест) от нашей компании – это комплексный аудит безопасности, который нацелен на защиту ваших цифровых активов от киберугроз. Мы проводим глубокий анализ уязвимостей, конфигурационных ошибок и потенциальных точек входа, выявляя слабые места в вашей инфраструктуре до того, как ими воспользуются злоумышленники. При выполнении работ мы руководствуемся передовыми методиками и инструментами, ориентированными на мировые стандарты, такие как Web Application Security Consortium (WASC) и Open Web Application Security Project (OWASP).

Объекты тестирования веб-приложений включают в себя следующие компоненты:

1. Аутентификация и авторизация: Проверка механизмов входа в систему, управления доступом и роли пользователей. При реализации механизма аутентификации и авторизации ИС необходимо быть уверенным, что система корректно идентифицирует и контролирует доступ пользователей к различным частям приложения.

2. Обработка данных и валидация ввода: Оценка механизмов обработки и проверки данных, которые вводят пользователи. Это включает проверку на уязвимости, такие как SQL-инъекции, XSS (межсайтовый скриптинг), и другие типы атак, связанных с некорректной обработкой пользовательского ввода.

3. Сетевое взаимодействие и API: проводится тестирование API и сетевых протоколов, используемых приложением. Это включает проверку безопасности API, взаимодействия между микросервисами, и шифрование данных при передаче.

4. Обработка сессий и управление cookie: проводим проверку безопасности сессий, в том числе защиты от атак с использованием сессий, таких как фиксация сессии (Session Fixation) и кража сессии (Session Hijacking) в связке с другими уязвимостями веб-приложений.

5. Защита от CSRF-атак (межсайтовая подделка запросов): проверяется наличие и правильность механизмов защиты от CSRF, которые предотвращают несанкционированные действия от имени пользователя. Хотя в современных фреймворках используется множество Header’ов, отвечающих за предотвращение атак типа CSRF и XSS, необходимо также проводить тестирование механизмов для недопущения возможных рисков.

6. Защита от атак на шаблонные движки (SSTI): проводится проверка безопасности серверных шаблонных движков, используемых для генерации динамического контента. Данный компонент включает в себя тестирование на наличие уязвимостей типа Server-Side Template Injection, которые могут позволить злоумышленнику выполнять произвольный код на сервере.

7. Обработка файлов: В ходе тестирования наша команда производит проверку функционала загрузки и включения файлов на предмет уязвимостей, таких как LFI(Local File Inclusion), RFI( Remote File Inclusion) и неправильную обработку загружаемых файлов.

8. Управление логикой приложения и бизнес-логикой: для веб-приложений всегда актуальны ошибки и уязвимости связанные с логикой приложения. Необходимо производить регулярную проверку бизнес-логики веб-приложения на предмет ошибок и уязвимостей, которые могут привести к нарушению работы, неправомерному доступу к данным или обману системы для компрометации данных третьих лиц или самого приложения. Тестирование компонента включает в себя тестирование на наличие уязвимостей, связанных с неправильной реализацией логики авторизации, аутентификации, и других критически важных процессов.

9. White-box тестирование (SAST): для комплексной безопасности ресурса необходимо проводить комплексный анализ исходного кода на наличие уязвимостей, таких как плохо защищенные конфигурации, ошибки разработки и использование устаревших библиотек.

Перечисленные компоненты информационных ресурсов могут быть уязвимы ввиду не правильной конфигурации, человеческого фактора и игнорировании политики «Безопасности пароля». Также несвоевременно обновленное ПО может стать начальной точкой эксплуатации критичных уязвимостей с целью завладеть инфраструктурой вплоть до ее компрометации.

Наш подход к пентесту основан на многолетнем опыте и включает следующие этапы:

  • Анализ общедоступной информации: Мы начинаем с открытых источников и исследований внешних ресурсов, чтобы собрать первичную информацию о вашей инфраструктуре, которая может быть полезна для злоумышленников. Узнать подробнее о методах разведки.
  • Сбор данных об инфраструктуре: на этом этапе мы идентифицируем активы, уязвимые компоненты и потенциальные точки входа. Используем как автоматизированные инструменты, так и собственные разработки для максимально точного анализа.
  • Поиск уязвимостей: Процесс состоит из двух частей. Вначале мы проводим автоматический сканинг с использованием новейших сканеров защищенности. Затем мы переходим к ручному поиску уязвимостей, опираясь на опыт и знания наших специалистов.
  • Разработка методов проникновения: после сбора и анализа данных мы разрабатываем индивидуальные сценарии атак, чтобы протестировать выявленные уязвимости на практике, используя как известные эксплойты, так и собственные наработки.
  • Удаленное тестирование: Мы проводим удаленные атаки, симулируя действия злоумышленников, чтобы проверить устойчивость вашей системы к реальным угрозам.
  • Подготовка рекомендаций: В завершение, мы готовим подробные рекомендации по устранению выявленных уязвимостей. Наши рекомендации основываются на лучших практиках индустрии и включают конкретные шаги по усилению защиты.
  • Детализированный отчет: Вы получаете отчет, включающий полное описание всех обнаруженных уязвимостей, оценку их критичности, а также развернутые выводы и предложения по улучшению вашей системы безопасности.
Сроки реализации: от 10 до 28 рабочих дней (в зависимости от объема работ)
Пентест мобильных приложений (Mobile Pentesting)
Мобильное тестирование безопасности — это комплексный процесс анализа защищенности мобильных приложений на платформах Android и iOS, включающий в себя использование разнообразных методов статического и динамического анализа. Целью тестирования является выявление уязвимостей, которые могут быть использованы злоумышленниками для компрометации приложения или данных пользователя.

Основные направления тестирования:
Мобильные приложения на обеих платформах можно разделить на несколько ключевых компонентов, каждый из которых требует отдельного внимания при тестировании:

1. Хранилище данных (Storage): Проверка безопасности хранения данных, включая базы данных, файлы и кеши.
2. Криптография (Crypto): Оценка надежности используемых криптографических механизмов.
3. Аутентификация и управление сессиями (Auth): Анализ методов аутентификации, управления сессиями и контроля доступа.
4. Сетевые взаимодействия (Network): Тестирование безопасности передачи данных между приложением и сервером, а также защита от атак типа MITM (Man-in-the-Middle).
5. Платформенные особенности (Platform): Проверка использования безопасных API и разрешений на уровне операционной системы.
6. Качество кода (Code): Анализ кода на предмет уязвимостей, ошибок и неэффективных практик.
7. Устойчивость к атакам (Resilience): Оценка способности приложения противостоять динамическим атакам, таким как инъекции или модификация кода.
8. Конфиденциальность (Privacy): Проверка соблюдения требований конфиденциальности и защиты личных данных пользователей.

Этапы тестирования:

  • Сбор и анализ информации: На первом этапе проводится глубокий анализ приложения, включая поиск старых версий, изучение функционала и назначение. Это позволяет понять архитектуру приложения и возможные точки входа для атак.
  • Статический анализ: Применение статических анализаторов для изучения исходного кода и конфигураций. На этом этапе выявляются уязвимости на уровне кода, некорректные настройки и другие потенциальные проблемы.
  • Динамическое и ручное тестирование: Использование инструментов, таких как Frida, adb, Objection, и Medusa для проведения динамического анализа и проверки уязвимостей в реальном времени. Этот этап включает в себя ручное тестирование для выявления проблем, которые невозможно обнаружить с помощью автоматизированных средств.
  • Отчет и рекомендации: На заключительном этапе составляется детализированный отчет, где уязвимости классифицируются по уровням риска. В отчете также содержатся рекомендации по их устранению и информация о возможных способах эксплуатации. Кроме того, предоставляется чек-лист OWASP MAS с результатами проведенных проверок.

Соответствие стандартам: Все этапы тестирования соответствуют международным стандартам безопасности, таким как OWASP (MASVS, MASWE).

Постоянное обновление методологий: Используются актуальные методики и инструменты для обеспечения высокого уровня безопасности и соответствия современным требованиям.
Такой подход позволяет всесторонне оценить защищенность мобильного приложения и предоставить рекомендации по его усилению.

Сроки реализации: от 7 до 20 рабочих дней (в зависимости от объема работ)
Пентест внутренней инфраструктуры
Проведение пентеста инфраструктуры, включая внутренние системы, такие как Active Directory, – это ключевой этап защиты вашей локальной сети от возможных атак. Наша цель – обнаружить уязвимости, которые могут быть использованы злоумышленниками для проникновения в вашу корпоративную сеть, и предложить эффективные меры по их устранению.

В процессе теста на проникновения внутренней инфраструктуры мы анализируем различные компоненты и системы, которые могут быть подвергнуты уязвимостям. Основные объекты тестирования включают:

1. Серверы, на которых размещаются приложения, базы данных и различные сервисы. Они могут быть физическими или виртуальными. Мы работаем с любыми конфигурациями и системами (Windows Server, Linux, или Unix), веб-серверами (Apache, Nginx), серверами баз данных (MySQL, PostgreSQL, SQL Server) и серверами приложений.
Потенциальные опасности - неправильная конфигурация серверов может привести к уязвимостям, таким как SQL-инъекции, утечка данных, выполнение неавторизованных команд. Ошибки в управлении доступом и обновлениях также представляют угрозу.

2. Сетевые устройства
Устройства, обеспечивающие сетевую инфраструктуру, включая маршрутизаторы, коммутаторы, файерволы и точки доступа. Эти устройства могут работать на специализированных операционных системах, таких как Cisco IOS, Junos OS или FortiOS.
Ошибки в конфигурации сетевых устройств могут привести к утечке данных, возможности атаки типа "man-in-the-middle", или обходу политик безопасности.

3. Корпоративные сети и их сегменты
Внутренние сети компании, включая локальные сети (LAN), сегменты сети и маршруты. В основном включают внутренние маршрутизаторы, коммутаторы и файерволы, а также устройства для защиты от вторжения (IDS/IPS).
Неправильная настройка сети может привести к утечке данных, доступу к защищенным ресурсам и проблемам с конфиденциальностью.

4. Инфраструктурные сервисы
Сервисы, обеспечивающие функционирование всей внутренней инфраструктуры, такие как Active Directory. Этот сервис обеспечивает управление пользователями, предоставлением IP-адресов и разрешением имен в организации.
При неправильной настройке безопасности Active Directory возможно реализовать большое количество векторов атак с проникновением и повышением привилегий вплоть до компрометации всей внутренней структуры компании и остановки всех бизнес-процессов.

Мы подходим к тестированию инфраструктуры комплексно, используя передовые методики и технологии:

  • Сканирование сетевых портов: На первом этапе мы проводим детальный анализ сетевых портов, что позволяет определить доступные извне сервисы и выявить их конфигурационные особенности.
  • Анализ сетевого взаимодействия: Мы исследуем, как устройства внутри вашей сети взаимодействуют друг с другом, оцениваем возможные пути распространения угроз и проверяем защиту от внутренних атак.
  • Сбор данных о сетевых сервисах: На этом этапе мы выявляем активные сервисы и приложения, работающие в вашей сети. Этот анализ позволяет получить информацию о конфигурациях, версиях ПО и возможных уязвимостях.
  • Идентификация типов и версий сервисов: Мы определяем точные версии используемых сетевых сервисов и приложений, что позволяет более точно подобрать эксплойты и методы атак.
  • Ручной поиск уязвимостей: Наши эксперты вручную проверяют обнаруженные сервисы на наличие уязвимостей, включая специфические настройки и ошибки конфигурации, которые могут быть упущены при автоматическом сканировании.
  • Моделирование атак: На основании полученных данных мы разрабатываем сценарии атак, которые имитируют реальные действия злоумышленников. Это позволяет оценить потенциальные риски и возможные пути проникновения в сеть.
  • Эксплуатация уязвимостей: Мы используем обнаруженные уязвимости, чтобы проверить, может ли злоумышленник получить доступ к защищаемой информации, включая учетные записи, конфиденциальные данные и другие критически важные ресурсы.
Сроки реализации: от 10 до 28 рабочих дней (в зависимости от объема работ)
Нагрузочное тестирование
Нагрузочное тестирование (Performance Testing) от нашей компании – это комплексный анализ производительности вашей информационной системы в условиях различных нагрузок. Мы помогаем выявить слабые места и оценить, насколько система готова справляться с высокими нагрузками, такими как массовые пользовательские запросы или атаки на отказ в обслуживании (DOS/DDOS).

Мы проводим различные виды тестирования, чтобы охватить все аспекты производительности вашей системы:

  • Классическое нагрузочное тестирование: Оцениваем, как система справляется с ростом числа пользователей или запросов. Это позволяет определить пределы производительности и убедиться, что система работает стабильно под нагрузкой.
  • Тестирование на отказоустойчивость (Stress Testing): Проверяем, как система ведет себя при превышении допустимых нагрузок, и выявляем, при каких условиях происходят сбои.
  • Тестирование на устойчивость (Soak Testing): Моделируем длительные нагрузки, чтобы определить, как система справляется с продолжительным использованием и выявить проблемы, которые могут возникнуть только при долгосрочной эксплуатации.
  • Тестирование отказов в обслуживании (DOS/DDOS): Имитируем атаки на отказ в обслуживании, чтобы оценить устойчивость системы к такого рода угрозам и предложить меры по усилению защиты.

Наш процесс нагрузочного тестирования основан включает следующие этапы:

  • Создание сценариев нагрузки: Мы разрабатываем сценарии, которые имитируют реальные условия работы системы, включая пиковые нагрузки, массовые запросы, а также сценарии, направленные на тестирование устойчивости к DOS/DDOS атакам.
  • Запуск сценариев на кластере: Мы запускаем тестовые сценарии на кластере с заданными параметрами, используя специализированные инструменты для симуляции нагрузки и мониторинга производительности системы.
  • Фиксация результатов: Все результаты тестирования тщательно документируются в журнале. Мы отслеживаем ключевые параметры производительности, такие как время отклика, использование ресурсов сервера, пропускная способность и устойчивость к отказам.
  • Составление отчета: В завершение, мы подготавливаем детализированный отчет, который включает информацию о максимальной производительности системы, результаты мониторинга основных параметров, а также рекомендации по оптимизации. В отчете будут представлены графики и инфографика, отражающие основные показатели тестирования, что позволяет наглядно оценить текущие возможности системы и пути для улучшения.
Сроки реализации: от 3 до 7 рабочих дней (в зависимости от объема работ)
Фишинг (социальная инженерия)
Фишинг – это процесс создание поддельных веб-сайтов, электронных писем или сообщений в социальных сетях, которые маскируются под легитимные источники, с целью получения конфиденциальной информации.
В социальной инженерии массовая фишинговая атака используется для проверки уязвимостей в человеческом факторе безопасности, а именно, насколько легко пользователи могут быть обмануты. Путем отправки фишинговых электронных писем злоумышленник может получить доступ к ценным данным компании, таким как пароли, номера кредитных карт и другие конфиденциальные данные.

Проведение атаки включает в себя:

1) Цели тестирования:
  • При тестирования необходимо определить, какие группы сотрудников будут подвержены тестированию. В ходе проведения социальной инженерии под рассылку фишинг-письма могут попасть все сотрудники компании, либо, по требованию заказчика, точечно отбираются группы сотрудников.
  • Совместно с заказчиком определяется, какие типы данных или доступов могут быть в приоритете. Например, получение учетных записей сотрудников, финансовые данные или внедрение тестовой полезной загрузки для проверки возможности методом социальной инженерии завладеть устройством заказчика.
2) Выбор метода атаки
  • Классический фишинг: отправка массовых писем, содержащих ссылки на поддельные веб-сайты. Целью такой атаки является захватить как можно больше учетных данных сотрудников компании для определения уровня осведомленности данных атак.
  • Spear - фишинг: создание индивидуально направленных сообщений, основанных на предварительной разведке. Данный метод фокусируется на точечной рассылке сотрудников
3) Установление границ тестирования
  • При тестировании методом социальной инженерии с заказчиком обсуждаются объем и границы тестирования, в них входит:
а) определение количества сотрудников, которым будет отправлено фишинговое письмо
б) определяется возможность внедрения эксплоитов при рассылки фишинговых писем для проверки защиты устройств с IDS/IPS, Firewall и Антивирусной защиты.

  • Заказчик устанавливает временные рамки для проведения атаки, а также дополнительные дни, в случае непредвиденных обстоятельств и т.д.
  • Заказчик также устанавливает ограничения, при которых наша команда проводит атаку, какие методы и сценарии атаки могут быть использованы и какие группы лиц могут быть подвержены атаки во избежание причинения реального вреда.

Кроме того, проведение фишинговой атаки помогает выявить слабые места в политиках безопасности, которые нуждаются в усовершенствовании, а также определить области, где требуется дополнительное обучение и повышение осведомленности сотрудников. В результате метод фишинговой атаки может помочь компании улучшить свою безопасность и уменьшить риски для бизнеса.

Рассылка фишинговых писем осуществляется с помощью продукта Gophish и собственных полезных нагрузок для тестирования. Система направлена на повышение осведомленности пользователей в области Информационной безопасности.

Сроки реализации: от 3 до 7 рабочих дней (в зависимости от объема работ)

Методы проведения пентеста

При проведении пентестов используются различные методики, каждая из которых предлагает уникальный подход к оценке безопасности системы. Эти методики известны как Black Box, Gray Box и White Box. Выбор подхода зависит от целей тестирования и уровня доступа, предоставленного пентестеру.
Black Box (Черный ящик) тестирование – это максимально приближенный к реальности сценарий, при котором пентестеры не имеют никакой информации о тестируемой системе. Этот метод моделирует действия реального злоумышленника, который начинает атаку без предварительных знаний о структуре сети, конфигурации серверов или учетных записях. Пентестер полагается исключительно на свои навыки и инструменты для сбора информации, поиска уязвимостей и попыток проникновения в систему. Black Box тестирование идеально подходит для оценки защищенности внешней инфраструктуры, так как оно демонстрирует, насколько сложно злоумышленнику получить доступ к системе без внутренней информации.
Gray Box (Серый ящик) тестирование представляет собой промежуточный подход, при котором пентестеры обладают ограниченной информацией о системе. Это может включать в себя доступ к документации, учетным записям пользователей с низким уровнем привилегий, или общие данные о структуре сети. Такой подход позволяет сбалансировать глубину анализа и реалистичность сценария атаки. Gray Box тестирование особенно эффективно, когда требуется оценить безопасность системы с точки зрения привилегированного внутреннего пользователя или партнера, который имеет частичный доступ к ресурсам компании.
В данном подходе пентестеры получают полный доступ к информации о системе, включая архитектуру сети, исходный код приложений, конфигурации серверов и даже учетные данные пользователей. Это наиболее детализированный и всесторонний метод тестирования, который позволяет максимально глубоко изучить систему на предмет уязвимостей.
White Box (Белый ящик) тестирование позволяет выявить слабые места на уровне кода и конфигураций, которые могут быть незаметны при других подходах. Этот метод чаще всего используется для анализа внутренних систем и приложений, где важна максимальная глубина проверки.
Каждый из этих подходов имеет свои преимущества и подходит для различных целей. Правильный выбор метода тестирования позволяет получить наиболее точное представление о текущем уровне защищенности вашей системы и разработать эффективные меры по ее улучшению.

Почему мы?

  • Более 10 лет
    Разрабатываем ПО, боремся с вредоносным ПО и спамом, проводим пентесты информационных систем, web и мобильных приложений, проводим нагрузочное тестирование сервисов (Performance Testing), а также осуществляем лечение сайтов (Forensic)
  • Более 180 CVE
    Отчетов об уязвимостях и более 1600 вирусных сигнатур было установлено и опубликовано командой CleanTalk
    Подробнее
  • Безопасно
    Тестирование на проникновение систем выполняется только после полного согласования методов и инструментов с заказчиком
  • Качественно
    Команда профессионалов, с подтвержденными сертификатами OSCP (Offensive Security Certified Professional), OSWE (Offensive Security Web Expert) и пр.
Отправьте заявку на пентест
Найдите уязвимость в IT-инфраструктуре раньше киберпреступника
и повысьте уровень защищенности
Made on
Tilda