Тестирование на проникновение сетевых инфраструктур - TS Solution

Тестирование на проникновение

По статистике, 86% сетевых инфраструктур и WEB-приложений содержат критичные уязвимости, борьба с которыми занимает у специалистов около 200 дней с момента обнаружения. За это время злоумышленники достигают своих целей, используя корпоративные ресурсы и доступ к платёжным системам

Тестирование на проникновение

Что представляет собой тестирование на проникновение? Какие работы включает исследование сетевых структур? Почему это безопасно?
Тестирование на проникновение – комплекс мероприятий по разработке и внедрению нормативно-регламентной документации по тестированию на проникновение, проведению исследования сетевой инфраструктуры заказчика, реализации различных сетевых атак для оценки и выявления уязвимостей системы. Итогом тестирования является оформление результатов теста и подготовка рекомендаций по обеспечению безопасности

Этапы тестирования на проникновение

Разработка и введение нормативно-регламентной документации на проведение тестирования
Цель: обеспечение юридической значимости процедуры выполнения теста на проникновение.
Результат: анализ существующей нормативно-регламентной базы заказчика и разработка дополнений к ней, разработка и согласование плана проведения работ и схемы коммуникации заказчика и исполнителя.
Анализ информационно-технологической инфраструктуры
Цель: моделирование поведения злоумышленника в отношении сетевой инфраструктуры заказчика.
Результат: подробный отчёт с описанием сильных и слабых сторон сетевой инфраструктуры заказчика.
Реализация сетевых атак для оценки противостояния сетевой инфраструктуры заказчика
Цель: выяснение степени защищённости информационной инфраструктуры и сетевого периметра, а также оценка эффективности применяемых к сетевым атакам СЗИ/СКЗИ.
Результат: сбор данных об информационной инфраструктуре и конфигурации механизмов обеспечения безопасности.
Обнаружение уязвимостей в ПО информационно-технологической инфраструктуры
Цель: поиск уязвимостей и оценка защищённости используемого программного обеспечения.
Результат: отчёт об аудите информационной безопасности ИС, согласованный с заказчиком.
Документирование результатов тестирования на проникновение для оценки критичности обнаруженных ошибок и уязвимостей
Цель: документирование выявленных в ходе тестирования ошибок конфигурации и уязвимостей.
Результат: отчёт, включающий систематизацию атак и уязвимостей, их описание и оценку их критичности в отношении активов заказчика.
Подготовка рекомендаций по повышению информационной безопасности
Цель: разработка рекомендаций и плана мероприятий, направленных на повышение степени защищённости АС/ИС заказчика.
Результат: готовый план мероприятий по реализации подготовленных рекомендаций, оценка бюджета для реализации.