Netwave

Tест на проникнення
Pentest

Дізнайтесь, наскільки ваша інфраструктура стійка до зламу

детальніше

що дозволяє?

alt text

Під час реалізації даного сервісу здійснюється контрольована спроба хакерської атаки, імітація дій зловмисника.Такий підхід дозволяє:

  • Виявити приховані вразливості корпоративних систем, перш ніж це зроблять злочинці.
  • Зберегти кошти на відновлення мереж та зменшити час їх простою.
  • Розробити ефективні заходи безпеки інформаційних активів компанії.
  • Перевірити дотримання правил та вимог стандартів безпеки.
  • Зберегти імідж компанії та лояльність клієнтів.

що охоплює тестування?

Мережа та мережева інфраструктура

Мережа та мережева інфраструктура

Веб-додатки різної складності та функціоналу

Веб-додатки різної складності та функціоналу

Бездротові системи та технології

Бездротові системи та технології

чому послуга ефективна?

Імітує методи, які використовують хакери.

Ідентифікує проблеми, які не можуть бути виявлені під час сканування вразливостей.

Визначає помилкові спрацьовування при автоматичному скануванні.

Дає глибоке розуміння проблем та визначає чіткі напрямки подальших дій.

види тестування

Який тест обрати?

Кожне тестування орієнтовано та налаштовано відповідно до потреб, вимог та пріоритетів вашої команди. Попередня оцінка обсягів тестування допомагає нам з'ясувати головні цілі та типи тесту, та ефективно спланувати бюджет заходів безпеки.

Black box
Тестувальник має дуже обмежений обсяг інформації про об'єкт тестування. Це більш точно імітує справжню атаку.
White box
Тестувальник має доступ до облікових даних користувачів, мережевих систем, правил міжмережевих екранів, та ін. Це забезпечує більш широке та докладне розслідування.
Зовнішні загрози
Вплив зовнішніх загроз на мережеву інфраструктуру (наприклад невідомий кібер-злочинець);
Внутрішні загрози
Вплив внутрішніх загроз (незадоволений співробітник або шахрай).

методология проведення тестування

Підготовчий етап

Готуємо необхідні інструменти, ОС та програмне забезпечення для початку тестування

Розвідка (збір даних про цільові системи)

Збираємо інформацію або розвідувальні дані, для побудови головних напрямів тестування. Збирається інформація про організацію, її працівників, інтернет-ресурси та все, що може допомогти в отриманні доступу до потенційно секретних або приватних даних та стати основою для подальшого тестування.

Виявлення та аналіз вразливостей

Ідентифікуємо та аналізуємо вразливості в інформаційних системах замовника, оцінюємо ризики безпеки, що виникають при виявлених вразливостях. Відбуваються два процеси:      

  • Ідентифікація - виявлення вразливостей є основним завданням на цьому етапі.·     
  • Валідація - ми залишаємо тільки ті вразливості, які фактично є дійсними.

Експлуатація вразливостей

Використовуємо виявлені вразливості з метою порушення системи безпеки. Для експлуатації ми використовуємо професійне програмне забезпечення, яке рекомендовано виключно для експлуатаційних цілей, та робимо спроби отримати доступ до цільових систем.

Пост-експлуатаційні дії

Аналізуємо та вивчаємо скомпрометовану систему та підтримуємо управління машиною для подальшого використання та компрометування мережі.

Аналіз результатів та написання звіту

Надаємо звіт про результати тестування та висновки. Звіт включає детальні дані про вразливості у мережах, які можуть дозволити зловмисникам порушити безпеку та досягти певного впливу. А також недоліки, які дозволять отримати надмірний рівень доступу або перешкоджатимуть нормальному функціонуванню систем.

об'єкти тестування

Інфраструктура
Шукаємо та експлуатуємо вразливості у мережах компанії. Метою є підвищення стійкості мережевої інфраструктури до внутрішніх та зовнішніх атак. Ви отримуєте детальну інформацію щодо виявлених вразливостей, загроз та можливих наслідків їх впливу на інформаційні активи бізнесу. Ми надаємо індивідуальні рекомендації щодо захисту критичних систем та мереж компанії.
Що тестуємо?
Симулюючи кібер-атаку, ми розробляємо пріоритетний список недоліків, в тому числі:
  • Незахищені вразливості в сервісах, операційних системах та додатках.
  • Небезпечні або дефолтні конфігурації систем та програмного забезпечення.
  • Небезпечні налаштування систем контролю доступу, слабкі облікові дані користувачів та ін.
Коли потрібно проводити?
  • Ви маєте юридичні або моральні зобов'язання щодо захисту своїх даних, несете фінансові та репутаційні ризики, залишаючи свої мережі недостатньо захищеними.
  • Вам необхідно зберегти конфіденційність, цілісність та доступність даних, якими ви оперуєте.
  • Ви впроваджуєте зміни у мережевій інфраструктурі вашої компанії, що може призвести до появи критичних вразливостей та загроз.
Як тестуємо?
Використовується ряд автоматизованих та ручних інструментів, а також власні методології, для виявлення, верифікації та експлуатації вразливостей мережевих систем. Кожен тест індивідуально адаптований до вимог замовника та враховує специфіку систем, що підлягають випробуванню.
Веб-додатки
Безпека веб-додатків являє собою унікальний набір комплексних завдань, адже складні програми, що оперують конфіденційною інформацією, часто взаємодіють з ненадійними базами користувачів, або інтегруються з різними, іноді застарілими джерелами даних, які не мають єдиного безпечного механізму автентифікації чи авторизації.
  
Що тестуємо?
Від загальних недоліків до комплексних вразливостей у логіці веб-додатків, включаючи:
  • Атаки на механізми автентифікації: виявлення користувачів; обхід схем автентифікації брут-форс.
  • Тестування механізмів авторизації: обхід схем авторизації; ескалація привілеїв; небезпечні посилання на прямі об'єкти.
  • Атаки на механізми керування сесіями, валідації вхідних даних.
  • Тестування бізнес-логіки веб-додатків.
  • Тестування механізмів генерації помилок, обробки винятків та ведення журналів атаки на клієнтську частину веб-додатків.
Коли потрібно проводити?
  • Якщо ваш бізнес використовує веб-додатки для зберігання, обробки або передачі конфіденційних даних, вони можуть бути вразливими для хакерів.
  • Якщо ви прагнете своєчасно виявляти та усувати вразливості у ваших веб-додатках, тим самим захистити конфіденційні дані.
  • Якщо для вас важливо зберегти довіру клієнтів до вашого бізнесу та репутацію компанії.
Як тестуємо?
Проводяться як віддалені тести так і детальні дослідження веб-додатків з внутрішньої мережі. Використовується автоматизоване ПЗ та ручні методики ідентифікації та експлуатації вразливостей веб-додатків. Наша методологія передбачає індивідуальну адаптацію до потреб замовника та враховує специфіку досліджуваних веб-додатків.
Бездротові мережі

У корпоративному периметрі бездротові мережі є потенційно слабким місцем та привабливою точкою входу для зловмисників. Якщо зловмисник може отримати доступ до однієї з бездротових мереж,
він може атакувати інші ресурси та внутрішні системи.

Що тестуємо?

Ми перевіряємо конфігурації пристроїв бездротового зв'язку, технології передачі даних, виявляємо небезпечні Wi-Fi мережі, що можуть відкрити зловмисникам двері до корпоративної мережі, а також тестуємо:

  • Протоколи шифрування перша лінія захисту бездротової мережі. Якщо зловмисник проходить її, він отримує доступ до мережі.
  • Автентифікація слабкі паролі користувачів дозволяють нападникам з легкістю проникати до корпоративних мереж.
  • Сегрегація відсутня або слабка – призводить до розкриття конфіденційних даних, доступу до внутрішніх систем, і атак на внутрішніх користувачів.
Коли потрібно проводити?
  • Запобігти несанкціонованому доступу до ваших мережевих ресурсів та витоку даних.
  • Виявити та усунути небезпечні вразливості бездротових мереж.
  • Забезпечити безпечний доступ клієнтів до ваших бездротових ресурсів.
Як тестуємо?

Може бути проведений повний аналіз бездротової мережі, як окреме тестування, або у рамках комплексних тестувань безпеки інфраструктури. Аналіз архітектури та конфігурацій пристроїв дає змогу зробити більш ретельний аналіз.

напрямки, в яких послуга буде актуальною

Запобігання вторгненню та мережеве екранування

Детальніше

Криптозахист та запобігання витоку даних

Детальніше

Захист баз даних, веб-додатків

Детальніше

Контекстний захист поштового та веб-трафіку

Детальніше

Захист від шкідливого та зловмисного ПЗ

Детальніше