Мережа та мережева інфраструктура
Веб-додатки різної складності та функціоналу
Бездротові системи та технології
Імітує методи, які використовують хакери.
Ідентифікує проблеми, які не можуть бути виявлені під час сканування вразливостей.
Визначає помилкові спрацьовування при автоматичному скануванні.
Дає глибоке розуміння проблем та визначає чіткі напрямки подальших дій.
види тестування
Який тест обрати?
Кожне тестування орієнтовано та налаштовано відповідно до потреб, вимог та пріоритетів вашої команди. Попередня оцінка обсягів тестування допомагає нам з'ясувати головні цілі та типи тесту, та ефективно спланувати бюджет заходів безпеки.
Підготовчий етап
Готуємо необхідні інструменти, ОС та програмне забезпечення для початку тестування
Розвідка (збір даних про цільові системи)
Збираємо інформацію або розвідувальні дані, для побудови головних напрямів тестування. Збирається інформація про організацію, її працівників, інтернет-ресурси та все, що може допомогти в отриманні доступу до потенційно секретних або приватних даних та стати основою для подальшого тестування.
Виявлення та аналіз вразливостей
Ідентифікуємо та аналізуємо вразливості в інформаційних системах замовника, оцінюємо ризики безпеки, що виникають при виявлених вразливостях. Відбуваються два процеси:
- Ідентифікація - виявлення вразливостей є основним завданням на цьому етапі.·
- Валідація - ми залишаємо тільки ті вразливості, які фактично є дійсними.
Експлуатація вразливостей
Використовуємо виявлені вразливості з метою порушення системи безпеки. Для експлуатації ми використовуємо професійне програмне забезпечення, яке рекомендовано виключно для експлуатаційних цілей, та робимо спроби отримати доступ до цільових систем.
Пост-експлуатаційні дії
Аналізуємо та вивчаємо скомпрометовану систему та підтримуємо управління машиною для подальшого використання та компрометування мережі.
Аналіз результатів та написання звіту
Надаємо звіт про результати тестування та висновки. Звіт включає детальні дані про вразливості у мережах, які можуть дозволити зловмисникам порушити безпеку та досягти певного впливу. А також недоліки, які дозволять отримати надмірний рівень доступу або перешкоджатимуть нормальному функціонуванню систем.
Шукаємо та експлуатуємо вразливості у мережах компанії. Метою є підвищення стійкості мережевої інфраструктури до внутрішніх та зовнішніх атак. Ви отримуєте детальну інформацію щодо виявлених вразливостей, загроз та можливих наслідків їх впливу на інформаційні активи бізнесу. Ми надаємо індивідуальні рекомендації щодо захисту критичних систем та мереж компанії.
Симулюючи кібер-атаку, ми розробляємо пріоритетний список недоліків, в тому числі:
- Незахищені вразливості в сервісах, операційних системах та додатках.
- Небезпечні або дефолтні конфігурації систем та програмного забезпечення.
- Небезпечні налаштування систем контролю доступу, слабкі облікові дані користувачів та ін.
- Ви маєте юридичні або моральні зобов'язання щодо захисту своїх даних, несете фінансові та репутаційні ризики, залишаючи свої мережі недостатньо захищеними.
- Вам необхідно зберегти конфіденційність, цілісність та доступність даних, якими ви оперуєте.
- Ви впроваджуєте зміни у мережевій інфраструктурі вашої компанії, що може призвести до появи критичних вразливостей та загроз.
Кожен тест індивідуально адаптований до вимог замовника та враховує специфіку систем, що підлягають випробуванню.
Безпека веб-додатків являє собою унікальний набір комплексних завдань, адже складні програми, що оперують конфіденційною інформацією, часто взаємодіють з ненадійними базами користувачів, або інтегруються з різними, іноді застарілими джерелами даних, які не мають єдиного безпечного механізму автентифікації чи авторизації.
Від загальних недоліків до комплексних вразливостей у логіці веб-додатків, включаючи:
- Атаки на механізми автентифікації: виявлення користувачів; обхід схем автентифікації брут-форс.
- Тестування механізмів авторизації: обхід схем авторизації; ескалація привілеїв; небезпечні посилання на прямі об'єкти.
- Атаки на механізми керування сесіями, валідації вхідних даних.
- Тестування бізнес-логіки веб-додатків.
- Тестування механізмів генерації помилок, обробки винятків та ведення журналів атаки на клієнтську частину веб-додатків.
- Якщо ваш бізнес використовує веб-додатки для зберігання, обробки або передачі конфіденційних даних, вони можуть бути вразливими для хакерів.
- Якщо ви прагнете своєчасно виявляти та усувати вразливості у ваших веб-додатках, тим самим захистити
конфіденційні дані. - Якщо для вас важливо зберегти довіру клієнтів до вашого бізнесу та репутацію компанії.
Проводяться як віддалені тести так і детальні дослідження веб-додатків з внутрішньої мережі. Використовується автоматизоване ПЗ та ручні методики ідентифікації та експлуатації вразливостей веб-додатків. Наша методологія передбачає індивідуальну адаптацію до потреб замовника та враховує специфіку досліджуваних веб-додатків.
У корпоративному периметрі бездротові мережі є потенційно слабким місцем та привабливою точкою входу для зловмисників. Якщо зловмисник може отримати доступ до однієї з бездротових мереж,
він може атакувати інші ресурси та внутрішні системи.
Ми перевіряємо конфігурації пристроїв бездротового зв'язку, технології передачі даних, виявляємо небезпечні Wi-Fi мережі, що можуть відкрити зловмисникам двері до корпоративної мережі, а також тестуємо:
- Протоколи шифрування перша лінія захисту бездротової мережі. Якщо зловмисник проходить її, він отримує доступ до мережі.
- Автентифікація слабкі паролі користувачів дозволяють нападникам з легкістю проникати до корпоративних мереж.
- Сегрегація відсутня або слабка – призводить до розкриття конфіденційних даних, доступу до внутрішніх систем, і атак на внутрішніх користувачів.
- Запобігти несанкціонованому доступу до ваших мережевих ресурсів та витоку даних.
- Виявити та усунути небезпечні вразливості бездротових мереж.
- Забезпечити безпечний доступ клієнтів до ваших бездротових ресурсів.
Може бути проведений повний аналіз бездротової мережі, як окреме тестування, або у рамках комплексних тестувань безпеки інфраструктури. Аналіз архітектури та конфігурацій пристроїв дає змогу зробити більш ретельний аналіз.