Пентест

В задачи пентеста входит:

1. Нахождение, анализ и эксплуатирование уязвимостей в информационной инфраструктуре.

2. Выдача подробных рекомендаций по устранению обнаруженных уязвимостей и, при необходимости, принятие профессиональных мер по их устранению.

Пентест регламентируется требованиями международных стандартов по информационной безопасности PCI DSS и ISO 27001, согласно которым пентест проводится ежегодно или после существенных изменений в информационной инфраструктуре.

Также приказы ФСТЭК России № 17, № 21 и № 31 требуют анализировать защищенность информационных систем раз в 3 года или чаще.

Пентест заканчивается когда поставленная задача достигнута или время отведенное на проникновение истекло. Результатом проведения пентеста является отчет, содержащий в себе все найденные уязвимости, а также рекомендации по их устранению (входит в стоимость пентеста).

Порядок проведения пентеста

В первую очередь, проводится исследование ИТ-инфраструктуры организации, которое поможет найти правильный подход к проведению пентеста.

Далее проводится интернет-разведка (OSINT-анализ) внешних открытых источников. OSINT позволяет увидеть какие данные организации (логины, пароли, внутренние сервисы и т.д.) хранятся в открытом доступе и доступны абсолютно всем пользователям интернета.

Затем, в рамках заданного срока и модели нарушителя, определяются все возможные известные уязвимости, недостатки парольной политики, недостатки и тонкости настроек конфигурации внутренней инфраструктуры. Имитируются векторы возможных угроз.

По результатам проведения пентеста выдается подробный отчет с описанием выявленных уязвимостей, уровня их критичности и рекомендациями по их устранению.

Стоимость пентеста

Стоимость пентеста рассчитывается индивидуально для каждого заказа. Конечная цена может зависеть от таких факторов как:

• Сложность поставленной задачи;
• Архитектура системы;
• Сроки;
• Ограничения со стороны заказчика;