Пентест внутренней инфраструктуры – тестирование методом чёрного ящика — Кодебай

Поиск

Пентест внутренней инфраструктуры – тестирование методом «чёрного ящика»

Выявим каждую уязвимость

На шаг впереди злоумышленников

Используем методы взломщиков на благо информационной безопасности вашего бизнеса

«Предупреждён – значит вооружён» – таково главное правило информационной безопасности. Поэтому ключевая задача предельно проста – выявить все бреши в обороне до того, как их обнаружит злоумышленник, а затем устранить.

Этой цели и служит пентест, он же тест на проникновение. Мы детально имитируем действия потенциальных взломщиков и эксплуатируем все найденные уязвимости. Простыми словами пентест – это взлом ради защиты.

В чём специфика «чёрного ящика»? В отличие от «белого», когда нарушитель хорошо осведомлён о системе защиты, и «серого», когда он обладает ограниченными знаниями об инфраструктуре, данная технология предусматривает взлом практически вслепую. Как это и вынуждены делать хакеры.

Тест на проникновение методом чёрного ящика – наиболее сложный вариант исследования, когда приходится искать слабые места внутренней инфраструктуры проекта, не имея никакой информации о тестируемом объекте. Именно так действуют большинство онлайн-злоумышленников. Лучше, если мы первые обнаружим уязвимые места для потенциального вредоносного проникновения, не оставив хакерам ни малейшего шанса навредить вашему проекту.

Как мы проводим тестирование методом чёрного ящика

Мы приходим к цели за 5 шагов:

Согласование. Заключаем соглашение о конфиденциальности, определяем рамки нашей работы и конкретизируем задачи. А ещё налаживаем контакты с вашими специалистами для оперативного решения возникающих вопросов.
Пассивное сканирование. Находим точки входа компании в интернет. Далее в списке целей – порты, операционные сети, маршрутизаторы, межсетевые экраны, а также ids- и ips-системы. На этом этапе выявляем любые уязвимости оборудования и программного обеспечения.
Планирование. Тщательно проанализировав всю полученную информацию, разрабатываем сценарий взлома, определяем векторы атаки и готовим инструментарий. Прежде всего модифицируем популярные эксплойты, чтобы сделать их безвредными.
Атака. Испытываем внутреннюю сеть на взломоустойчивость на уровне каналов по протоколам CDP, ARP, STP, VTP и DTP. Выискиваем «лазейки» со стороны каждого используемого вами внешнего сервиса. Рассылаем «вредоносное» ПО по всем доступным каналам коммуникации.
Составление отчёта. Излагаем использованную методику взлома и результаты по каждому из направлений атаки. Обозначаем риски, которыми чреваты найденные уязвимости. Составляем поэтапный план ликвидации недочётов и совершенствованию системы информационной безопасности.

Когда за взлом «черного ящика» берутся эксперты Кодебай, вам гарантированы:

Исчерпывающий анализ

В нашем арсенале все без исключения приёмы и инструменты, используемые хакерами. Мы методично, шаг за шагом, пускаем их в ход при тестировании на проникновение методом чёрного ящика. Если в системе безопасности есть хотя бы малейшая уязвимость, она не ускользнёт от нашего внимания.

Оперативность

Тщательно – не значит долго. У нас слаженная команда и многократно отработанный план действий, поэтому никаких проволочек и пауз в работе. Мы заранее назовём сроки и обязательно в них уложимся. Как правило, нам требуется от 7 до 30 дней, в зависимости от сложности и объёма работ.

Разумная стоимость

Да, мы знаем себе цену. Но знаем ценность и вашим деньгам. Чуть ниже среднерыночной – такая стоимость устраивает и нас, и заказчиков. Ведь мы не отдаём проценты посредникам, а вы, соответственно, не переплачиваете.

Большой опыт

За годы профессиональной деятельности по обеспечению информационной безопасности мы уже наверняка имели дело с инфраструктурой наподобие вашей. Знаем сильные и слабые стороны оборудования, операционных систем и программного обеспечения. Но никогда не проводим тестирование на проникновение шаблонно, а проявляем индивидуальный подход.

ЦЕННОСТЬ ВЫШЕ ЦЕНЫ