Тестирование на проникновение (пентест)
для ИТ-инфраструктуры, веб-приложений и сетей
Тестирование на проникновение — это контролируемая имитация атак на информационную систему организации с целью выявления реальных уязвимостей до того, как ими воспользуются настоящие злоумышленники. Специалисты применяют те же методы и инструменты, что используют реальные атакующие.
Если для проведения пентеста привлекается сторонняя организация, она обязана иметь лицензию ФСТЭК России на техническую защиту конфиденциальной информации. АНБИТ располагает всеми необходимыми лицензиями.
Проводим пентест внешнего и внутреннего периметра, веб-приложений, API, мобильных приложений, Active Directory, серверов, сетевого оборудования и облачных сервисов. По итогам заказчик получает отчёт с приоритизацией рисков, доказательствами эксплуатации и практическим планом устранения уязвимостей.
В рамках пентеста мы осуществляем:
- Выявление уязвимостей в веб-приложениях, сетевой инфраструктуре, рабочих станциях и сервисах
- Оценку уровня устойчивости к атакам с внешнего и внутреннего периметра
- Использование методик White Box, Gray Box и Black Box
- Разработку детального отчёта с анализом рисков и рекомендациями по устранению угроз
- Повторное тестирование после устранения уязвимостей
Типы анализа защищённости
Виды тестирования на проникновение
В зависимости от задач и охвата мы предлагаем три формата пентеста
Внешний пентест
Внешний нарушитель
Цель — выявление уязвимостей, которые потенциально могли бы эксплуатироваться внешними злоумышленниками. Проверяется безопасность периметра сети, внешние серверы, веб-приложения и публичные сервисы. Специалисты атакуют инфраструктуру из интернета без каких-либо привилегий.
Внутренний пентест
Внутренний нарушитель
Внутреннее тестирование проводится внутри корпоративной сети с целью выявления внутренних угроз. Позволяет оценить риски от инсайдерской угрозы или от атакующего, уже преодолевшего внешний периметр.
Комплексный пентест
Рекомендуется
Включает внешний и внутренний пентест. Наиболее полный анализ всей корпоративной инфраструктуры на предмет уязвимостей, недостатков конфигурации и иных проблем информационной и компьютерной безопасности.
Виды анализа защищённости
Методология проведения
Три формата раскрытия информации — в зависимости от целей и требований заказчика
White Box
Полное раскрытие информации
Испытания проводятся с полным знанием структуры ИТ-инфраструктуры заказчика. Используется информация обо всех компонентах, конфигурации сетей и приложений. Позволяет глубже исследовать систему и выявить скрытые уязвимости. Оптимален при жёстких временны́х ограничениях или для проверки конкретных компонентов.
Gray Box
Частичное раскрытие информации
Заказчик частично раскрывает информацию о своей инфраструктуре, что позволяет быстрее обнаружить критические уязвимости. Наиболее реалистичная модель нарушителя. Специалистам требуется больше времени для оценки масштаба инфраструктуры и получения административного доступа.
Black Box
Без раскрытия внутренней информации
Испытания проводятся с позиции внешнего нарушителя без предварительного предоставления детальной информации о структуре ИТ-инфраструктуры заказчика. Используются открыто доступные сведения и заранее согласованный периметр проверки. Подход позволяет оценить устойчивость внешнего контура, выявить уязвимости публичных сервисов и понять, какие векторы атаки доступны злоумышленнику извне.
Что проверяем
Осуществляем проверку и оценку
Охватываем все ключевые компоненты корпоративной инфраструктуры
Windows Active Directory
Защищённость AD домена: Kerberoasting, Pass-the-Hash, DCSync, атаки на GPO и контроллеры домена
Сетевое оборудование
Конфигурация и уязвимости маршрутизаторов, коммутаторов, межсетевых экранов, уязвимые сетевые устройства
Веб-приложения
OWASP Top 10, SQL/XSS инъекции, API-уязвимости, аутентификация и авторизация, бизнес-логика
Виртуализация и резервное копирование
VMWare ESXi, Proxmox, системы Veeam, файловые хранилища NAS — QNAP, Synology и другие
Физические серверы
Серверы Linux и Windows (в т.ч. не в домене) — проверка уязвимостей и учётных данных из предыдущих этапов
Политики ИБ
Оценка политик по ИБ, выявление недостатков, рекомендации по адаптации к реальным угрозам организации
Сегментация сети
Анализ межсегментных взаимодействий, DMZ, Lateral Movement, возможности движения по сети
Рекомендации по ИБ
Общие и конкретные рекомендации по повышению уровня безопасности корпоративной инфраструктуры
Как мы работаем
Этапы проведения пентеста
Каждый проект ведётся по чёткому регламенту с согласованием на каждом шаге
1
Согласование направлений и особенностей работы
Совместно с заказчиком определяем тип тестирования — внешний, внутренний или комплексный пентест. Формируем scope: IP-адреса, доменные имена, веб-приложения. Фиксируем недопустимые события со стороны пентестеров. Подписываем NDA и соглашение о проведении работ.
2
Предоставление заказчиком требуемой информации
Заказчик предоставляет информацию в соответствии с выбранным форматом. Для внутреннего и комплексного пентеста — учётные данные VPN и иная требуемая информация. Объём раскрываемых данных фиксируется в техническом задании.
3
Проведение тестирования на проникновение
Специалисты проводят работы в согласованные сроки. Применяются актуальные методики:
- Разведка и сбор информации об объектах тестирования
- Сканирование и анализ уязвимостей
- Эксплуатация в рамках согласованных правил
- Постэксплуатация: Lateral Movement, повышение привилегий до Domain Admin
4
Формирование рекомендаций и итогового отчёта
Каждая уязвимость описывается с доказательствами эксплуатации, оценкой риска и шагами по устранению. Итоговый отчёт включает технический раздел для команды ИБ и управленческую сводку для руководства.
5
Поддержка при устранении уязвимостей и ретест
Оказываем поддержку при устранении уязвимостей и консалтинг по защищённости. Проводим повторное тестирование для подтверждения корректного исправления критических и высоких уязвимостей.
