Тестирование на взлом

На сегодняшний день существует большой объем законодательства в области защиты информации. Но соблюдения всех обязательных требований не гарантирует наличие в программном коде или архитектуре системы ошибок, которыми могут воспользоваться злоумышленники. Целью тестирования на уязвимости или взлома систем является получение оценки реального уровня защищенности систем.

В результате проведенных нами мероприятий заказчики получают информацию:

  • описание угроз и оценках возможности их использования нарушителем;
  • возможность использования уязвимостей (в описании работ или демонстрации реализации);
  • рекомендаций по устранению выявленных уязвимостей и недостатков с целью повышения уровня защищенности систем.

Взлом программного обеспечения наша компания, как правило, проводим по следующему плану:

  1. Тестирование защищенности со стороны внешнего нарушителя, не обладающего сведениями и доступом к системе.
  2. Тестирование защищенности со стороны пользователя системы, обладающего пользовательским и иным доступом к системе.
  3. Анализ исходного кода системы на наличие уязвимостей.
  4. Разработка отчета о выполненных работах.

Тестирование защищенности направлено на выявление уязвимостей, двух классов:

  • «Открытый»: уязвимости для использования которых существуют методики и средства, доступные в свободной продаже, в открытых источниках и в специализированных источниках ограниченного доступа.
  • «Индивидуальный»: уязвимости, для использования которых не существуют готовых и описанных методик и инструментов.

Наша компания выполняет взлом на тестовом окружении, но по согласованию возможно и на основном окружении. В рамках выполнения работ рассматривается следующие модели нарушителя:

  • На этапе 1 внешний нарушитель, действующий со стороны сети, который не имеет привилегий в системах, и осуществляющий атаки, направленные на получение доступа к системам и к узлам внутренней сети.
  • На этапе 2 внутренний нарушитель, имеющий привилегии пользователя в системах, действующий со стороны сети, и осуществляющий атаки, направленные на повышение привилегий и получение доступа к функциям систем, не предусмотренным для соответствующей роли, либо на получение доступа к узлам внутренней сети.

При проведении тестирования систем на устойчивость к взломам наши специалисты обладают данными о информационных системах и используемой инфраструктуре, которые доступны из открытых источников. На этапе анализа исходного кода и архитектуры системы используется информация, полученная от заказчика.

Заказчику в отчете предоставляется полная информация о действиях, выполнявшихся в ходе тестирования на взлом: применявшихся методах атаки, выявленных недостатках, результатах использования наиболее серьезных уязвимостей и рекомендации по их устранению.

Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.
Вернуться к списку