Основные проблемы

За последние несколько лет информационные технологии не только значительно расширили возможности бизнеса, но и сделали его более уязвимым. С одной стороны, налаживая электронный обмен данными и документами с клиентами или партнерами через Интернет, компании делают свой бизнес эффективным, но, с другой стороны, ставят его под угрозу.  Неуязвимых систем не бывает. И нахождение злоумышленниками уязвимостей в корпоративной сети (например, ошибок в реализации сетевых сервисов и в настройках сетевого оборудования) может привести не только к прямому финансовому ущербу, но и к потере репутации, утрате конкурентных преимуществ и другим негативным последствиям.

Решение

Для объективной оценки защищенности компании от внешних злоумышленников и инсайдеров мы  предлагаем услугу по проведению комплексного теста на проникновение, который включает в себя: 

• Технический тест на проникновение – комплекс  мероприятий по имитации действий квалифицированных внешних злоумышленников и инсайдеров, включающий в себя сбор информации о сетевой инфраструктуре корпоративной информационной системы (КИС) компании, выделение целевых точек проникновения, поиск уязвимостей на них, разработку и реализацию векторов проникновения.
• Социотехнический тест на проникновение предназначен для наглядной демонстрации текущего уровня осведомлённости сотрудников компании в вопросах информационной безопасности. На данном этапе производится сбор и упорядочение публично доступной информации о сотрудниках, подготовка и проведение атак на сотрудников с использованием методов «социальной инженерии» через  различные точки коммуникаций (соц. сети, эл. почта и т.д.) с целью получения удалённого контроля над их рабочими станциями. Как показывает практика проведения нами комплексных тестов на проникновение, зачастую успешные атаки  на пользователей позволяют обойти достаточно мощную защиту внешнего сетевого периметра КИС компании.
• Оценка защищённости веб-приложений представляет собой комплекс мер от анализа конфигурации веб-окружения до ручных и автоматизированных проверок веб-приложения. Согласно отчету «2009 Data Breach Investigations Report»  компании Verizon до 79% критичной информации было получено в 2008 году через уязвимости в веб-приложениях.
• Оценка защищённости беспроводных сетей представляет собой идентификацию точек беспроводного доступа и анализ возможности проникновения через них в КИС компании.

Особенности

• Уровень начальных знаний о КИС и модель взаимодействия с сотрудниками Заказчика заранее согласуется с Заказчиком.
• Заказчик всегда может проконтролировать текущий этап проведения работ. Все потенциально опасные для КИС действия согласуются с Заказчиком.
• В договоре отражаются все утвержденные условия и ход работ, условия конфиденциальности информации, полученной в ходе проведения теста, и ответственность сторон.
• В итоговом отчёте помимо подробного описания проведённых работ, даются рекомендации по устранению найденных уязвимостей и повышению общего уровня информационной безопасности КИС Заказчика.
• Тест на проникновение направлен на преодоление существующих защитных мер, но не на глубокую оценку уровня защищенности конкретной КИС или технологии.

Результаты

В результате проведения теста на проникновение компании получат следующие основные выгоды:

• Объективная оценка защищенности компании от внешнего злоумышленника, действующего через сеть Интернет и от действий квалифицированного инсайдера, имеющего возможность подключения  к локальной сети.
• Повышение защищенности сети от наиболее вероятных атак путем реализации рекомендаций, которые будут предоставлены после завершения теста на проникновение.
• Объективная оценка публично доступной информации о КИС и сотрудниках Заказчика.

Хотите получить дополнительную информацию по услугам нашей компании по направлению PCI DSS?

Соответствие требованиям регуляторов