госзакупки

Технологический тест на проникновение

Спец. цены
Тест на проникновение проводится с целью выявления существующих уязвимых мест в элементах ИТ инфраструктуры, практической демонстрации возможности использования уязвимостей (на примере наиболее критических) и формирования рекомендаций по устранению выявленных уязвимостей.
Варианты покупки
*Технологический тест на проникновение
Заказать услугу: Технологический тест на проникновение
0.00
руб.

Подробное описание

Продукт снят с продаж.

Для получения консультации по подбору аналогичного продукта обратитесь через онлайн-консультант, форму обратной связи или отправьте письмо по электронной почте на адрес info@datasystem.ru

Тест на проникновение проводится с целью выявления существующих уязвимых мест в элементах ИТ инфраструктуры, практической демонстрации возможности использования уязвимостей (на примере наиболее критических) и формирования рекомендаций по устранению выявленных уязвимостей.
 
Тест на проникновения может проводиться для периметра корпоративной сети (внешний тест) и для внутренних ресурсов (внутренний тест). Работы могут проводиться с уведомлением администраторов и пользователей тестируемой системы, либо без него (Red Team Test). В ходе внутреннего тестирования может использоваться как ноутбук аудитора, так и стандартное рабочее место пользователя Заказчика.
 
В процессе тестирования используются как инструментальные средства, так и ручные методы анализа.

В общем случае порядок проведения работ следующий:

  • Получение предварительной информации о сети Заказчика. Используются те же источники информации, которые доступны злоумышленникам (Интернет, новости, конференции).
  • Составление карты сети, определение типов устройств, ОС, приложений по реакции на внешнее воздействие.
  • Идентификация уязвимостей сетевых служб и приложений.
  • Анализ WEB-приложений Заказчика. С помощью автоматизированных утилит и ручными методами детектируются следующие уязвимости: внедрение операторов SQL (SQL Injection), межсайтовое исполнение сценариев (Cross-Site Scripting), подмена содержимого (Content Spoofing), выполнением команд ОС (OS Commanding), уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации и пр.
  • Эксплуатации уязвимостей. Методы и инструментарий выбираются индивидуально для каждого типа уязвимости. Используются как общедоступные утилиты, так и инструментарий собственной разработки.
  • По согласованию с Заказчиком могут проводиться базовые работы по контролю защищенности беспроводных сетей.
  • По согласованию с Заказчиком может производиться проверка устойчивости внешнего периметра и открытых ресурсов на атаки типа отказа в обслуживании. Производится оценка степени устойчивости сетевых элементов и возможного ущерба при проведении наиболее вероятных сценариев подобных атак.
  • Проверка устойчивости сети к атакам на канальном уровне. Производится моделированием атак на протоколы канального уровня STP, VTP, CDP, ARP.
  • Анализ сетевого трафика. В случае проведения работ в сети Заказчика или при получении такой возможности в ходе эксплуатации уязвимостей проводится анализ сетевого трафика с целью получения важной информации (пароли пользователей, конфиденциальные документы и пр.).
  • Проверка устойчивости маршрутизации. Производится моделированием фальсификации маршрутов и проведения атаки типа отказа в обслуживании против используемых протоколов маршрутизации.
  • Проверка возможности получения злоумышленником несанкционированного доступа к конфиденциальной информации или информации ограниченного доступа Заказчика. Производится проверкой прав доступа к различным информационным ресурсам Заказчика с привилегиями, полученными на различных этапах тестирования.
  • Полученная в ходе анализа уязвимостей и попыток их эксплуатации информация документируется и анализируется для выработки рекомендаций по улучшению защищенности сети.


Результатом работы будет являться отчет, содержащий:

  • Методику проведения теста.
  • Выводы для руководства, содержащие общую оценку уровня защищенности.
  • Описание выявленных недостатков СУИБ.
  • Описание хода тестирования с информацией по всем выявленным уязвимостям и результатам их эксплуатации.
  • Рекомендации по устранению выявленных уязвимостей.
  • При оценке критичности обнаруженных уязвимостей используется методика Common Vulnerability Scoring System (CVSS), что позволяет использовать результаты тестирования на проникновения в качественных и количественных методиках анализа риска.


Логическим продолжением теста на проникновение могут являться работы:

  • Проектировани е и внедрение систем защиты
  • Проектирование и внедрение системы управления уровнем защищенности
  • Мониторинг защищенности периметра корпоративной сети

Техника

     
     
     
     
     
   

Интернет-магазин Adobe.Datasystem.ru: поставка лицензионного программного обеспечения Adobe
На сайте используются материалы корпоративного веб-сайта Adobe www.Adobe.com.
Все права и торговые марки принадлежат компании Adobe

 
x
x
x
x

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.