Professional Documents
Culture Documents
ТЕСТВАНЕ НА ИНФОРМАЦИОННИТЕ СИСТЕМИ
ТЕСТВАНЕ НА ИНФОРМАЦИОННИТЕ СИСТЕМИ
Имейл фишинг
Имейл фишинг е похват при който се изпраща имейл от
фалшив източник с подлъгваща или невярна информация,
която подтиква получателя на имейла да извърши определени
действия, целящи извличане на чувствителна информация или
инсталиране на зловреден код.
Телефон/SMS
Обменът на поверителна информация по телефона се
случва почти постоянно, както и при останалите канали за
комуникация. Внушението, че да чуеш гласа на даден човек по
телефона е достатъчно потвърждение на неговата самоличност,
е често срещано. По тази причина злонамерените лица вече
пренасочват усилия все по-често от социалното инженерство по
имейл към такова чрез телефон.
Използвайки телефонна комуникация CONSEJO ще
провери доколко вашите служители са склонни да разкрият
чувствителна за вашата организация информация, или са
податливи да извършат друго действие, с което биха могли да
накърнят вашите интереси – умишлено, или не.
ПЕНЕТРЕЙШЪН ТЕСТ
Тестовете за проникване са най-честата форма на решение
за киберсигурност, целящо да оцени сигурността на системата.
Те са основен аспект на изграждането на сигурна и надеждна
инфраструктура за бизнес от всякакъв мащаб. Въпреки че те са
били широко приети от компании, които ги предлагат като част
от услуга, повечето доставчици на киберсигурност не предлагат
цялостна рамка за справяне с по-сложни проблеми със
сигурността.
Нашата услуга се основава на нашия опит и е разделена на
две основни категории, за да предостави на потребителите по-
голяма гъвкавост.
Уеб пенетрейшън тест
В днешно време уеб приложенията са сред най-често
използваните форми на софтуер, които са склонни да бъдат
експлоатирани, използвайки сравнително прости уязвимости, за
да получат достъп до частни активи. Уеб приложенията също се
считат за едно от най-разпространените средства за събиране,
съхранение, управление и преразпределение на данни. Ето защо
е от съществено значение една от основните му цели да бъде
сигурността на приложението.
Статистически, над 80% от всички известни
компрометирания се дължат на експлоатираните слабости в уеб
приложенията. В много случаи уязвимостите, които водят до
успешно компрометиране на системата, са напълно игнорирани
от конвенционалните и автоматизирани методи за тестване.
Услугата съчетава както автоматизирано, така и ръчно
средство за тестване (последното се извършва с приоритет). За
да се идентифицира потенциалната атакувана цел, се извършва
разузнаване. Тази фаза е част от методологията за тестване за
проникване, която включва следните фази:
ФАЗА 1: РАЗУЗНАВАНЕ
ФАЗА 2: СКАНИРАНЕ
ФАЗА 3: ПОЛУЧАВАНЕ НА ДОСТЪП
ФАЗА 4: ЕСКАЛАЦИЯ НА ПРИВИЛЕГИИТЕ
Заедно с фазите, специалистите са задължени да познават
и метода за достъп:
BLACK BOX ТЕСТ
Необходими са нулеви познания за активите на
компанията. Извършва се цялостна фаза на разузнаване, за да
се открият всички активи на компанията. Атакуващите избират
и следват собствена стратегия при изпълнението на тестовете.
Защо Ви е нужно?
Автоматизираното сканиране за уязвимости в големи
приложения или мрежи е напълно ефективен подход за да
получите ясна оценка на нивото на информационна сигурност,
както и основните рискове, които засягат инфраструктурата на
вашата компания. Услугата е напълно автоматизирана и не
отнема много време, като също така няма да прекъсне
работните ви процеси.
Услугата Сканиране за уязвимости често се бърка
с пенетрейшън тестовете, но те не трябва да се бъркат, тъй
като между тях има фундаментални разлики. Тестовете за
проникване (пенетрейшън тестовете) се фокусират върху
използването на открити уязвимости, докато процесът за
сканиране на уязвимости само открива слабости в самата
системата и то напълно автоматизирано. Спокойно може да се
каже, че услугата Сканиране за уязвимости е част от общата
методология на пенетрейшън тестове.
Крайният продукт е доклад от автоматизираното
сканиране, който е описан и одобрен от нашите специалисти.
Обобщение и класификация на уязвимостите също са включени,
както препоръки за отстраняване на уязвимостите.
Киберсигурност
Wireless IDS софтуер
Цялостен мониторинг
Тестове за уязвимости
Firewall решения
SIEM решения
Пенетрейшън тестове
WAF решения
Тестване за проникване на уебсайт
Какво представлява тестването за проникване?
Теста за проникване (от английски пенетрейшън тест или
пен тест), известен също като етично хакерство, е симулирана
кибер атака срещу вашата компютърна система за проверка за
експлоатируеми уязвимости. С други думи, тестът за
проникване е процес, при който се използват методологии и
техники за да се идентифицират слабостите и пропуските в
сигурността, които биха могли да позволят на злонамерен хакер
да причини вреда или да получи неоторизиран достъп до
ресурсите, намиращи се в целевата система (бази данни,
информация за кредитни карти, чувствителни лични данни и
др.). След като се идентифицират пропуските в сигурността, се
предоставя анализ на потенциалните рискове и въздействието
на уязвимостите, заедно с мерки за отстраняването им.
Тестването на сигурността никога няма да бъде точна
наука, където може да се дефинира пълен списък на всички
възможни проблеми, които трябва да бъдат тествани. Всъщност
тестването на сигурността е подходяща техника за тестване на
сигурността при определени обстоятелства. Нашият екип за
тестване на проникване ще изтласка вашата система до
нейните предели в поредица от симулирани кибератаки,
откривайки всяка възможна уязвимост, така че Вие да получите
пълна картина на състоянието на киберсигурността си и 100%
от вашите данни да са в безопасност.
Защо ви е нужно?
Ние смятаме, че всяка една компания трябва да провежда
поне веднъж в годината тестове за уязвимости или пенетрейшън
тестове.
Цената на това да бъдете защитени винаги е била в пъти
по-ниска от всички други разходи и загуби, когато ви
компрометират.
Нашите решения са насочени в два спектъра - Офанзивна
киберсигурност и Дефанзивна киберсигурност
При офанзивната киберсигурност Вие ще имате
възможност да изпълните напълно реална хакерска атака в
контролирана среда. Методите, които нашите специалисти по
информационна сигурност използват са абсолютно същите,
които се прилагат от всички злонамерени хакери. Услугата
Тестове за уязвимости предлага напълно автоматизирани
решения за получаване на базова информация относно
състоянието на инфраструктурата Ви от гледна точка на това
колко е защитена. От друга страна услугата 'Пенетрейшън
тестове' има за цел да обхване голям набор от напълно
реалистични хакерски сценарии. При тази услуга се правят
реални опити за установяване на пробив в дадена система,
независимо дали става въпрос за уеб приложения, портали,
вътрешни или публични мрежи. След края на всяка една от
врете услуги Вие ще получите подробен доклад, който е изграден
по световни методологии за писането на доклади по
информационна сигурност. Примерен доклад от пенетрейшън
тест може да намерите ТУК
Защо ви е нужно?
С нашата услуга можем да ви дадем пълна оценка на
вашата информационна сигурност, като може да се запознаете
и с реални сценарии, при които може да се осъществят пробиви
във вашата ИТ инфраструктура. Друг плюс при пенетрейшън
тестовете е че може да получите адекватна оценка на това,
колко е възможно злонамерени служители да използват
недостатъците в информационните ви системи за да
компрометират компания.
Услугата включва няколко етапа:
Етап 1: Разузнаване и събиране на информация
Етап 2: Сканиране
Етап 3: Получаване на достъп
Етап 4: Ескалация на привилегиите
Категории
Тест за проникване от външна мрежа
По време на теста експертите се опитват да открият
проблеми със сигурността от външната страна на вашата
мрежа, обикновено през публичния интернет.
Тест за проникване от вътрешна мрежа
Тестът се извършва чрез поставяне на експерт във вашата
корпоративна среда и осигуряване на връзка с вашата
вътрешна мрежа, за да търси проблеми със сигурността отвътре.
По този начин вътрешният тест за проникване изследва
ресурсите, които са достъпни за всеки вътре в периметъра на
защита.
КАКВО Е ТЕСТ С/У ПРОБИВ (PENETRATION TEST)?
ноември 12, 2019
Тестът с/у пробив (penetration test, pen test) известен още
като етично хакерство е практика за тестване на компютър,
мрежа или уеб приложение като целта е да се намери
уязвимости в сигурноста, които може да се използват за
неоторизиран достъп. Тестът може да бъде автоматизиран чрез
специални приложения или ръчен. Той е цял процес, който
вклюва в себе си: събиране на информация на проверявания
обект, идентифициране на възможните портове, опит за влизане
(виртуален или реален) и докладване на резултатите.
Основната цел на теста с/у пробив е откриване на слабости
в ИТ сигурноста. Той също може да бъде ползван за тестване на
цялостната политика по ИТ сигурност на дадена организация,
дали покрива нужните стандарти, дали нейните служители имат
нужната квалификация за ИТ сигурност и възможноста да
идентифицират инциденти, касаещи ИТ сигурноста на самата
организация.
Обикновено за информацията за слабостите по ИТ
сигурноста пряко отговорни са системни администратори и
менаджерите по управление на мрежите.
Резултатите от тези тестове са важни за организацията. Тя
може да вземе решение по приоритетите си в разрешаване на
открити слабости в ИТ сигурноста. Тези резултати помагат и на
програмистите, които разработват уеб приложения. Ако знаят
как хакерите атакуват, то ще могат да защитят по-добре своите
разработки и да минимизират грешките в бъдеще.
КОЛКО ЧЕСТО ТРЯБВА ДА СЕ ПРАВИ?
Този тест трябва да се прави поне веднъж годишно или
веднага след:
Добавяне на нова ИТ инфраструктура или внедряване
на нови уеб приложения в компанията
При сериозен апгрейд на съществуваща ИТ
инфраструктура или уеб приложения.
Отваряне на нови офиси
Промени в ИТ сигурноста
Промени в политиката с крайни клиенти
Какво трябва да знаем още?
Няма универсално правило за всички компании. Има
няколко фактори, които са важни за провеждане на такъв тест.
Размер на компанията. Големите компании са
атрактивни за кибератака. Имат много уязвими звена.
Скъпи са. Компании с ограничен бюджет за ИТ
сигурност е вероятно да не могат да си го позволят ежегодно.
Закони и наредби. Компании в определени бизнеси
области по закон са задължени да спазват и изпълняват
определени дейности касаещи IT сигурност, включително тест
с/у пробив.
Ако цялата инфраструктура на дадена копмпания е в
облака, то със сигурност на нея няма да й бъде разрешено да
извърши такъв тест в/у инфраструктурата на доставчика на
облачна услуга. Такива тестове обаче е длъжен да прави самия
доставчик на облачната услуга.
Ето защо цялата процедура по теста трябва да бъде
организирана специфично за самата компания като се вземе
под внимание големината и бизнес областа й, в която развива
дейност,
СРЕДСТВА ЗА ТЕСТ С/У ПРОБИВ
Специалистите често ползват автоматизирани средства за
откриване на уязвимости. Софтуерът за тест п/в пробив
обикновено сканира кода на приложенията като целта му е да
намери зловреден код, който може да причини пробив в
сигурноста. Тестът п/в пробив анализира начина на криптиране
на данните, анализира паролите и др.
Тези средства трябва да бъдата:
Лесни за инсталиране и ползване
Лесно да сканират системата
Да може да категоризира степента на заплаха на
откритите проблеми. Тези, които не търпят отлагане, трябва да
се разрешат веднага.
Проверката за уязвимост трябва да се автоматизира.
Да може да се проверява стари уязвимости
Да може да генерира подробни доклади след
првоерка.
Много от тези средства са с отворен код приложения, те
дават възможност на хората, които извършват тези тестове да
ги нагласят за специфичните си нужди и
изисквания. Metasploit Project, Nmap (Network
Mapper), WireShark, Jack the Ripper.
Част от тези софтуери се ползват от истинските хакери.
СТРАТЕГИИ
Основен момент в извършването на такъв тест е да се
определи първоначално мащаба на теста. Мащабът се определя
от какви машини, локации, техниките и средствата, които ще се
ползват. Ограничавайки мащаба на теста позволява да се
изгради по-добър фокус. Стратегиите могат да бъдат:
Целеви. Извършват се от ИТ отдела на самата
компания.
Външни. Тестват се сървърите, мейли, домейни на
компаният отвън. Опит да се намерят пропуски за достъп
отвън.
Вътрешни. Вътрешна атака на потребител с редовни
права. Измерва каква вреда може да причини недобросъвестен
служител на компанията.
Сляп тест. Дават се съвсем малко данни за
компанията на външен специалист, който да извърши този тест
„на сляпо“. Често пъти данните са само име на компанията.
Двойно-сляп тест. Това е „сляп тест“, но в
проверяваната компания само тесен кръг от хора знаят за
провеждането на теста.
Тест черна кутия. Вид сляп тест, но проверяващия
не получава никаква информация преди започването на теста.
Тест бяла кутия. Вид сляп тест. Дават повече
информация на проверяващия като име, мрежа, IP адреси,
мрежови протоколи и др.
Информацията, която този тест дава е важна за IT екипите
за сигурноста за цялата фирма.
ият бизнес е да защитаваме вашия
// НАКРАТКО ЗА НАС
Експертиза и качество
Ние обединяваме задълбочени експертни познания в
индустрията и най-новите технологични постижения, за да
доставим персонализирани решения и продукти, които напълно
отговарят на нуждите, възможностите и размера на нашите
клиенти.
Резултати
Ограничения