Pentest деп те аталатын ену сынақтамасы - бұл ақпараттық-коммуникациялық инфрақұрылымның қауіпсіздігін зиянкестердің шабуылын модельдеу құралдары мен әдісі арқылы бағалау қызметі.

Зерттеу әлеуетті шабуылдаушы позициясынан жүргізіледі және Тапсырыс беруші жүйесінің осалдықтарын белсенді пайдалануды қамтиды. Бұл осалдықтар операциялық жүйелерде, қызметтер мен қосымшаларда, қате конфигурацияда немесе соңғы пайдаланушының қауіпті әрекеттерінде болуы мүмкін.

Жұмыстың нәтижесі - барлық табылған қауіпсіздік жүйесінің осалдықтарын және оларды жою бойынша ұсынысдарды қамтитын есеп болып табылады.

Ену сынақтамасы осалдықтарды анықтау үшін кез-келген қолданбалы жүйелердің кез-келген санын (мысалы, қолданбалы Протокол интерфейстері (API), сыртқы / ішкі серверлер) бұзу әрекетін қамтуы мүмкін.

Неліктен ену сынақтамасы өте маңызды?

Pentest - ұйымның өз желілерін, қосымшаларын, соңғы пайдаланушыларын қауіпсіздік шараларын айналып өтуге және қауіпсіз ресурстарға рұқсатсыз қол жеткізуге сыртқы немесе ішкі әрекеттерден қорғау қабілетін бағалайды.

Компания үшін - бұл әр түрлі тәуекелдерді анықтауға, қауіпсіздікті қамтамасыз етуге белсенді түрде қарауға мүмкіндік. Қолданыстағы қауіпсіздік бағдарламаларының жұмыс істейтініне көз жеткізіп, олардың қауіпсіздік стратегиясына деген сенімділікті арттырады.

Сынақтама түрлері:

•           Сыртқы сынақтама: қорғанысты бұзу және ішкі желіге кіру мақсатында Тапсырыс берушінің сыртқы периметрін талдау;

•           Ішкі сынақтама: ресурстарға қол жеткізу және әкімшіге артықшылықтарды арттыру мақсатында ақпараттық желінің ішкі инфрақұрылымын талдау;

•           Сымсыз қол жеткізу: корпоративтік желіге қол жеткізу мақсатында, Ұйымның сымсыз желілерін қамту аймағында талдау және Ұйымның желісіне кіру мүмкіндігі;  

•           Қорғалған сегмент  (Swift, PCI DSS, etc.): ішкі зиянкестер тұрғысынан - мақсаты - қорғалған желінің инфрақұрылымы мен операторлардың жұмыс станцияларын толығымен бұзу болып табылатын домендік есептік жазбасы бар;

•           Әлеуметтік инженерия: ұйымның қызметкерлер арқылы шабуылдарға дайындығын талдау, фишингтік хабарламалар, ақпаратты жария ету, шектеулі құрылғыларды қолдану.

Қызмет құрамы:

•           Сынақтама түрі мен мақсатын анықтау: өткізілетін сынақтама түрі, мақсаттары және қалаған шабуыл векторлары туралы Тапсырыс берушіден ақпарат алу  

•           Ақпарат жинау: барлау, ашық көздерден ақпарат алу, осалдықтарды анықтау  

•           Осалдықтарды талдау: Тапсырыс берушінің ақпараттық ресурстарына рұқсатсыз қол жеткізу мақсатында анықталған осалдықтарды талдау және пайдалану  

•           Құжаттау: осалдықтарды талдау және пайдалану барысында алынған ақпаратты құжаттау, әдістер мен анықталған сәйкессіздіктерді сипаттау.

•           Есеп: анықталған кемшіліктердің сипаттамасы, сынақтама барысы, жою бойынша ұсыныстар, қауіпсіздік деңгейінің жалпы бағасын қамтитын Тапсырыс берушіге арналған қорытындылар.

Ену сынақтамасының әдістері:

•           OSSTMM - The Open Source Security Testing Methodology Manual

•           NIST SP800-115 - NIST Special Publications 800 Series

•           OWASP - Open Web Application Security Project

•           ISSAF - Information System Security Assessment Framework

•           PTES - Penetration Testing Methodologies and Standards

Желілер мен веб-ресурстарды талдаумен қатар, біз мобильді қосымшада нақты деректерді алу және осалдықтарды іздеу мақсатында мобильді қосымшалардың қауіпсіздігіне талдау жүргіземіз.

Мобильді қосымшалардың қауіпсіздігін тестілеу көбінесе OWASP top 10 Mobile әдісі бойынша жүзеге асырылады.

Мобильді қосымшалардың ену сынақтамасы - логиканы үйренуді, құпия ақпаратты өңдеуді, әр түрлі API интерфейстерінің арасындағы қауіпсіз байланысты қамтиды.

Қызметтің барлық техникалық ерекшеліктері мен артықшылықтары туралы толық ақпарат алу үшін бізбен байланысыңыз!