Хакинг во благо: тестирование на проникновение в информационной инфраструктуре

В прошлой статье мы рассказали о новом бизнес-направлении — «1С:ИнфоБезопасность». Партнеры 1С получили возможность повысить свою ценность для клиентов, дополнив портфель услугами по защите персональных данных, конфиденциальной информации и информационной безопасности инфраструктуры.

В рамках данного направления широко востребованной и популярной услугой является тестирование на проникновение (пентест). Далее вы узнаете, что это за услуга и кому ее следует рекомендовать.

Пентест (от англ. penetration testing) — комплекс мероприятий, имитирующих потенциальные атаки и действия злоумышленников для обнаружения уязвимостей как на виртуальном (компьютерные атаки), так и на физическом уровне (ручные методы взлома и проникновения).

Основной задачей тестирования на проникновение является нахождение, анализ и эксплуатирование уязвимостей в информационной инфраструктуре заказчика. По окончанию проведения пентестирования производится выдача подробных рекомендаций по устранению обнаруженных уязвимостей и, при необходимости, принятие профессиональных мер по их устранению.

Услугу можно рекомендовать коммерческим организациям, занимающимся сбором персональных данных в сети интернет и офлайн точках продаж, интернет-магазинам, крупным корпорациям и заводам, региональным органам исполнительной власти, крупным образовательным организациям, структурообразующим предприятиям, субъектам критической информационной инфраструктуры и ИТ-компаниям.

Зачем нужно проводить пентест?

• Без проведения тестирования не представляется возможным осуществление бизнес-функций, например, прием платежей пластиковыми картами.
• Взлом в компании уже случился, был нанесен ущерб и теперь остро встал вопрос защиты данных. Проведение теста на проникновение необходимо для исключения потенциальных атак и взломов в будущем.
• Атаки или взлома еще не было, но у партнеров и коллег по бизнесу они уже произошли. Цель — исключить подобные вторжения.
• Стартап приступил к разработке нового сервиса и нужно с самого начала обеспечить безопасность проекта. Тестирование поможет выявить и исправить уязвимости еще до выхода сервиса на рынок.
• Проведение тестирования — требование партнеров. Партнеры желают быть уверенными, что взаимодействие с вами надежно в области ИТ-безопасности. Это может быть особо актуально, если небольшая компания хочет начать работать с большой корпорацией.

Этапы проведения тестирования

1 этап — проведение исследования ИТ-инфраструктуры организации, которое поможет найти правильный подход к проведению пентеста.

2 этап — проведение интернет-разведки (OSINT-анализа) внешних открытых источников. OSINT позволяет увидеть, какие данные организации (логины, пароли, внутренние сервисы и т.д.) находятся в открытом доступе и могут быть использованы абсолютно всеми пользователями интернета.

3 этап — в рамках заданного срока и модели нарушителя, определяются все возможные известные уязвимости, недостатки парольной политики, недостатки и тонкости настроек конфигурации внутренней инфраструктуры. Имитируются векторы возможных угроз.

4 этап — по результатам проведения пентеста выдается подробный отчет с описанием выявленных уязвимостей, уровня их критичности и рекомендациями по их устранению.

Регламенты и стандарты

Проведение тестирования на проникновение регламентируется требованиями международных стандартов по информационной безопасности PCI DSS и ISO 27001, согласно которым пентест проводится ежегодно или после внесения существенных изменений в информационную инфраструктуру.

Также приказы ФСТЭК России № 17, № 21 и № 31 требуют анализировать защищенность информационных систем один раз в 3 года или чаще.

В соответствии с международными стандартами по ИБ подобное тестирование должно проводится ежегодно.

Стоимость

Надо помнить, что пентест является недешевой услугой — стоимость рассчитывается индивидуально под клиента. Конечная цена зависит от ряда факторов:

• сложность поставленной задачи;
• архитектура системы;
• сроки;
• ограничения со стороны заказчика.

Тестирование на проникновение (пентест) — одна из многих востребованных услуг информационной безопасности. Закрывайте потребности ваших клиентов в сфере ИБ, повышайте свою привлекательность и ценность как партнера и, конечно же, увеличивайте свой доход.

Все еще раздумываете стоит ли участвовать в проекте «1С:ИнфоБезопасность»?

1. Оставьте заявку на участие, написав на почту soft@rarus.ru.
2. Ознакомьтесь с документами и презентациями направления.
3. Мы организуем индивидуальную встречу с экспертами «Калуга Астрал» и спланируем совместную работу.

По всем вопросам о проекте «1С:Инфобезопасность» обращайтесь в отдел продаж системного программного обеспечения:

• эл. почта: soft@rarus.ru;
• тел.: +7 (495) 642-78-78;
• или в ваше региональное представительство компании «1С‑Рарус».