ООО «ИТ Энигма» с целью выявления уязвимостей в информационной инфраструктуре вашей организации, позволяющих злоумышленникам получить доступ к критической для бизнеса информации и процессам, предлагает комплекс услуг по тестированию на проникновение (пентест) информационных ресурсов и инфраструктуры организации.

Пентест (тест на проникновение) - попытка «взлома» информационного ресурса организации, направленная на получение объективной оценки уровня информационной безопасности исследуемого ресурса, обнаружение его уязвимостей и слабых мест. Тест на проникновение позволяет понять, эффективны ли используемые средства защиты, и какова вероятность взлома и получения информации злоумышленником.

Суть работ заключается в моделировании действий злоумышленника, намеренного получить доступ к информационным системам заказчика и нарушить целостность, конфиденциальность либо доступность принадлежащей заказчику информации.

При разных потребностях заказчика проводится оценка уязвимостей следующих объектов информационной инфраструктуры организации:

При проведении всех работ, изначально, заключается соглашение между исполнителем и Заказчиком о неразглашении информации, полученной в ходе обследования. Далее в договоре отмечаются организационные и технические границы обследования (какие объекты информационной инфраструктуры проверяются), а также время проведения работ и условие (удаленно, на площадке организации или оба варианта). Далее сами работы строятся по следующему алгоритму:

В ходе работ  используются методы и инструменты, позволяющие идентифицировать следующие классы уязвимостей:

• ошибки в реализации механизмов аутентификации пользователей;
• ошибки в реализации механизмов авторизации и разграничения доступа;
• отсутствие или недостаточность механизмов противодействия атакам на пользователей;
• уязвимости, приводящие к нарушению логики функционирования приложений;
• раскрытие конфиденциальной информации, в том числе – раскрытие информации об особенностях реализации функций приложения, используемых программных компонентах и прочей информации, облегчающей нарушителю организацию атаки;
• ошибки в реализации доступных пользователю функций приложений;
• ошибки в настройке операционных систем, приложений, сетевого оборудования;

По завершению работ формируется отчет, в котором представляется следующая информация:

• Детальное отображение выявленных уязвимостей и недостатков, представляющих угрозу для бизнес-процессов компании, уровень их рисков, оценка возможностей злоумышленника ими воспользоваться;
• Описание сценариев, при помощи которых проводилось проникновение;
• Подробное описание структуры объектов тестирования;
• Методы и средства, использованные во время проведения теста на проникновение;
• Рекомендации по устранению обнаруженных уязвимостей и недостатков.

Также ООО «ИТ Энигма» проводит тесты на проникновение для банков и финансовых организация в рамках выполнения ими требований Банка России к мероприятиям по информационной безопасности в рамках PCI DSS, 382-п, 683-п, 719-п, а также анализ уязвимостей ПО по ОУД-4.