Тестирование на проникновение: пентесты мобильных и веб-приложений

2114

Что представляет собой тестирование приложений на проникновение и безопасность

Тестирование на проникновение или пентест (Penetration Testing, pentest) — оценка реальной защищённости приложений и сайтов при помощи контролируемых и безопасных для инфраструктуры атак. В ходе пентеста выявляются проблемы безопасности, обнаруживаются уязвимости, проверяется возможность взлома и получения доступа к конфиденциальной информации.

При тестировании безопасности сайтов и приложений эксперты выполняют действия, похожие на действия хакеров во время взлома мобильного приложения или сайта. Это позволяет определить проблемные места в системе безопасности, установить векторы хакерской атаки, оценить тип и вероятный ущерб, который будет нанесен в случае реальной попытки проникновения.

 

Зачем проводить пентесты сайтов и приложений

Приложения глубоко интегрированы в процессы современных компаний. Они оперируют критичными данными, взаимодействуют с компонентами информационной системы и позволяют выполнять различные бизнес-процедуры поэтому взлом приложения может стать плацдармом для кибератаки на ИТ-инфраструктуру.

 

Каким организациям необходим анализ уязвимостей сайтов и приложений

Тестирование на проникновение позволяет руководству компаний оценить реальный уровень защищённости приложений и сайтов и выполнить требования законодательства. В соответствии с требованиями регуляторов анализ уязвимостей является обязательным для следующих организаций:

  • кредитные финансовые организации — п. 3.2 Положения Банка России от 17 апреля 2019 г. № 683-П — не реже одного раза в год;
  • некредитные финансовые организации — п. 5.4 Положения Банка России от 17 апреля 2019 г. № 684-П;
  • операторы по переводу денежных средств и операторы услуг платежной инфраструктуры — Положение Банка России от 9 июня 2012 г. № 382-П (пп.2.5.5.1, п. 2.5) — не реже одного раза в год;
  • кредитным и некредитным финансовым организациям также необходимо проводить анализ уязвимостей по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД4 при обновлении ПО;
  • государственные информационные системы (ГИС) — Приказ ФСТЭК России от 11 февраля 2013 г. № 17 (п.18.2; п.18.7; мера защиты АНЗ.1) — не реже одного раза в год или в два года в зависимости от требований к защищённости.

Для следующих организаций и систем регулятор рекомендует, но не требует проведения пентеста приложений и сайтов:

  • информационные системы персональных данных — Приказ ФСТЭК России от 18 февраля 2013 г. № 21 (п.11, раздел II; мера защиты АНЗ.1) — при аттестации;
  • значимые объекты критической информационной инфраструктуры — Приказ ФСТЭК России от 25 декабря 2017 г. № 239 (пп. (д), п.12.6; мера защиты АУД.2) — При внедрении организационных и технических мер по обеспечению безопасности значимого объекта и вводе объекта в действие;
  • автоматизированные системы управления производственными и технологическими процессами — Приказ ФСТЭК России от 14 марта 2014 г. № 31 (п.15.7; мера защиты АУД.2) — при внедрении системы защиты автоматизированной системы управления и вводе системы защиты в действие.

 

Услуги Смарт-Софт по проведению пентестов

Для проведения пентеста мы используем лучшие отраслевые практики и методики, включая искусственный интеллект и машинное обучение для ускорения тестирования.
В ходе тестирования на проникновения мы используем современные инструменты, которые моделируют все известные виды атак. При этом проверяется реальная безопасность сайтов и приложений, выявляются уязвимости и критичные угрозы информационной безопасности.

 

Состав услуг по проведению пентестов

Состав и стоимость услуг варьируется в зависимости от задач заказчика и глубины проводимого аудита.

Мониторинг Dark Web и поверхности атак

  • Выявление активов (веб- и мобильных ресурсов, облачных и SaaS-ресурсов)
  • Мониторинг безопасности
  • Выявление сетевых активов и активов интернета вещей
  • Оценка защищенности
  • Мониторинг публичных репозиториев кода
  • Мониторинг Dark Web

Тестирование на проникновение веб-приложений

  • Автоматизированное тестирование на проникновение с помощью искусственного интеллекта
  • Дополнительное ручное тестирование
  • Тестирование и обход WAF
  • SLA с нулевым ложным срабатыванием (гарантия возврата денег в случае одного ложного срабатывания)
  • Неограниченное количество проверок устранения уязвимостей в течение 90 дней после предоставления отчета о тестировании на проникновение
  • Исследование Dark и Deep Web
  • Исследование публичных репозиториев кода
  • Обход обнаружения корневого доступа или взлома (доступ с правами root)
  • Обход обнаружения эмулятора
  • Обход закрепления сертификатов SSL
  • Обход обфускации кода

Тестирование на проникновение мобильных приложений

  • Автоматизированное тестирование на проникновение с помощью искусственного интеллекта
  • Дополнительное ручное тестирование
  • Тестирование и обход WAF
  • SLA с нулевым ложным срабатыванием (гарантия возврата денег в случае одного ложного срабатывания)
  • Неограниченное количество проверок устранения уязвимостей в течение 90 дней после предоставления отчета о тестировании на проникновение
  • Исследование Dark и Deep Web
  • Исследование публичных репозиториев кода
  • Обход обнаружения корневого доступа или взлома (доступ с правами root)
  • Обход обнаружения эмулятора
  • Обход закрепления сертификатов SSL
  • Обход обфускации кода

Непрерывное тестирование на проникновение

  • Автоматизированное тестирование на проникновение с помощью искусственного интеллекта
  • Дополнительное ручное тестирование
  • Тестирование и обход WAF
  • SLA с нулевым ложным срабатыванием (гарантия возврата денег в случае одного ложного срабатывания)
  • Неограниченное количество проверок устранения уязвимостей
  • Исследование Dark и Deep Web
  • Исследование публичных репозиториев кода

  

Результаты

Результатом работы станет отчет, содержащий:

  1. Методику проведения теста.
  2. Оценку рисков, основанную на обнаруженных угрозах.
  3. Рекомендации по устранению выявленных рисков.

При оценке критичности обнаруженных уязвимостей используется методика Common Vulnerability Scoring System (CVSS), поэтому результаты тестирования на проникновения удобно использовать для качественных и количественных методик анализа риска.


Logo Smart-Soft

Закажите бесплатную консультацию по пентестам

Назад
Далее
Рекомендуем почитать Смотреть все

Программа тестирования новых версий программных продуктов

Теги: бета-тестирование, Смарт-Софт, Traffic Inspector Next Generation

Какие задачи бизнеса решает универсальный шлюз безопасности (UTM)

Теги: кибербезопасность, Traffic Inspector Next Generation, универсальный шлюз безопасности, UTM- решения

В коде портала ЦИК обнаружены ссылки на «сомнительные сайты». Комментарий Смарт-Софт

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100-DE
S100-NP
S100 FSTEC-NP
S300-AQ
S300 FSTEC-AQ
S500-DE
M700-AQ
M700 FSTEC-AQ
M1000-DE
L1000+-DE
L1500+-AQ
L1500 FSTEC-AQ
Горизонтальный кластер
Light
Программное обеспечение
ФСТЭК
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
MULTIFACTOR для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа