Вы сейчас в разделе:   Главная страницаПентест

Пентест

Для начала рассмотрим и обсудим терминологию. Пентест - это имитация процесса проникновения в информационную среду в контролируемых рамках всеми участниками процесса. Многие этот процесс называют по-своему, например пентестинг, оценка защищенности, проверка на взлом, тест на проникновение, моделирование действий злоумышленника по проникновению в информационные системы и так далее. Одним словом это банальный взлом с явными результатами. Но, как правило, взлом влечет за собой мотивацию третьей стороны. Под мотивацией можно выразить любое оправдание - финансовая составляющая, политические взгляды или моральные аспекты. Объектами тестирования могут быть как отдельные информационные системы, например: CMS, CRM, ERP, интернет клиент-банк, так и вся инфраструктура в целом: периметр сети, беспроводные сети, внутренняя или корпоративная сеть. В общем доступным языком можно выразиться, что пентест - это моделирование процесса взлома.

Стандарты, ведь не бывает нерегламентированных процессов. Да, это так, и интересно, что этот процесс не лишен стандартов, так, пентест регламентируется стандартами: Penetration Testing Execution Standard (PTES), OSSTMM 3.0. - The Open Source Security Testing Methodology Manual, Open Web Application Security Project (OWASP) Testing Project, Penetration Testing Model (BSI), ISACA IS auditing procedure «Security assessment-penetration testing and vulnerability analysis», Payment Card Industry Data Security Standard (PCI DSS), v.3.0, ASV Security Scanning Procedures, PCI SSC и Information Supplement: Requirement 11.3 Penetration Testing, PCI SSC. Заметим, что самый примечательный стандарт это OWASP, который основан на восьми базах данных от семи компаний, включающий четыре консалтинговые фирмы и трех вендоров SaaS. Общая база содержит более 500 тысяч уязвимостей в сотнях организаций и тысячах приложений, что в итоге делиться на классы: A1 Внедрение кода, A2 Некорректная аутентификация и управление сессией, A3 Межсайтовый скриптинг (XSS), A4 Небезопасные прямые ссылки на объекты, A5 Небезопасная конфигурация, A6 Утечка чувствительных данных, A7 Отсутствие контроля доступа к функциональному уровню, A8 Подделка межсайтовых запросов (CSRF), A9 Использование компонентов с известными уязвимостями и A10 Невалидированные редиректы. Конечно, это все красиво звучит, но мы осознаем, что IT рынок СНГ не готов к осознанию и восприятию как за истину этих стандартов.

Хорошо, мы разобрали, что процесс пентеста подразумевает банальный взлом. Почему мы так долго идем к глобальному осознанию, что многие информационные процессы по защите среды так важны нам и что мешает? В нашем рынке все немного искривлено за счет бизнес процессов и факторов, влияющих на эти процессы. При этом на данный момент пентест входит на старт развития в IT сегменте рынка СНГ как форма и способ предотвращения от взлома сайтов от большинства начинающих хакеров. Согласитесь, что на данный момент существует большое количество сайтов, которые включают в себя явные, банальные и глупые уязвимости. И этим вопросом никто не занимается, а почему? Потому, что: а) нет зависимого бизнес процесса; б) нет статьи расходов; в) работа протекает до момента явных событий. Одним словом можно сказать, что никто не беспокоится об информационной безопасности до момента возникновения проблемы. А возможно и беспокоятся, но не хотят проводить информационный аудит потому, что дорого? Возможно, поэтому мы решили пойти другим путем - сделаю услугу доступной!

Так сколько стоит взлом сайта? Или как говориться, пентент сайта. Средняя цена начального пентеста колеблется в районе 50$, что положительно сказывается для конечного заказчика. Вот, например, если компания обращается за проведением информационного аудита с пентестом всей информационной среды, сумма может достигать в сотни тысяч долларов, а для начального корпоративного сайта в тысячи долларов. Последняя сумма порой неаргументированная, при опознавании факта, что сумма равна сумме самого веб-проекта. Поэтому мы решили опубликовать следующую информацию с ценами на пентестинг:

 Услуга   Срок исполнения   Стоимость услуги 
Анализ открытой информации об организации от 1 до 3-х недель 990 грн.
Изучение базовой информации о сетевой инфраструктуре 7 дней 1250 грн.
Анализ социальных сетей 3 дня 640 грн.
Анализ вакансий, резюме на HR-сайтах 1-2 дня 200 грн.
Анализ форумов 10 дней 1780 грн.
Сканирование портов 1-2 дня 180 грн.
Определение приложений и веб приложений до 5 дней 1145 грн.
Определение операционных систем 9 дней 1350 грн.
Идентификация сетевых маршрутизаторов и межсетевых экранов 2-3 дня 1490 грн.
Поиск уязвимостей (автоматизированные сканирования и ручной анализ) 5-10 дней 1650 грн.
Анализ полученной информации и разработка сценариев взлома 2-3 дня 1775 грн.
Проведение атак на компоненты IT инфраструктуры 1 месяц 9965 грн.
Определение взаимодействия приложений и подтверждение уязвимостей 5-10 дней 1890 грн.
Оформление и презентация отчета 1-3 дня 600 грн.

Информационный аудит и аналитика это наша обычная работа.
Защита компьютерных систем и программ это наше призвание.
Электронная коммерция и интернет магазины это наше хобби.
Мы консультанты, технари, девелоперы, юристы с ооопытом :-)

Интересная и свежая новость

Рухнули акции крупнейшего производителя компьютеров Lenovo

Акции китайской Lenovo Group Ltd., крупнейшего в мире производителя персональных компьютеров по объему поставок, подешевели более чем на треть с начала года, однако аналитики не рекомендуют покупать их, несмотря на дешевизну: скорее всего, компанию ждут еще более тяжелые времена.

30.05.2016.

Публикация, статья или обзор

Страхи предпринимателей чайников

На 1-м месте оказались опасения относительно стартового капитала: не найти его боятся 56% опрошенных, а потерять - 41%. Каждого третьего участника опроса пугают возможные проблемы с контролирующими органами. 27% настораживают сложности, связанные с организацией бизнеса.

27.06.2014. / Электронная коммерция

Рекомендовано к прочтению

Wi-Fi сети - проникновение и защита

Синоптики предсказывают, что к 2016 году наступит второй ледниковый период трафик в беспроводных сетях на 10% превзойдёт трафик в проводном Ethernet. При этом от года в год частных точек доступа становится примерно на 20% больше.

02.06.2014. / Информационная безопасность