Гладиаторы - меню
Гладиаторы - меню

Аудит инфраструктуры, автоматизация pentest

Ни одна инфраструктура (сеть) организации не остается статической и проживает свою «жизнь» с момента создания, потом модернизации, развития и снова развития и модернизации. Каждый раз, когда добавляется новый бизнес-процесс, а под него сервис или появляется новый сотрудник, то структура компании изменяется и требуется «сверить часы» — посмотреть, насколько она на самом деле защищена и вообще соответствует лучшим практикам по безопасности.

 

Существует несколько видов аудита инфраструктуры:

  • инструментальный аудит;
  • полностью ручной аудит— «тест на проникновение»;
  • комбинация (автоматизированный) аудит;
  • и развитием этого является автоматический регулярный аудит.

 

Инструментальный аудит подразумевает использование программных (и реже аппаратных) комплексов сканирования на предмет выявления уязвимостей. Типичными примерами таких средств могут быть Positive xSpider, MaxPatrol, Nessus, Aqunetics и другие.

Недостатком этого вида сканирования является то, что мы получаем слишком общую картину о защищенности сети нашей компании, а в многостраничном отчете сканера безопасности будет много ложных срабатываний.

 

Полностью ручной аудит - это дорогая услуга, называемая еще "тестом на проникновение" (или пентестом - от английского "penetration test", pentest), когда под проект выделяется специалист, который полностью в ручном режиме эмалирует работу хакера, пытающегося проникнуть в сеть компании. Отдельно по согласованию могут применяться даже средства "социальной инженерии". Тестирование проходит по методу "белого", "серого" или "черного ящика" - определяется количеством информации, которое специалист знает до начала тестирования. Иногда в рамках теста приходится даже писать эксплоиты и анализировать уязвимости с нуля. А поскольку ни одной на 100% невзламываемой сети не существует, то такого рода аудиты, как правило, заканчиваются детальным отчетом об успешных результатах взлома и пути потенциального хакера, которым тот может воспользоваться для проникновения.

 

Автоматизированный аудит - на самом деле это комбинация первого и второго методов. То есть с помощью инструментального средства - сканера безопасности - мы проводим процедуру тестирования на регулярной основе, при этом учитываем некоторые особенности сканируемой инфраструктуры: тип операционных систем, установленные программы и сервисы, взаимосвязи компонент сети между собой. В разном объеме такие механизмы сегодня есть почти во всех сканерах безопасности.

Наконец, автоматический аудит - в этом случае для анализа уязвимостей мы применяем подход на основе автоматизации, но целью является выявление конкретных возможных векторов проникновения нарушителей в нашу сеть: объединяем простой и дешевый вариант сканера уязвимостей с очень дорогим тестом на проникновение. В этом случае в инфраструктуре устанавливается специализированное решение - PcySys Pentera, которая ведет себя как хакер, но при этом содержит специальные механизмы, не позволяющие нарушить работоспособность сети и сервисов - это один из приоритетов.

Сканирование производится по расписанию, заданному администратором, а на выходе Pentera выдает готовые "связки" - это путь злоумышленника, которым он мог бы воспользоваться для кражи информации из сети компании.

Проверить мою сеть на уязвимости!

Услуга аудита инфраструктуры является одной из самых сложных, поскольку бывает разных видов (см.выше), а также учитывает много параметров.
Мы перезвоним, чтобы уточнить параметры, а также поможем организовать демонстрацию (тестирование) решений для автоматизации поиска уязвимостей.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности

Уязвимости, методы защиты сайта и сети от взлома - видео на канале "Безопасность и развитие бизнеса"

Как взламывают сайты компаний
Как организовывают DDoS атаки

Стоимость аудита безопасности

Аудит безопасности никогда не бывает типовым. Как мы уже писали, это может быть и инструментальное сканирование с интерпретацией результата (самый дешевый вариант), либо же это полноценный pentest (тест на проникновение), когда придется анализировать много данных и даже самостоятельно придумывать вредоносный код. Либо это сканер безопасности и его надо внедрить. А если это система для автоматизации тестов на проникновение, то это совершенно другой сценарий.
Одним словом, чтобы уточнить детали и получить свое коммерческое предложение, оставьте заявку и мы вам перезвоним.
Инструментальный аудит 1 адреса

Сканирование сайта на предмет выявления типовых уязвимостей с анализом и интерпретацией результатов

~$2.000 / сайт
Работы по внедрению (поставка)

Поставка и внедрение решения по самостоятельному сканированию уязвимостей.

Стоимость зависит от того, что и насколько часто надо сканировать.

от $500 / комплекс
Комплекс автоматизированного сканирования

Сложная система, которая позволяет автоматизировать поиск уязвимостей с дательным построением графа проникновения.

Это могут быть комплексы Pentera или TrendMicro Analyzer (но последний подойдет только если у вас уже используется или планируется использовать TrendMicro)

от $75.000/ комплекс

Примеры решений и подходов для аудита безопасности

Мы не можем в одной короткой заметке подробно описать все варианты и возможности, но для примера перечень приведем.

 

Так, для инструментального аудита используются:

  • Nessus;
  • Kali Linux;
  • Metasploit.

 

Для тестов на проникновение:

  • Kali + Metasploit;
  • ручной анализ и аудит;
  • иногда "реверсинг".

 

Для автоматизации рекомендуем решение Pcysys Pentera.


Принцип работы теста на проникновение
Эмуляция работы хакера