Etinio įsilaužimo paslaugos
Imituokite realią ataką prieš savo organizaciją — kol tai nepadarė realus užpuolikas. Mūsų sertifikuoti etiniai įsilaužėliai tiria jūsų išorinį perimetrą, programas ir žmogaus gynybą naudodami tas pačias technikas, kurias naudoja priešininkai, tada pateikia pilną išvadų ataskaitą ir šalinimo planą.
Leidžiamos atakos, atskleidžiančios realią riziką
Pažeidžiamumų skaitytuai nustato tai, kas atrodo neteisinga. Etinis įsilaužimas parodo, ką motyvuotas užpuolikas iš tikrųjų gali padaryti su tomis išvadomis. Mūsų testuotojai sujungia pažeidžiamumus — pereidami nuo atskleistos paslaugos prie pozicijos, nuo pozicijos prie vidinės prieigos — siekdami parodyti realistišką verslo poveikį su pilnu atakos pasakojimu.
Kiekvienas projektas nustatomas raštu, vykdomas pagal formalų vaidmenų susitarimą ir dokumentuojamas su pilnais įrodymais. Jūs kontroliuojate apimtį, laiką ir atskleidimą. Mes veikiame pagal tas ribas ir pristatome viską, ko auditorius, draudikas ar valdyba tikisi pamatyti.
Keturios etinio įsilaužimo disciplinos
Išorinio tinklo testavimas
Priešininko simuliacija prieš jūsų išorinį atakos paviršių — atvirti portai, atskleistos paslaugos, VPN šliuzai, pašto infrastruktūra ir perimetro užkardos. Bandome gauti neteisėtą prieigą iš interneto, lygiai kaip tai darytų išorinis užpuolikas, ir dokumentuojame kiekvieną žudikograde grandinės žingsnį.
Žiniatinklio programų testavimas
Rankinis ir įrankiais padedamas išnaudojimo testavimas jūsų žiniatinklio programose pagal OWASP Top 10 ir ASVS sistemą. Apima autentikavimo apėjimą, injekcijų atakas, verslo logikos trūkumus, nesaugias tiesiogines objekto nuorodas ir prieigos kontrolės gedimus, kurių automatizuoti skaitytuai reguliariai praleidžia.
Socialinė inžinerija
Sukčiavimo simuliacijos, pretekstuojančios scenarijus ir balso sukčiavimo pratimai, tikrinantys jūsų žmones ir procesus kartu su techninėmis kontrolėmis. Socialinės inžinerijos išvados nustato, kurie darbuotojų vaidmenys, komunikacijos kanalai ir saugumo supratimo spragos atstovauja aukščiausią žmogaus sluoksnio riziką jūsų organizacijai.
Raudonosios komandos pratimas
Pilno masto slaptas projektas, jungiantis techninį išnaudojimą, socialinę inžineriją ir fizinės prieigos bandymus, siekiant pasiekti apibrėžtą tikslą — pavyzdžiui, išfiltruoti jautrių duomenų arba gauti domeno administratoriaus prieigą. Sukurtas visam saugumo rinkiniui išbandyti: prevencijos, aptikimo ir reagavimo galimybes kartu.
Etinis įsilaužimas — dažniausiai užduodami klausimai
Kas yra etinis įsilaužimas?
Etinis įsilaužimas (taip pat vadinamas baltosios kepurės įsilaužimu arba leidžiamu skverbimosi testavimu) yra praktika bandyti pažeisti sistemą, tinklą ar programą su aiškiu rašytiniu savininko leidimu, naudojant tas pačias technikas, kurias naudotų kenkėjiškas užpuolikas. Tikslas yra nustatyti ir parodyti realias saugumo silpnąsias vietas, kad jas būtų galima pašalinti prieš jas išnaudojus neteisėtai šaliai.
Ar etinis įsilaužimas yra teisėtas?
Taip — kai vykdomas pagal formalų rašytinį sistemos savininko leidimą. Prieš pradedant bet kokį testavimą, pateikiame vaidmenų susitarimo dokumentą, nurodantį apimtį, laiką ir leidžiamas technikas. Veikla, esanti už tos apimties, niekada nevykdoma. Šis teisinis pagrindas yra tai, kas skiria etinį įsilaužimą nuo nusikalstamo įsibrovimo, ir tai yra pramonės standartas visoms profesionalioms skverbimosi testų projektams.
Kuo etinis įsilaužimas skiriasi nuo pažeidžiamumų nuskaitymo?
Pažeidžiamumų nuskaitymas naudoja automatizuotus įrankius žinomoms silpnosioms vietoms programinės įrangos versijose ir konfigūracijose nustatyti. Etinis įsilaužimas naudoja tas išvadas kaip pradžios tašką, tada taiko žmogaus sprendimą ir rankinį išnaudojimą nustatyti, kas iš tikrųjų gali būti pasiekta — sujungiant pažeidžiamumus, apeinant kontroles ir demonstruojant realų verslo poveikį, pvz., duomenų išfiltravimą arba šoninį judėjimą. Nuskaitymai sukuria sąrašą; etinis įsilaužimas sukuria atakos pasakojimą.
Kokius sertifikatus turi jūsų testuotojai?
Mūsų testuotojai turi pripažintus puolimo saugumo sertifikatus, įskaitant OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) ir CREST CRT. Žiniatinklio programų specialistai papildomai turi OSWE. Projektams, reikalaujantis atitikties specialiosios patirties, mūsų komandoje yra ISO 27001 pagrindiniai auditoriai ir PCI QSA. Jūsų konkretaus projekto sertifikatų detalės pateikiamos pasiūlyme.
Užsakykite etinio įsilaužimo projektą
Apibūdinkite savo tikslinę aplinką ir tikslus ir per vieną darbo dieną nustatysime fiksuotos kainos projekto apimtį.
Susisiekti → Skverbimosi testai →