Пентест – хакерлер әрекет еткенге дейін қорғанысты тексеріңіз.
- Ішкі және сыртқы уязвимдіктерді сканерлеу.
- IP-мекенжайлар мен веб-қосымшаларды тестілеу.
- Конфигурация қателері мен уязвимдіктерді анықтау.
- Толық есеп пен ұсыныстар.
Pentest кімге керек
Финтех
- Транзакцияларды қорғау
- Жеке кабинеттердің қауіпсіздігі
- Клиенттік деректердің сыртқа шығуына жол бермеу
Маркетплейсы
- POS және онлайн тапсырыстардың осалдығын тексеру
- API және себеттерді тексеру
- Төлем платформаларын қорғау
IT
- Веб-қосымшалардың осалдығын талдау
- Пайдаланушы деректерін қорғау
- Бұлтты архитектураны тексеру
Госсектор
- DDoS және ішкі қауіптерге төзімділік аудиті
- Электрондық қызметтер жүйесін қорғау
- Реттеушілердің талаптарына сәйкестігі
Pentest-тің негізгі функциялары
-
Мақсаты мен міндеттері
Желілер мен қосымшаларды қорғауды тексеру үшін нақты кибершабуылдарға еліктеу. Зиянкестер қолданар алдында осалдықтарды анықтау және пайдалану. Шабуыл маршруттарын қалыптастыру және ену тереңдігін бағалау
-
Өткізу кезеңдері
Инфрақұрылым туралы ақпарат жинау. Қауіп-қатерді модельдеу және кіру нүктелерін табу. Осалдықтарды талдау және оларды практикалық пайдалану. Ықтимал шабуыл сценарийлерімен пайдаланудан кейін әрекет ету және модельдеу. Ұсыныстармен есеп дайындау.
-
Нәтижелер мен артықшылықтар
Осалдықтарды жою арқылы сәтті шабуылдардың қаупін азайту. Қауіптердің сыни тұрғыдан басымдығы. Қорғаныс жүйелерінің реакциясын тексеру (IDS/IPS, SIEM). Халықаралық қауіпсіздік стандарттарына сәйкестігі.
-
Бизнес құндылығы
Компанияның қорғаныс деңгейі мен тұрақтылығын арттыру. Клиенттер мен серіктестердің сенімін нығайту. АҚ және басшылық үшін техникалық және басқарушылық ұсыныстары бар құжат.
Әлемдік жағдайлар
Tesla
Tesla зерттеушіге көпшілік алдында алғыс айтып, осалдықты жойды. Шығындар болмады, алайда бұл зиянкес емес, ақ хакер болғандықтан ғана Зиян Зиян жоқ
Зақым
- Зақым жоқ
Pentest қалай көмектесер еді:
- Зиянкестердің көліктерді жаппай басқару сценарийін болдырмас еді
- Пайдаланғанға дейін стандартты емес шабуыл нүктелерін анықтаған болар еді
2018 жылы шабуылдаушылар «Басқа пайдаланушы ретінде қарау…» функциясындағы бірнеше осалдықты пайдаланды. Қате бөгде аккаунттарға жарамды токендер жасауға мүмкіндік берді. Осылайша олар кез келген пайдаланушы атынан жүйеге кіріп, оның деректерін көре алды.
Зақым
- 50 млн пайдаланушының деректері қауіп төндірді
- Аккаунтты толық басқару мүмкіндігі ашылды
- ЕО және АҚШ реттеушілерінің тергеулері
Pentest қалай көмектесер еді:
- Авторизация логикасын тестілеу және токен генерациясы қателерін анықтау
- Қолжетімділік модельдерін және енгізуді айналып өту сценарийлерін тексеру
Uber
2016 жылы шабуылдаушылар Uber-дің жеке GitHub репозиторийінен AWS-ке арналған access-token-дерді тапты. Бұл кілттер арқылы олар бұлт инфрақұрылымына кіріп, жолаушылар мен жүргізушілердің деректерін жүктей алды. Құпия кілттерді дұрыс басқармау шабуылға жол ашты.
Зақым
- 57 млн пайдаланушы мен жүргізушінің деректері ұрланды
- Компания $148 млн айыппұл мен өтемақы төледі
- DevOps үдерістерінің толық аудиті жүргізілді
Pentest қалай көмектесер еді:
- Код репозиторийлері мен CI/CD жүйелерінде құпия кілттердің бар-жоғын тексеру
- DevOps-инфрақұрылымға сыртқы шабуылдаушы моделін қолдану