Физический тест на проникновение (Physical Penetration Testing)
Физический пентест, или тестирование физической безопасности, это процесс оценки безопасности физических аспектов организации или объекта.
Проведение физического пентеста
Физический тест на проникновение (Physical Penetration Testing) является набором процедур, включающих проверку физической безопасности объекта. Рассмотрим основные этапы оказания услуги:
- Подготовительный этап: на этом этапе специалист собирает всю необходимую информацию об объекте, который будет проверяться. Это может быть информация о здании, планировке помещений, системах безопасности и т. д.;
- Определение целей: далее необходимо определить конкретные цели проверки. Например, это может быть проверка защиты от несанкционированного доступа к помещениям, серверам, коммуникационным линиям и т. д.;
- Сбор информации: специалист собирает информацию, которая может помочь в выполнении задачи. Это может быть информация о сотрудниках, ключах, паролях, схемах расположения помещений и т. д.;
- Конструирование атак: на основе собранной информации создается план атаки, который позволит проверить защиту объекта. В этом плане могут быть использованы различные методы, например, подделка пропусков, взлом замков, перехват сигналов и т. д.;
- Проведение физической атаки: на этом этапе провайдер услуг начинает выполнять запланированные атаки. Он может пытаться проникнуть в объект, обходить системы безопасности или находить другие способы доступа к защищенным ресурсам;
- Анализ результатов: по мере продвижения на этом этапе специалист анализирует полученные результаты и определяет, какие уязвимости были выявлены. Затем он может предоставить заказчику доклад, в котором будут перечислены все найденные уязвимости и предложены рекомендации по их устранению;
- Подготовка отчета: на последнем этапе компания-исполнитель подготавливает отчет, который обычно содержит описание процесса проверки, выявленные уязвимости и рекомендации по их устранению. Этот отчет будет использоваться заказчиком для улучшения безопасности своего объекта.
Какие инструменты и оборудование могут применяться в рамках физического пентеста?
В ходе физического пентеста чаще всего используют:
- Инструменты для взлома замков: это могут быть специализированные наборы инструментов для отмычки замков, автоматические отмычки, электропилы и другое оборудование;
- Инструменты для подделки ключей: к ним относятся копировальные устройства, электронные сканеры, программное обеспечение для создания копий ключей и другие инструменты;
- Устройства для перехвата сигналов: например, радиосканеры, Wi-Fi адаптеры, GSM-модули и другое оборудование;
- Камуфляжные материалы: это могут быть костюмы, маскировочная одежда, парики, очки и другие предметы, которые помогают провести проверку незаметно;
- Инструменты для скрытного доступа: например, лазеры для взлома компьютеров, USB-ключи для управления удаленными системами, софтверные инструменты для обхода систем безопасности и другие.
Маслов Илья Петрович
Консультант в сфере информационной безопасности
Как понять, что необходимо провести пентест?
Необходимость проведения работ по анализу уязвимостей и тестированию на проникновение определены в ГОСТ 57580.1–2017. Это значит, что организации, которым нужно обеспечивать соответствие указанному стандарту в рамках Положений Банка России 683-П, 719-П, 747-П, 757-П, а также Приказа Минкомсвязи №930, необходимо на ежегодной основе проводить пентест тех или иных объектов инфраструктуры.
Что нужно предоставить и как подготовиться к прохождению пентеста?
В самом общем случае нужно сделать так, чтобы эксперты смогли подключиться к тестируемой инфраструктуре. Поэтому в случае внешнего тестирования необходимо предоставить перечень ресурсов, в случае внутреннего – возможность доступа к внутренней сети Заказчика.
При подготовке к тестированию нужно оповестить свою службу ИТ о проводимых работах и проверить наличие резервных копий критичных сервисов. Дополнительно в ходе тестирования возможно указать эксперту на желаемые временные рамки, в которые можно проводить тестирование – например, в будние дни с 9:00 до 18:00.
Сколько по времени занимает тестирование?
Это зависит от типа пентеста и может широко варьироваться. Если тестирование внешнего периметра занимает от двух недель, то работы по направлениям социальной инженерии либо тестирования внутренней сети могут длиться до двух месяцев и более.
Задать свой вопрос
Наши преимущества
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Стоимость по физическому пентесту
| Услуга | Стоимость |
|---|---|
Консультация |
бесплатно |
ПентестТестирование на проникновение по требованиям положений Банка России 683-П, 719-П, 757-П |
от 135000 руб. |
Пентест приложенияАнализ уязвимостей программного обеспечения |
от 250 000 руб. |
Пентест сайтаАнализ защищенности сайта |
от 150 000 руб. |
Социальная инженерияВарианты: email, телефон, очно |
от 200 000 руб. |
Физический пентестПроверка безопасности путем физических методов |
от 250 000 руб. |