Тестирование на проникновение: пентесты мобильных и веб-приложений

Smart-Soft Team

10.11.2022

2071

Что представляет собой тестирование приложений на проникновение и безопасность

Тестирование на проникновение или пентест (Penetration Testing, pentest) — оценка реальной защищённости приложений и сайтов при помощи контролируемых и безопасных для инфраструктуры атак. В ходе пентеста выявляются проблемы безопасности, обнаруживаются уязвимости, проверяется возможность взлома и получения доступа к конфиденциальной информации.

При тестировании безопасности сайтов и приложений эксперты выполняют действия, похожие на действия хакеров во время взлома мобильного приложения или сайта. Это позволяет определить проблемные места в системе безопасности, установить векторы хакерской атаки, оценить тип и вероятный ущерб, который будет нанесен в случае реальной попытки проникновения.

Зачем проводить пентесты сайтов и приложений

Приложения глубоко интегрированы в процессы современных компаний. Они оперируют критичными данными, взаимодействуют с компонентами информационной системы и позволяют выполнять различные бизнес-процедуры поэтому взлом приложения может стать плацдармом для кибератаки на ИТ-инфраструктуру.

Каким организациям необходим анализ уязвимостей сайтов и приложений

Тестирование на проникновение позволяет руководству компаний оценить реальный уровень защищённости приложений и сайтов и выполнить требования законодательства. В соответствии с требованиями регуляторов анализ уязвимостей является обязательным для следующих организаций:

кредитные финансовые организации — п. 3.2 Положения Банка России от 17 апреля 2019 г. № 683-П — не реже одного раза в год;
некредитные финансовые организации — п. 5.4 Положения Банка России от 17 апреля 2019 г. № 684-П;
операторы по переводу денежных средств и операторы услуг платежной инфраструктуры — Положение Банка России от 9 июня 2012 г. № 382-П (пп.2.5.5.1, п. 2.5) — не реже одного раза в год;
кредитным и некредитным финансовым организациям также необходимо проводить анализ уязвимостей по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД4 при обновлении ПО;
государственные информационные системы (ГИС) — Приказ ФСТЭК России от 11 февраля 2013 г. № 17 (п.18.2; п.18.7; мера защиты АНЗ.1) — не реже одного раза в год или в два года в зависимости от требований к защищённости.

Для следующих организаций и систем регулятор рекомендует, но не требует проведения пентеста приложений и сайтов:

информационные системы персональных данных — Приказ ФСТЭК России от 18 февраля 2013 г. № 21 (п.11, раздел II; мера защиты АНЗ.1) — при аттестации;
значимые объекты критической информационной инфраструктуры — Приказ ФСТЭК России от 25 декабря 2017 г. № 239 (пп. (д), п.12.6; мера защиты АУД.2) — При внедрении организационных и технических мер по обеспечению безопасности значимого объекта и вводе объекта в действие;
автоматизированные системы управления производственными и технологическими процессами — Приказ ФСТЭК России от 14 марта 2014 г. № 31 (п.15.7; мера защиты АУД.2) — при внедрении системы защиты автоматизированной системы управления и вводе системы защиты в действие.

Услуги Смарт-Софт по проведению пентестов

Для проведения пентеста мы используем лучшие отраслевые практики и методики, включая искусственный интеллект и машинное обучение для ускорения тестирования.
В ходе тестирования на проникновения мы используем современные инструменты, которые моделируют все известные виды атак. При этом проверяется реальная безопасность сайтов и приложений, выявляются уязвимости и критичные угрозы информационной безопасности.

Состав услуг по проведению пентестов

Состав и стоимость услуг варьируется в зависимости от задач заказчика и глубины проводимого аудита.

Мониторинг Dark Web и поверхности атак

Выявление активов (веб- и мобильных ресурсов, облачных и SaaS-ресурсов)
Мониторинг безопасности
Выявление сетевых активов и активов интернета вещей
Оценка защищенности
Мониторинг публичных репозиториев кода
Мониторинг Dark Web

Тестирование на проникновение веб-приложений

Автоматизированное тестирование на проникновение с помощью искусственного интеллекта
Дополнительное ручное тестирование
Тестирование и обход WAF
SLA с нулевым ложным срабатыванием (гарантия возврата денег в случае одного ложного срабатывания)
Неограниченное количество проверок устранения уязвимостей в течение 90 дней после предоставления отчета о тестировании на проникновение
Исследование Dark и Deep Web
Исследование публичных репозиториев кода
Обход обнаружения корневого доступа или взлома (доступ с правами root)
Обход обнаружения эмулятора
Обход закрепления сертификатов SSL
Обход обфускации кода

Тестирование на проникновение мобильных приложений

Автоматизированное тестирование на проникновение с помощью искусственного интеллекта
Дополнительное ручное тестирование
Тестирование и обход WAF
SLA с нулевым ложным срабатыванием (гарантия возврата денег в случае одного ложного срабатывания)
Неограниченное количество проверок устранения уязвимостей в течение 90 дней после предоставления отчета о тестировании на проникновение
Исследование Dark и Deep Web
Исследование публичных репозиториев кода
Обход обнаружения корневого доступа или взлома (доступ с правами root)
Обход обнаружения эмулятора
Обход закрепления сертификатов SSL
Обход обфускации кода

Непрерывное тестирование на проникновение

Автоматизированное тестирование на проникновение с помощью искусственного интеллекта
Дополнительное ручное тестирование
Тестирование и обход WAF
SLA с нулевым ложным срабатыванием (гарантия возврата денег в случае одного ложного срабатывания)
Неограниченное количество проверок устранения уязвимостей
Исследование Dark и Deep Web
Исследование публичных репозиториев кода

Результаты

Результатом работы станет отчет, содержащий:

Методику проведения теста.
Оценку рисков, основанную на обнаруженных угрозах.
Рекомендации по устранению выявленных рисков.

При оценке критичности обнаруженных уязвимостей используется методика Common Vulnerability Scoring System (CVSS), поэтому результаты тестирования на проникновения удобно использовать для качественных и количественных методик анализа риска.