― Проекти
Пентест для телеком оператора
Бізнес кейс: Тестування на проникнення зовнішнього та внутрішнього периметру мережі
Вимоги та цілі проведення пентесту:
Метою цього тесту на проникнення було ретельне стороннє обстеження зовнішньої інфраструктури компанії на предмет можливих проблем, які можуть вплинути на безпеку додатків, інфраструктури та конфіденційність її користувачів. Оцінка також перевіряє та оцінює конфігурації безпеки, які забезпечують конфіденційність, цілісність та доступність конфіденційних даних та інших ресурсів.
Етапи проведення пентесту
Етап 1. Підготовка
Наша команда почала зі збору даних про інфраструктуру. Ми провели сканування вразливостей систем, щоб виявити будь-які слабкі місця, якими можна скористатися. Ми також скористалися вразливими місцями, які виявили в контрольованих умовах, щоб оцінити їхній потенційний вплив, приділяючи особливу увагу сценаріям розкриття даних. Під час тестування на проникнення ми виявили кілька вразливостей, які можуть призвести до розкриття конфіденційних даних:● Найбільш серйозною вразливістю виявилась SQL ін’єкція, яка отримала Високий рівень серйозності.
Етап 2. Фаза сканування
Команда ESKA застосувала комплексну методологію тестування на проникнення, орієнтуючись на системи, важливі для щоденних бізнес-операцій. Ми почали з визначення ключових систем та інфраструктури, життєво важливих для функціонування бізнесу. Потім ми провели сканування мережі, щоб виявити пристрої та служби, і після цього сканування вразливостей, щоб виявити можливі слабкі місця.
Етап 3. Перерахування
Наша команда пентестерів використовувала багатогранний підхід, включаючи кілька стратегій тестування, щоб забезпечити збереження конфіденційної інформації.
Етап 4. Фаза експлуатації та звітність
Пентестери ESKA використовували методологію тестування на основі ризиків, зосереджуючись на областях, де атака потенційно може завдати найбільшої шкоди. Ця методологія включала поєднання автоматичних і ручних методів тестування, таких як сканування вразливостей, фаззінг і цільові експлойти.
Визначивши вразливості, ми надали детальний звіт, у якому викладено наші висновки, потенційні наслідки та рекомендації щодо пом’якшення цих ризиків.
Результати проведення пентесту
Під час тестування наша команда виявила 14 вразливостей, яким було надано ступені серйозності за шкалою від Інформаційної то Високої:
Додаткові рекомендації після проведення тестування на проникнення
Для кожної знайденої вразливості ми дали рекомендації у звіті щодо її виправлення. Ось кілька прикладів:
Методики, які ми використовуємо
OWASP Testing Guide - галузевий стандарт тестування безпеки для веб-додатків і пов’язаних технологій.
ISECOM OSSTMM3 - методологія тестування безпеки високого рівня, розроблена та підтримується Інститутом безпеки та відкритих методологій. Використовується як основа для планування, координації та звітності.
NIST SP800-115 - технічна методологія перевірки ІТ-безпеки, обов’язкова для федеральних агентств США. Використовується в рамках автоматизованого сканування вразливостей, аналізу та перевірки.
PTES - інноваційна методологія тестування на проникнення, що розробляється групою провідних світових спеціалістів з тестування на проникнення, аудиту безпеки та соціальної інженерії.
Вам цікаво дізнатися більше про цей кейс чи у вас є подібні потреби безпеки?
Наша команда експертів ESKA провела комплексний тест на проникнення для телеком компанії, виявивши значні проблеми та слабкі місця в їхніх системах. Виявлення та усунення цих вразливостей є важливими для запобігання потенційним витокам даних і захисту конфіденційної інформації.
Моделюючи реальні сценарії атак, ми можемо допомогти компаніям виявити та усунути вразливі місця в їхніх системах, забезпечивши найвищий рівень захисту даних їхніх клієнтів.
Захистіть дані своєї організації та клієнтів, заповнивши форму нижче, щоб надіслати запит на комплексну оцінку вразливостей та тест на проникнення від нашої досвідченої команди. Будьте на крок попереду кіберзагроз і зміцніть свій захист вже сьогодні.
Також, Вас можуть зацікавити такі послуги
Корисні статті на тему фішингу