Регулярные тестирования на проникновение. Пентесты
Заказчик:
Банк из Топ-10
Отрасль:
Финансы
Июль 2021 – октябрь 2024
Сроки:
2021 – 2024
Годы:
Заказчик заключил с нами рамочный договор на регулярное проведение тестирований на проникновение внутренних и внешних систем, в том числе и отдельных компонентов и средств защиты информации. Это позволило систематизировать и оптимизировать процесс тестирования, обеспечив его регулярность и эффективность.
Задача:
Организовать регулярные комплексные анализы защищенности целевых систем путем тестирования на проникновение с применением широкого спектра существующих инструментов и с подробным описанием используемых методик. Консолидировать выявленные уязвимости и сформировать полноценные дорожные карты не только по их устранению, но и для постоянного повышения уровня защищенности целевых систем. В целях уменьшения последующих трудозатрат провести консультации внутренних команд, проработав планы по устранению уязвимостей и предоставив дополнительных рекомендаций по сопровождению систем.
Наша команда систематически проводила тестирования на проникновение более чем 20 целевых систем Заказчика, включая системы управления доступом, системы дистанционного банковского обслуживания (ДБО), торговые платформы, системы видеоконференцсвязи, мобильные приложения на базе IOS и Android, а также отдельные внешние и внутренние целевые ресурсы. Дополнительно были проведены тестирования отдельных API и внутренних компонентов, таких как интеграционные шлюзы и балансировщики.
Работы включали использование методов Dynamic Application Security Testing (DAST) и Static Application Security Testing (SAST) с подробным описанием применяемых подходов. По результатам анализа наши специалисты подготовили рекомендации по устранению выявленных уязвимостей, разработали планы повышения уровня защищенности и сформировали дорожные карты, адаптированные под актуальные потребности Заказчика.
В процессе выполнения работ команда активно консультировала Заказчика и совместно с его сотрудниками разрабатывала и адаптировала планы по устранению выявленных угроз. Дополнительно реализован процесс ведения базы знаний о проведенных тестированиях на проникновение, что позволило централизовать и систематизировать данные для будущего использования.
Особенности:
Проекты охватили тестирование более 20 информационных систем, каждая из которых была оценена на соответствие критериям защищенности.
Подготовлены детализированные дорожные карты под каждую протестированную систему для повышения уровня информационной защищенности в целом.
Глубокий анализ рисков включал подробные сценарии тестирования и описание всех выявленных угроз, что позволило Заказчику лучше понять их суть.
Индивидуальный подход к консультированию и организации процессов ведения базы знаний, что позволило учесть уникальные требования и особенности инфраструктуры.
Рекомендации были адаптированы и сегментированы по приоритетности с учетом потребностей Заказчика для эффективного устранения уязвимостей и повышения безопасности.
Результат:
Благодаря сотрудничеству Заказчик получилком плексную оценку защищенности своих целевых систем, включая внутренние и внешние ресурсы. Результаты анализа конфигураций систем и средств защиты информации были представлены с применением лучших практик безопасности. Подготовленные дорожные карты и рекомендации позволили Заказчику минимизировать риски несанкционированного доступа и обеспечить долгосрочную устойчивость системы. В рамках проекта наша команда создала процесс ведения базы знаний, который также поможет Заказчику поддерживать и улучшать уровень защищенности информационных систем.