Организация и проведение пентестов для внешней корпоративной сети и внутренней инфраструктуры является эффективным средством оценки безопасности компьютерных систем и сетей организации. Как правило, данный вид тестов на проникновение проводят с информированием системных и сетевых администраторов. В процессе проведения атак используются специальное программное обеспечение по анализу защищенности, социальная инженерия и иные методы.

Этапы проведения тестов на проникновения:

  • сбор информации из любых доступных открытых источников информации о работниках, организации, системе, инфраструктуре;
  • сбор и анализ информации об организации сети в компании;
  • определение состава телекоммуникационного оборудования, программного обеспечения, формирование топологии сети;
  • определение наиболее уязвимых служб и приложений;
  • проведение активной фазы пентестинга, анализ WEB-приложений организации на наличие уязвимостей: попытки применения известных уязвимостей, угроз безопасности, атаки на протоколы различных уровней сети предприятия, внедрение операторов SQL (SQL Injection), межсайтовое исполнение сценариев (Cross-Site Scripting), подмена содержимого (Content Spoofing) выполнением команд ОС (OS Commanding), уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации;
  • прослушивание сетевого трафика, в случае успешного проникновения во внутреннюю инфраструктуру организации, перехват информации;
  • проведение атак на активное сетевое оборудование;
  • попытки получения доступа к документам конфиденциального характера, ключевой информации;
  • тщательное изучение результатов пентестинга, выявление слабых мест, потенциальных уязвимостей, формирование отчета и рекомендации по локализации и корректировке проблемных зон.