Тестирование на проникновение по подписке или пентест по подписке — это услуга, которая на законных основаниях определяет уровень устойчивости информационных ресурсов компании к компьютерным атакам на постоянной, непрерывной основе.

Новые вызовы. AI в пентестах.
Что ИИ уже умеет:
Уязвимость неправильно настроенной аутентификации
-
При тестировании периметра заказчика с помощью разработанного командой Attacking ИИ был обнаружен веб-сервис "1С:Предприятие" с тестовым пользователем, предназначенным для тестирования и регистрации. Из-за неправильно настроенного разделения прав доступа были выявлены учетные данные пользователей, которые позволяли получить доступ к конфиденциальной информации о предприятии.
-
Нам было интересно разобраться, а много таких сервисов в общем доступе - веб-сервис "1С:Предприятие"? Я провел поиск по запросу:
inurl:1c AND inurl:ru_RU "1С:Предприятие" OR "1C:Enterprise".
Из примерно 100-150 ссылок 30 оказались уязвимыми. Среди них были университеты, предприятия из КИИ, научно-исследовательские институты и т.д.

о Будущем
-
По словам CTO Microsoft Кевина Скотта, через пять лет, к 2030 году, мы увидим следующую картину:
"95% всего кода будет генерироваться с помощью ИИ. Я думаю, что лишь малая часть кода будет писаться человеком." -
Это означает, что проверка защищенности кода станет значительно сложнее, а в некоторых случаях может оказаться и невозможной. Поэтому необходимо развиваться в направлении ИИ, иначе к 2030 году существует риск "вымереть" в профессиональном плане.
Что мы предлагаем
-
Безопасность
Пентестинг позволяет на практике оценить уровень защищенности вашей ИТ-инфраструктуры, а значит и конфиденциальной информации вашей организации, от которой зависит не только ваша репутация на рынке, но и перспективы вашего развития.
-
Эффективность
Наш опыт показывает, что идеальной защиты не существует. Но она может быть эффективной и затруднять проникновение внешнего злоумышленника или препятствовать действиям инсайдеров.
-
Надежность
Мы помогаем нашим клиентам оценить эффективность построенной системы безопасности, включая правильность настроек безопасности и уровень осведомленности персонала.
Как проводится анализ защищенности с использованием ИИ в пентестах?
-
Подготовка
-
Анализ уязвимостей
-
Эксплуатация
-
Пост-эксплуатация
-
Отчетность
-
Обучение и улучшение
Книга пенетратора
Команда Attacking пишет собственный справочник для пентестеров и специалистов по информационной безопасности. Мы публикуем актуальные данные тестирования, с которыми работаем сами и делимся со всеми остальными.