Пентест

Оценка безопасности через имитацию атак. Комплекс мероприятий для выявления уязвимостей

Услуги

Этапы работ

Почему это важно

Пентест — это имитация действий хакера для тщательной оценки уровня защищенности системы.

85%

внутренних пентестов оканчиваются захватом контроля над доменной инфраструктурой

78%

проверенных нами компаний находятся в зоне повышенного риска кибератак

94%

мобильных приложений не проходят внешний аудит безопасности без замечаний

106

уязвимостей было выявлено в рамках одной информационной системы

61%

выявленных уязвимостей относятся к критическим и высокоопасным

68%

паролей не обеспечивают защиту

Услуги

Описание

Поиск максимального числа уязвимостей и путей компрометации внешней и (или) внутренней ИТ-инфраструктуры компании. Мы проводим анализ защищенности мобильных приложений, веб-приложений, информационных систем и беспроводных сетей WI-FI

Анализ защищенности

Описание

Контролируемая проверка защищенности границы ИТ-инфраструктуры компании. Позволяет определить, способна ли текущая система защиты противостоять атакам злоумышленников извне

Тестирование на проникновение внешнего сетевого периметра

Описание

Метод оценки защищенности, при котором моделируется ситуация, когда злоумышленник получил первичный доступ к инфраструктуре. Включает анализ возможных последствий, путей повышения привилегий и распространения атаки

Проверка предполагаемого нарушения (Assumed Breach)

Описание

Комплексное имитационное тестирование безопасности, при котором группа специалистов (Red Team) подражает методам и тактикам реальных киберпреступников, скрытно проверяя защищенность инфраструктуры без предварительного уведомления рядовых сотрудников службы информационной безопасности заказчика

Red Team

Описание

Оценка уровня осведомленности работников в вопросах ИБ и оценка физической защищенности

Тестирование методами социальной инженерии

Оценка рисков

01

Репутационные риски

Потенциальный ущерб для имиджа организации, потеря клиентской базы и ухудшение отношений с контрагентами

02

Ответственность

Административная, уголовная или гражданско-правовая ответственность за допущение утечки защищаемой информации

03

Несоответствие требованиям

Согласно требованиям положений ЦБ (372-П, 683-П, 719-П, 757-П, ГОСТ 57580), организации, подпадающие под данные положения, обязаны проводить тестирование на проникновение с ежегодной периодичностью

04

Финансовые потери

290 миллионов рублей в среднем составляют потери компании от одной критической уязвимости

Преимущества

Глубокая экспертиза в кибербезопасности

Наша команда находит уязвимости там, где их не видят другие:

Профессиональные сертификаты в области цифровой криминалистики (CHFI), этичного хакинга (CEH) и пентестинга (OSCP, OSEP, OSWE)
Признанные эксперты: входим в топ-3 рейтинга Bug Bounty программы BI.ZONE
Актуальные знания: регулярно выступаем и обмениваемся опытом на ведущих конференциях по информационной безопасности — DEFCON, PHDays, Volga CTF

Не используем шаблонные решения

Учитываем отрасль: финансы, медицина, e-commerce или промышленность — применяем специальные методологии

Адаптируем глубину проверки: от экспресс-аудита критичных систем до комплексного анализа всей инфраструктуры

Адаптируем формат отчетов: от технических документов для ИТ-специалистов до бизнес-рекомендаций для менеджмента

Мы работаем открыто и предсказуемо, чтобы вы всегда контролировали процесс

Перед началом проекта готовим подробный план с описанием всех действий, сроков и ожидаемых результатов

Практическая польза: от обнаружения угроз к их устранению

Расставляем приоритеты: классифицируем найденные уязвимости по уровню риска, чтобы вы знали, что исправить в первую очередь

Предоставляем понятные емкие рекомендации и поддержку по внедрению защитных мер

Справочный раздел

Обеспечиваем надежную информационную безопасность

Результатом проекта является подробный отчет, включающий в себя несколько ключевых разделов:

Краткое резюме для руководства
Статистика и описание методологий
Детальный анализ выявленных уязвимостей с общим и техническим описанием
Рекомендации по устранению выявленных уязвимостей
Оценка общего уровня защищенности

У наших специалистов более двадцати сертификатов, в числе которых: CHFI, CRTE, EXIN, MSCA, MSCE, OSCP, CRTP, CEH, OSEP, OSWP

Услуга подходит для компаний любого масштаба и отрасли

Последовательность действий такова:

Проведение аудита
Разработка дорожной карты
Внедрение необходимых СЗИ

Этапы и результаты

1 этап

Определение целей, объема задач

Описание

Выбираем целевые системы для проверки, определяя компоненты ИТ-инфраструктуры: веб-приложения, сети, облачные сервисы или мобильные решения. Фокусируемся на рисках, согласуем методы тестирования, устанавливаем временные рамки для минимального влияния на бизнес

2 этап

Сбор информации

Описание

Предоставляем анкету о технологиях и архитектуре, проводим анализ информации для выявления рисков. Оцениваем трудозатраты и готовим коммерческое предложение с сроками и стоимостью, оформляем договор с NDA

3 этап

Проведение безопасного тестирования

Описание

Наши эксперты проверяют защищенность ИТ-систем, применяя многоуровневый подход: от автоматизированного сканирования до глубокого анализа. Имитируем реальные атаки и контролируем тесты по согласованному заданию, соблюдая принцип «не навреди». Предоставляем промежуточные отчеты о ходе работ и находках

4 этап

Подробный отчет и рекомендации

Описание

После тестирования вы получаете структурированный анализ уязвимостей с присвоением уровней критичности, наглядную демонстрацию векторов атак с описанием и пошаговыми скриншотами, а также приоритизированные рекомендации с планом защитных мероприятий

Заказать услугу