Для чего проводится тестирование
Выстраивание результативной кибербезопасности
Соответствие стандартам и законам РФ (ГОСТ 57580, Положения ЦБ, 152-ФЗ, 187-ФЗ)
Устранение последствий и предотвращение инцидентов ИБ
Что тестируется
ㅤ
Сколько уязвимостей мы обнаружили
Cтатистика приведена исходя из 100 последних проектов разных типов: пентест внешнего периметра, пентест внутренней инфраструктуры, веб-приложений, мобильных приложений, API и специфических протоколов.
Инструменты пентеста
В процессе работы над проектами мы часто создаём собственные инструменты: пишем скрипты, эксплоиты и автоматизируем рутинные задачи для конкретного проекта.
Разведка и сбор информации
- BBOT, ReconFTW, Amass
- Gitleaks
- Wappalyzer
- Shodan, Censys
Детальный разбор и ручной анализ
- Burp Suite, Postman, cURL
- Metasploit
- Консольные утилиты Linux
- Python/Bash/JavaScript
Универсальные сканеры уязвимостей
- Nmap
- Burp Suite
- Nuclei
Мы применяем все методики тестирования
Методика тестирования согласовывается с каждым заказчиком индивидуально. Однако за основу всегда берутся лучшие практики, стандарты и гайды, принятые в отрасли — NIST SP800-115, WSTG (Web Security Testing Guide) и OSSTMM (Open Source Security Testing Methodology Manual) и другие.
Что входит в отчет тестирования
Для каждого вида тестирования создается содержательный отчёт, в котором подробно описываются:
Все обнаруженные уязвимости
Возможные векторы атак, подкрепленные скриншотами
Рекомендации по устранению уязвимостей
Структура отчета включает в себя три раздела, которые будут полезны для:
Профессионалов в области информационной безопасности
Руководства компании‑заказчика
IT-специалистов
Этапы
-
Предварительный этап и пассивная разведка
Сбор информации из открытых источников
-
Сканирование и активная разведка
Тщательное сканирование ресурсов заказчика с использованием автоматизированных средств
-
Детальный разбор ресурсов и ручной анализ
На данном этапе находится наибольшее количество уязвимостей. С помощью ручного тестирования расширяется фронт работ, идентифицируются логические уязвимости, сложные для обнаружения автоматизированными инструментами
-
Эксплуатация
Находки со всех предыдущих этапов тестирования используются, чтобы имитировать атаку реальных злоумышленников и получить несанкционированный доступ к ресурсам
-
Документирование и отчетность
От 450 тысяч ₽
От 20–25 рабочих дней
Формирование стоимости производится индивидуально, исходя из вашего скоупа, ИТ-инфраструктуры и задач. Стоимость услуг зависит от сложности и объема работы, при этом всегда готовы предложить вам наиболее выгодные условия исходя из соотношения цена/качество.
Преимущества работы с нами
Собственная команда
Постоянно держим связь и быстро отвечаем на все вопросы
Специализированная компания по оказанию услуг ИБ полного цикла
Можно наблюдать за выявленными уязвимостями в специальной панели
Наши клиенты
FAQ
Проводят пентест специалисты по информационной безопасности, владеющие профессиональными инструментами и методиками.
Выделяют два основных типа тестирования:
- Внешний пентест — моделирует действия внешнего атакующего, пытающегося проникнуть в систему через интернет.
- Внутренний пентест — оценивает риски со стороны инсайдера, имеющего доступ к инфраструктуре.
Итогом работы является отчет, в котором перечислены найденные уязвимости, способы их эксплуатации и рекомендации по устранению. В документ также включается описание проведенных тестов и использованных методов.
Важно: пентест проводится только с разрешения владельца системы и в строгом соответствии с законодательством.
Особенности CPT:
- Постоянное тестирование вместо периодических проверок.
- Использование автоматизированных инструментов для мониторинга и анализа.
- Быстрая реакция на обновления и изменения в системах.
- Black Box (черный ящик): тестирование без доступа к внутренней информации. Моделируется атака извне.
- Grey Box (серый ящик): у специалистов есть ограниченные данные (например, учетная запись без привилегий). Позволяет сосредоточиться на критичных точках.
- White Box (белый ящик): полный доступ к архитектуре, коду и внутренним системам. Применяется для комплексной проверки и анализа логики работы.
- Минимум 1 раз в год;
- Банки и НКО обязаны проверять инфраструктуру 2 раза в год (согласно 683-П ЦБ РФ);
- При обновлении или масштабировании инфраструктуры;
- При запуске нового ИТ-ландшафта или изменении периметра безопасности.
- Выполнение требований стандартов и регуляторов (PCI DSS, ГОСТ Р 57580, 719-П ЦБ РФ и др.);
- Предупреждение инцидентов;
- Проверка эффективности существующих мер защиты;
- Выявление и устранение уязвимостей;
- Оценка процессов управления безопасностью;
- Обоснование инвестиций в ИБ;
- Подготовка к возможным атакам.
- Банкам и финансовым организациям — по требованиям ЦБ РФ (683-П) и ГОСТ 57580.
- Объектам критической информационной инфраструктуры (КИИ) — по приказу ФСТЭК № 239.
- Любым компаниям, заинтересованным в объективной оценке уровня защищенности и предотвращении репутационных и финансовых потерь.