Pentest

Это симуляция атаки на ваши IT-системы, выполняемая внешним экспертом по безопасности.

Что такое Pentest?

Тестирование на проникновение, или, другими словами, Pentest представляет собой имитацию хакерской атаки на IT-системы с целью выявления уязвимостей. Процедура выполняется специалистом в сфере информационной безопасности.

В ходе тестирования возможно выявить проблемные места в системе безопасности, определить векторы хакерской атаки, оценить тип и вероятный ущерб, который будет нанесен в случае реальной попытки проникновения злоумышленников.

Сотрудники компании, отвечающие за проведение тестирования, обладают большим практическим опытом в сфере кибербезопасности, тестирования, исследования и устранения уязвимостей, постоянно повышают квалификацию и изучают актуальные методы и векторы хакерских атак.

Наши специалисты также являются участниками программы BugBounty на площадках hackerone, synack, rapid7.

имитация атаки
составление отчета

Почему необходим регулярный Pentest

Изменяется инфраструктура

исследование предоставляет срез уязвимостей на определённый момент времени, но со временем изменения систем открывают новые уязвимости. Атакующие постоянно улучшают TTP (Tactics, Techniques, and Procedures), ежедневно исследуют системы, выявляют и используют новые уязвимости.

Эволюционируют векторы атак

злоумышленники изобретают всё более изощрённые подходы к атакам, улучшая как технические средства, так и применяемые методы проникновения в инфраструктуру и извлечения информации.

Появляется новый персонал

команда информационной безопасности — самый ценный актив в процессе защиты бизнеса от киберугроз. Необходимо обеспечить высокий уровень готовности новых специалистов к отражению современных угроз.

Виды исследований

Внешний Pentest

черный ящик / blackbox

Внешнее тестирование на проникновение из сети Интернет по принципу «черного ящика» - анализ защищенности без предварительного получения информации об информационных системах Заказчика, за исключением перечня тестируемых внешних IP-адресов или доменных имен.

Внутренний Pentest

Осуществляется непосредственно из инфраструктуры Заказчика. Исследователь будет имитировать действия сотрудника, находясь внутри периметра с правами доступа, аналогичными сотрудникам Заказчика или с иной ролью, которую необходимо исследовать.

Анализ защищенности

серый ящик / greybox

Исследование указанных Заказчиком ресурсов методами «черного ящика» и «серого ящика». Исследование может производиться изнутри инфраструктуры Заказчика путем имитации действий внутри периметра с аналогичными сотрудникам Заказчика правами доступа.

Существенное отличие данной формы исследования заключается в наличии у Исполнителя учетных данных и спецификаций API Заказчика.

Исследование исходных кодов

белый ящик / whitebox

Данный вид проверки предполагает передачу Исполнителю исходных кодов тестируемого приложения. Исполнитель осуществляет попытку сборки приложения, анализ зависимостей и общей архитектуры, сканирование исходных кодов через SAST-сканеры исходного кода и выявляет уязвимые и потенциально небезопасные места.

В результате формируется список рекомендаций по внесению исправлений и/или изменению отдельных частей кода или модулей.

Итоги тестирования

Итоговый отчет по результатам тестирования включает:

  • Заключение для руководителя. Содержит экспертную оценку уровня защищенности IT-систем.
  • Детальную характеристику всех обнаруженных уязвимостей с доказательствами обнаружения.
  • Оценку вероятности использования уязвимости злоумышленниками и степень ущерба для бизнес-процессов компании.
  • Наиболее вероятные сценарии проведения хакерcкой атаки с учетом различных моделей нарушителя.
  • Детальные рекомендации по работе над устранением выявленных уязвимостей.

Сколько стоит Pentest?

Стоимость тестирования зависит от количества объектов
и рассчитывается индивидуально, начиная от
120 тыс. руб.

Для расчета стоимости пентеста свяжитесь с нами.

Наши клиенты

Большинство наших крупных клиентов предпочитают оставаться в тени, поэтому мы подписываем с ними NDA, и вы никогда не увидите их в этом списке

Altyn лого
BSK лого
РСС лого
русский свет
робокасса
paysend
voximplant
fsk
Большой театр

Наши партнеры

NXLog лого
Qualys лого
Oz Forensics лого
Касперский лого
CS лого
Infowatch лого
Cisco лого
Dr Web лого