Услуги

Тестирование на проникновение
Как сервис

Найдите уязвимости во всей инфраструктуре вашего бизнеса раньше, чем это сделают хакеры! В рамках консалтинга по тестированию на проникновение мы подберем методы пентестов.

Что такое пентест?

Пентест - это симуляция действий хакера с целью выявления уязвимостей и оценки защищенности как внешних, так и внутренних информационных систем.

Наши пентестеры обнаруживают все возможные векторы атак, используемые хакерами для несанкционированного доступа и взлома компьютерных систем.

Наши услуги по тестированию на проникновение предоставляют вам возможность уже на этапе испытания на проникновение видеть вашу систему кибербезопасности глазами злоумышленника, и вы будете полностью готовы к предотвращению реальной хакерской атаки.

Закажите пентест и обеспечьте свою защиту.

Пентест против хакерской атаки

Как мы проводим пентест?

Хакер пытается взломать вашу систему со злым умыслом, пентестер же пытается взломать вашу систему с целью защиты.

Одной из главных целей хакеров является нелегальный захват контроля над информационными системами. Именно этому противостоят компании, предоставляющие услуги пентеста.

Хакеры охотятся за конфиденциальной информацией: персональными данными, учетными данными от рабочих и финансовых аккаунтов, инновационными разработками, интеллектуальной собственностью и всем, что может принести, в основном, финансовую или экономическую выгоду.

Пентест в кибербезопасности необходим для определения в системе уязвимых мест, которые могут быть использованы для атак разных векторов, что сводит тем самым шансы проведения успешной атаки к минимуму.

ДЛЯ ЧЕГО НУЖЕН ПЕНТЕСТ?

Проведение пентеста необходимо для выявления уязвимостей в инфраструктуре, сетях, системах и программном обеспечении до того, как данные уязвимости будут обнаружены злоумышленниками.
Без регулярного проведения пентестов в результате хакерских атак компания может быть подвержена различным рискам, таким как: прямые финансовые потери (кража денег со счетов, проигранные многомиллионные судебные иски, затраты на адвокатов), непрямые финансовые потери (невозможность ведения бизнеса по причине нефункционирующих систем или сетей, утечки персональных данных, кража интеллектуальной собственности), репутационные потери и др.

Тестирование на проникновение

ЭТАПЫ Тестирования на проникновение:

// step 1

ИНИЦИАЦИЯ ПЕНТЕСТА

На данном этапе пентеста происходит подписание NDA и договора, проводятся рабочие встречи для прояснения законодательной базы, определения целей и сроков пентеста в ручном и автоматическом режимах, плана работ и скоупа, а также метода тестирования (white-box, gray-box или black-box) и степени эксплуатации обнаруженных уязвимостей. Так, например, вам может понадобиться пентест веб-приложения, в таком случае стоимость пентест услуг будет зависеть от скоупа и сложности вебсайта.

Penetration test stages
// step 2

OSINT-Разведка

Мы собираем и анализируем информацию из онлайн-поисковых систем и общедоступных источников, таких как социальные сети, блоги и форумы. Мы расследуем, находим e-mail адреса, имена пользователей, связанные аккаунты на внешних ресурсах и другие данные, которые при определенных согласованных методах тестирования могут играть ключевую роль для дальнейшего успешного выполнения работ по пентесту.

Penetaration Testing Reconnaissance
// step 3

Моделирование угроз

На этом этапе мы оперделяем цель и потенциальные векторы атак, а также проводим детальный анализ данных, которые получили в результате разведки OSINT. Потом мы структурируем вероятные угрозы на: внутренние (работники, управляющие, партнёры и поставщики) и внешние (веб-приложения, открытые порты, сетевые протоколы и траффик). Также, на этом этапе мы используем инструменты автоматического сканирования, кроме того, нашу личную разработку - платформу Cryeye, где происходит обработка результатов и анализ с дальнейшим планированием и моделированием действий.

Penetration Test Threat Modeling
// step 4

Эксплуатация

После проведения тщательного анализа и валидации всех полученных ранее результатов мы определяем возможность дальнейшей эксплуатации подтверждённых уязвимостей.
Затем, в соответствии с ранее оговоренной разрешённой степенью эксплуатации, пентестеры проводят имитацию реальной атаки со стороны потенциального злоумышленника.
В зависимости от потребностей заказчика могут проводиться такие атаки как: атаки на веб-приложения, сеть или Wi-Fi, аппаратное обеспечение, социальная инженерия, уязвимости нулевого дня и др.
При эксплуатации уязвимостей мы руководствуемся техническими знаниями, профессиональный опытом и интуицией, что в сочетании с мануальными техниками пентеста позволяет выявить максимальное количество критических уязвимостей и минимизировать риски и возможные последствия кибератак.

Пентест
// step 5

АНАЛИЗ РИСКОВ, РЕКОМЕНДАЦИИ, ОЧИСТКА СЛЕДОВ

По результатам пентеста мы, будучи одними из лучших компаний по тестированию на проникновение, проводим оценку рисков, структурируем обнаруженные уязвимости и разрабатываем рекомендации по их устранению.
После этого мы удаляем временные файлы, созданные учётные записи, повышенные привилегии и прочие следы тестирования инфраструктуры или приложений, возвращая систему в исходную конфигурацию, либо передаём информацию о любых существенных изменениях заказчику.

Пентест
// step 6

ОТЧЕТ

На заключительном этапе мы предоставляем детальный структурированный отчёт о методах, которые использовались для выявления эксплуатации уязвимостей, свидетельства в виде полученных нами данных, шагов по воспроизведению и скриншотов.
Также отчёт будет включать в себя наши предложения по улучшению существующей системы кибербезопасности для защиты вашей компании от преступников.

Penetration Testing Report

ОТЧЕТ

Мобильная
устройства

Введите контактную информацию и мы отправим вам примеры наших отчетов.

    Security Audit Reports

    ОТЧЕТ

    Внутренняя
    сеть

    Введите свою контактную информацию, и мы
    присылайте вам примеры наших отчетов.

      Security Audit Reports

      ОТЧЕТ

      Веб
      приложения

      Введите свою контактную информацию, и мы
      присылайте вам примеры наших отчетов.

        Security Audit Reports

        Существует три основных метода Пентеста

        White/black/grey box testing

        Black box

        Во время тестирования по методу Black Box вы предоставляете нам только название вашей компании или адрес вашего веб-сайта, при этом не даёте никакой дополнительной информации об IT-инфраструктуре вашей системы, IP адресах, и т.п. В этом случае всю дополнительную необходимую нам информацию мы выясняем самостоятельно. Преимуществом данного метода является то, что таким образом моделируется реальная ситуация с атаки со стороны хакера. К недостаткам метода Black Box можно отнести то, что он не позволяет в полной мере оценить кибербезопасность вашей компании, поскольку злоумышленник, как правило, проводит длительную подготовку и разведку. Пентестер же, в отличие от хакера, ограничен жёсткими временными рамками.

        White box

        Тестирование методом White Box является полной противоположностью Black Box. При этом виде тестирования вы предоставляете нам все необходимые данные об инфраструктуре, включая административный доступ на все сервера и другую информацию, относящуюся к объекту тестирования. При этом, ваша команда безопасности также осведомлена о проведении пентеста, а тестирование более похоже на независимый аудит. Преимуществом White Box является наиболее полный и комплексный подход к тестированию, позволяющий обнаружить максимальное количество уязвимостей, поскольку пентестер не тратит дополнительное время на сбор информации об объекте и в полной мере концентрируется на процессе тестирования. В качестве недостатка можно отметить тот факт, что тестирование методом White Box наименее приближено к реальной хакерской атаке.

        Gray box

        При тестировании методом Gray Box вы сообщаете нам лишь некоторые исходные параметры объекта тестирования. При этом, чтобы сократить время тестирования и наиболее оптимально направить свои усилия, мы периодически можем запрашивать у вас дополнительную информацию, необходимую в процессе тестирования.
        Метод Gray Box сочетает в себе преимущества White Box и Black Box, при этом сохраняет достаточно близкое сходство с действиями реального хакера.

        External Penetration Testing

        Внешний пентест

        Услуги по проведению внешнего пентеста предполагают оценку эффективности внешнего периметра безопасности компании: обнаружение, контроль и предотвращение кибератак, выявление уязвимостей в ресурсах, которые доступные из внешней сети (пентест веб-приложений, тестирование веб-сайтов и приложений, веб-серверов, FTP серверов, почтовые серверов и т.д.). CQR выгодно отличается от компаний, предоставляющих услуги внешнего пентеста, и обладает инновационными технологиями для проведения тестирования на проникновение, о чём вы узнаете больше на консультациях.

        Internal Penetration Testing

        Внутренний Пентест

        Целью внутреннего пентеста является проверка защищённости компании от киберугроз в случае, если хакер получает доступ к её внутренней сети. Также оценивается возможность нанесения вреда системам со стороны злонамеренных сотрудников и в результате непредумышленных или беспечных действий персонала компании.

        Тестирование точек доступа Wi-Fi

        Тестирование точек доступа Wi-Fi

        Этот вид работы также будет интересен тем, кто хочет проверить безопасность своих точек доступа Wi-Fi и технологий беспроводной передачи данных.

        Аудит Active Directory и Тестирование На проникновение

        Специалисты CQR в дополнении к пентесту проводят аудит Active directory, используя собственную методологию и индивидуальный подход к построению плана атаки.

        Аудит Active Directory
        Active Directory Audit and Penetration Testing

        НАШИ СЕРТИФИКАЦИИ

        Cybersecurity certification
        Offensive Security Certified Professional Certification
        Offensive Security Web Expert Certification
        Offensive Security Exploitation Expert Certification
        Systems Security Certified Practitioner Certification
        Information Technology Certifications
        Certified Ethical Hacker Certification
        Certified Ethical Hacker Master Certification

        Наши специалисты-пентестеры регулярно проходят сертификацию и тренинги по кибербезопасности. Мы используем уникальные методики и полную автоматизацию для выявления уязвимостей с помощью платформы CryEye, которая включает в себя более 1500 аудитов.

        Интересно
        знать

        Тестирование на проникновение
        1

        Все наши пентесты проводятся исключительно по нашим частным методикам, которые полностью зависят от технологий и услуг для цели, указанной в объеме.

        2

        Во всех проектах мы используем полную автоматизацию и ручную работу наших специалистов, тем самым покрывая все возможные уязвимости в системе с разных сторон.

        3

        Стоит учесть что каждый наш аудит проводится исключительно с использованием нашей разработки – CryEye. Это полноценная, автоматизированная и многофункциональная платформа для менеджмента проектов и нахождения в них всех возможных технических уязвимостей, которые могут быть покрыты используя встроенные в CryEye инструменты.

        ОПТИМИЗАЦИЯ ПЕНТЕСТА ЗА СЧЁТ АВТОМАТИЗАЦИИ

        CRYEYE

        Наша разработка CryEye даёт огромные преимущества в пентесте, расширяя определение возможных векторов атак. Следуя интегрированным методологиям Cryeye покрывает все потенциальные уязвимости, которые могут быть обнаружены автоматически, что в результате экономит время специалистов, позволяя им больше концентрироваться на нахождении более сложных уязвимостей методом ручного анализа.

        О Cryeye
        CRYEYE Penetration Testing logo

        Заказать
        сервис

        ПЕНТЕСТ

          Другие Услуги

          Готовы к безопасности?

          Связаться с нами