Послуги

Тестування на проникнення
Як сервіс

Знайдіть вразливості у всій інфраструктурі вашого бізнесу раніше, ніж це зроблять хакери! У межах консалтингу з тестування на проникнення ми підберемо методи пентестів та інші індивідуальні рекомендації з кібербезпеки для вашого бізнесу.

Що таке пентест?

Пентест - це симуляція дій хакера з метою виявлення вразливостей і оцінки захищеності як зовнішніх, так і внутрішніх інформаційних систем.

Наші пентестери виявляють усі можливі вектори атак, які використовують хакери для несанкціонованого доступу і злому комп'ютерних систем.

Наші послуги з пентесту надають вам можливість вже на етапі першого випробування на проникнення бачити вашу систему безпеки очима зловмисника, і ви будете повністю готові до запобігання реальній хакерській атаці.

Замовте пентест і забезпечте свій захист.

ПЕНТЕСТ VS ХАКЕРСЬКА АТАКА

Як ми проводимо пентест?

Хакер намагається зламати вашу систему зі злим наміром, пентестер же намагається зламати вашу систему з метою захисту.

Однією з головних цілей хакерів є нелегальне захоплення контролю над інформаційними системами. Саме цьому протистоять компанії, що надають послуги пентесту.

Хакери полюють за конфіденційною інформацією: персональними даними, обліковими даними від робочих і фінансових акаунтів, інноваційними розробками, інтелектуальною власністю і всім, що може принести, в основному, фінансову або економічну вигоду.

Тестування на проникнення в кібербезпеці необхідне для визначення в системі вразливих місць, які можуть бути використані для атак різних векторів, що зводить шанси проведення успішної атаки до мінімуму.

ДЛЯ ЧОГО ПОТРІБЕН ПЕНТЕСТ?

Проведення пентеста необхідне для находження вразливостей в інфраструктурі, мережах, системах та програмному забезпечені до того, як інформація про вразливості буде знайдена хакерами.
Без регулярного проведення пентеста, компанія може бути схильна різноманітним ризикам, як: прямі фінансові втрати (крадіжка грошей з рахунків, програні багатомільйонні судові позови, витрати на адвокатів), не прямі фінансові втрати (неможливість ведення бізнесу через не працюючи системи чи мережі, витік персональних даних, крадіжка інтелектуальної власності), репутаційні втрати та ін.

Тестування на проникнення

ЕТАПИ Тестування на проникнення:

// step 1

ІНІЦІАЦІЯ ПЕНТЕСТУ

На цьому етапі пентесту відбувається підписання NDA і договору, проводяться робочі зустрічі для прояснення законодавчої бази, визначення цілей і термінів пентесту в ручному й автоматичному режимах, плану робіт і скоупу, а також методу тестування на проникнення (white-box, gray-box або black-box) і ступеня експлуатації виявлених вразливостей. Так, наприклад, вам може знадобитися пентест веб-додатка, у такому разі вартість пентест послуг залежатиме від скоупа і складності вебсайту.

Етапи тестування на проникнення
// step 2

РОЗВІДКА ТА Osint

Ми збираємо та аналізуємо інформацію з пошукових систем та відкритих джерел, таких як соціальні мережі, блоги та форуми. Ми розслідуємо, знаходимо e-mail адреси, імена користувачів, пов’язані акаунти на зовнішніх ресурсах та інші дані, які за певних узгоджених методів тестування на проникнення можуть відігравати ключову роль для подальшого успішного виконання робіт з пентесту.

Розвідка при випробуванні на проникнення
// step 3

Моделювання загроз

На цьому етапі ми визначаємо мету та потенційні вектори атаки, а також проводимо глибокий аналіз даних, отриманих на етапі розвідки та OSINT, і структуруємо ймовірні загрози на: внутрішні (співробітники та керівництво, партнери та постачальники) та зовнішні (веб-додатки, відкриті порти, мережеві протоколи та трафік). Також на цьому етапі ми використовуємо інструменти автоматичного сканування, зокрема, власну розробку - платформу CryEye, де після отримання результатів відбувається їх обробка та аналіз, з подальшим плануванням та моделюванням дій.

Моделювання загроз тестування на проникнення
// step 4

Експлуатація

Після проведення ретельного аналізу та валідації всіх отриманих раніше результатів кваліфіковані пентестери визначають можливість подальшої експлуатації підтверджених уразливостей.
Потім, відповідно до раніше обумовленого дозволеного ступеня експлуатації, мнаші пентестери проводять імітацію реальної атаки з боку потенційного зловмисника.
Залежно від потреб замовника можуть проводитися такі атаки як: атаки на вебдодатки, мережа або Wi-Fi, апаратне забезпечення, соціальна інженерія, вразливість нульового дня та ін.
При експлуатації вразливостей ми керуємося технічними знаннями, професійним досвідом та інтуїцією, що у поєднанні з мануальними техніками пентесту дозволяє виявити максимальну кількість критичних вразливостей та мінімізувати ризики та можливі наслідки кібератак.

Пентест
// step 5

АНАЛІЗ РИЗИКІВ, РЕКОМЕНДАЦІЇ, ОЧИЩЕННЯ СЛІДІВ

На основі результатів пентесту ми, як одна з найкращих компаній з тестування на проникнення, проводимо оцінку ризиків, структуруємо виявлені вразливості та розробляємо рекомендації щодо їх усунення.
Після цього ми видаляємо тимчасові файли, створені облікові записи, підвищені привілеї та інші сліди тестування інфраструктури або застосунків, повертаючи систему в початкову конфігурацію, або передаємо інформацію про будь-які істотні зміни замовнику.

Пентест
// step 6

ЗВІТ

На останньому етапі ми надаємо детальний структурований звіт про методи, які використовувалися для знаходження та виявлення експлуатації вразливостей, свідоцтва у вигляді отриманих нами даних, кроків щодо відтворення та знімків з екрана.
Також звіт буде включати наші пропозиції щодо покращення вашої системи безпеки для захисту компанії від кіберзлочинців.

Звіт про тестування на проникнення

ЗВІТ

Мобільна
пристрої

Вкажіть контактну інформацію і ми надішлемо приклади наших звітів.

    Звіти про аудит безпеки

    ЗВІТ

    Внутрішній
    мережа

    Введіть свою контактну інформацію, і ми
    надсилайте вам приклади наших звітів.

      Звіти про аудит безпеки

      ЗВІТ

      ВЕБ
      Програма

      Введіть свою контактну інформацію, і ми
      надсилайте вам приклади наших звітів.

        Звіти про аудит безпеки

        Існує три основних методи пентесту

        Тестування білого / чорного / сірого ящика

        BLACK BOX

        Під час тестування на проникнення за методом Black Box ви надаєте нам тільки назву вашої компанії або адресу вашого вебсайту, при цьому не даєте жодної додаткової інформації про IT-інфраструктуру вашої системи, IP адреси тощо. І тут всю додаткову необхідну нам інформацію ми з’ясовуємо самостійно. Перевагою цього методу є те, що таким чином моделюється реальна ситуація з атаки з боку хакера. До недоліків методу Black Box можна віднести те, що він не дозволяє повною мірою оцінити безпеку вашої компанії, оскільки зловмисник зазвичай проводить тривалу підготовку і розвідку. Пентестер же, на відміну від хакера, обмежений жорсткими часовими рамками.

        WHITE BOX

        Тестування методом White Box є повною протилежністю Black Box. При цьому виді тестування ви надаєте нашим пентестерам всі необхідні дані про інфраструктуру, включаючи адміністративний доступ на всі сервери та іншу інформацію, що стосується об’єкта тестування на проникнення. При цьому ваша команда безпеки також обізнана з проведенням пентесту, а тестування більше схоже на незалежний аудит. Перевагою White Box є найвищій та комплексний підхід до тестування, що дозволяє виявити максимальну кількість вразливостей, оскільки пентестер не витрачає додатковий час на збирання інформації про об’єкт та повною мірою концентрується на процесі тестування. Як недолік можна відзначити той факт, що тестування методом White Box найменш наближено до реальної атаки хакера.

        GRAY BOX

        При тестуванні методом Gray Box ви повідомляєте лише деякі вихідні параметри об’єкта тестування. При цьому, щоб скоротити час тестування на проникнення та найбільш оптимально направити свої зусилля, ми періодично можемо вимагати додаткову інформацію, необхідну в процесі тестування.
        Метод Gray Box поєднує в собі переваги White Box і Black Box, при цьому зберігає досить близьку схожість із діями реального хакера.

        Тестування на зовнішнє проникнення

        Зовнішній пентест

        Послуги з проведення зовнішнього пентесту передбачають оцінювання ефективності зовнішнього периметра безпеки компанії: виявлення, контроль і запобігання кібератакам, виявлення вразливостей у ресурсах, які доступні із зовнішньої мережі (пентест веб-застосунків, тестування вебсайтів і застосунків, вебсерверів, FTP-серверів, поштові сервери і т.д.). CQR вигідно відрізняється від компаній, що надають послуги зовнішнього пентесту, і володіє інноваційними технологіями для проведення тестування на проникнення, про що ви дізнаєтеся більше на консультаціях.

        Внутрішнє тестування на проникнення

        Внутрішній Пентест

        Метою внутрішнього пентесту є перевірка захищеності компанії від кіберзагроз у разі, якщо хакер отримує доступ до її внутрішньої мережі. Також оцінюється можливість нанесення шкоди системам з боку зловмисних співробітників і внаслідок ненавмисних або безтурботних дій персоналу компанії.

        Тестування точок доступу Wi-Fi

        Тестування точок доступу Wi-Fi

        Цей вид роботи також буде цікавий тим, хто хоче перевірити безпеку своїх точок доступу Wi-Fi і технологій бездротового передавання даних.

        Аудит Active Directory та Тестування на проникнення

        Фахівці CQR на додаток до пентесту проводять аудит Active directory, використовуючи власну методологію та індивідуальний підхід до побудови плану атаки.

        Аудит Active Directory
        Аудит Active Directory і тестування на проникнення

        НАШІ СЕРТИФІКАЦІЇ

        Cybersecurity certification
        Offensive Security Certified Professional Certification
        Offensive Security Web Expert Certification
        Offensive Security Exploitation Expert Certification
        Systems Security Certified Practitioner Certification
        Information Technology Certifications
        Certified Ethical Hacker Certification
        Certified Ethical Hacker Master Certification

        Наші фахівці регулярно проходять сертифікацію та тренінги з кібербезпеки. Ми використовуємо унікальні методики та повну автоматизацію для пошуку всіх потенційних вразливостей за допомогою движка CryEye, який включає в себе понад 1500 аудитів.

        Цікаво
        знати

        Тестування на проникнення
        1

        Усі наші пентести проводяться виключно за нашими приватними методиками, які повністю залежать від технологій і послуг для мети, зазначеної в обсязі.

        2

        У всіх тестуваннях на проникнення ми використовуємо повну автоматизацію та ручну роботу наших фахівців, тим самим покриваючи усі можливі вразливості в системі з різних сторін.

        3

        Варто врахувати, що кожен наш аудит проводиться виключно з використанням нашої розробки - CryEye. Це повноцінна, автоматизована і багатофункціональна платформа для менеджменту проєктів і знаходження в них усіх можливих технічних вразливостей, які можуть бути покриті використовуючи вбудовані в CryEye інструменти.

        ОПТИМІЗАЦІЯ ПЕНТЕСТА ЗА СЧЁТ АВТОМАТИЗАЦІЇ

        CRYEYE

        Наша розробка CryEye дає величезні переваги в тестуванні на проникнення, розширюючи визначення можливих векторів атак. Дотримуючись інтегрованих методологій, Cryeye покриває всі потенційні вразливості, які можна виявити автоматично, що в результаті заощаджує час фахівців, даючи їм змогу більше концентруватися на знаходженні складніших вразливостей методом ручного аналізу.

        Про Cryeye
        Логотип CRYEYE для тестування на проникнення

        Замовити
        сервис

        ПЕНТЕСТ

          Інші Послуги

          Готові до безпеки?

          зв'язатися з нами