Послуги

Пентест

Що таке пентест?

Пентест - це симуляція дій хакера з метою виявлення вразливостей і оцінки захищеності як зовнішніх, так і внутрішніх інформаційних систем.

Наші пентестери виявляють усі можливі вектори атак, які використовують хакери для несанкціонованого доступу і злому комп'ютерних систем.

Наші послуги з пентесту надають вам можливість вже на етапі першого випробування на проникнення бачити вашу систему безпеки очима зловмисника, і ви будете повністю готові до запобігання реальній хакерській атаці.

Замовте пентест і забезпечте свій захист.

ПЕНТЕСТ VS ХАКЕРСЬКА АТАКА

Як ми проводимо пентест?

Хакер намагається зламати вашу систему зі злим наміром, пентестер же намагається зламати вашу систему з метою захисту.

Однією з головних цілей хакерів є нелегальне захоплення контролю над інформаційними системами. Саме цьому протистоять компанії, що надають послуги пентесту.

Хакери полюють за конфіденційною інформацією: персональними даними, обліковими даними від робочих і фінансових акаунтів, інноваційними розробками, інтелектуальною власністю і всім, що може принести, в основному, фінансову або економічну вигоду.

Тестування на проникнення в кібербезпеці необхідне для визначення в системі вразливих місць, які можуть бути використані для атак різних векторів, що зводить шанси проведення успішної атаки до мінімуму.

ДЛЯ ЧОГО ПОТРІБЕН ПЕНТЕСТ?

Проведення пентеста необхідне для находження вразливостей в інфраструктурі, мережах, системах та програмному забезпечені до того, як інформація про вразливості буде знайдена хакерами.
Без регулярного проведення пентеста, компанія може бути схильна різноманітним ризикам, як: прямі фінансові втрати (крадіжка грошей з рахунків, програні багатомільйонні судові позови, витрати на адвокатів), не прямі фінансові втрати (неможливість ведення бізнесу через не працюючи системи чи мережі), нефінансові ризики (витік персональних даних, крадіжка інтелектуальної власності), репутаційні втрати та ін.

Тестування На Проникнення

ЕТАПИ Тестування на проникнення:

// step 1

ІНІЦІАЦІЯ ПЕНТЕСТУ

На цьому етапі пентесту відбувається підписання NDA і договору, проводяться робочі зустрічі для прояснення законодавчої бази, визначення цілей і термінів пентесту в ручному й автоматичному режимах, плану робіт і скоупу, а також методу тестування на проникнення (white-box, gray-box або black-box) і ступеня експлуатації виявлених вразливостей. Так, наприклад, вам може знадобитися пентест веб-додатка, у такому разі вартість пентест послуг залежатиме від скоупа і складності вебсайту.

Penetration test stages
// step 2

РОЗВІДКА ТА Osint

Ми збираємо та аналізуємо інформацію з пошукових систем та відкритих джерел, таких як соціальні мережі, блоги та форуми. Знаходимо e-mail адреси, імена користувачів, пов’язані акаунти на зовнішніх ресурсах та інші дані, які за певних узгоджених методів тестування на проникнення можуть відігравати ключову роль для подальшого успішного виконання робіт з пентесту.
Також на цьому етапі ми здійснюємо зворотний перегляд DNS, скануємо порти, аналізуємо трафік, знаходимо субдомени, визначаємо використовувані технології та ін.

Penetaration Testing Reconnaissance
// step 3

Моделювання загроз

На цій стадії ми виявляємо цілі та потенційні вектори атак, а також проводимо глибокий аналіз даних, отриманих на етапі Розвідки, та структуруємо ймовірні загрози на: внутрішні (співробітники та менеджмент, партнери та постачальники) та зовнішні (вебдодатки, відкриті порти, мережеві протоколи та трафік).
Також на даному етапі пентестерами використовуються інструменти автоматичного сканування, зокрема наша власна розробка – це платформа CryEye, після чого проводиться обробка та аналіз отриманих результатів, з подальшим плануванням і моделюванням подальших дій.

Penetration Test Threat Modeling
// step 4

Експлуатація

Після проведення ретельного аналізу та валідації всіх отриманих раніше результатів кваліфіковані пентестери визначають можливість подальшої експлуатації підтверджених уразливостей.
Потім, відповідно до раніше обумовленого дозволеного ступеня експлуатації, мнаші пентестери проводять імітацію реальної атаки з боку потенційного зловмисника.
Залежно від потреб замовника можуть проводитися такі атаки як: атаки на вебдодатки, мережа або Wi-Fi, апаратне забезпечення, соціальна інженерія, вразливість нульового дня та ін.
При експлуатації вразливостей ми керуємося технічними знаннями, професійним досвідом та інтуїцією, що у поєднанні з мануальними техніками пентесту дозволяє виявити максимальну кількість критичних вразливостей та мінімізувати ризики та можливі наслідки кібератак.

Пентесту
// step 5

АНАЛІЗ РИЗИКІВ, РЕКОМЕНДАЦІЇ, ОЧИЩЕННЯ СЛІДІВ

На підставі отриманих результатів пентесту ми, будучи серед найкращих компаній, що надають послуги з пентесту, проводимо аналіз ризиків, структуруємо виявлені вразливості та розробляємо рекомендації щодо їх усунення.
Після цього ми видаляємо тимчасові файли, створені облікові записи, підвищені привілеї та інші сліди тестування інфраструктури або застосунків, повертаючи систему в початкову конфігурацію, або передаємо інформацію про будь-які істотні зміни замовнику.

Пентесту
// step 6

ЗВІТ

На останньому етапі ми надаємо детальний структурований звіт про методи, які використовувалися для знаходження та експлуатації вразливостей, свідоцтва у вигляді отриманих нами даних, кроків щодо відтворення та знімків з екрана.
Також звіт буде включати наші пропозиції щодо покращення вашої системи безпеки для захисту компанії від кіберзлочинців.

Penetration Testing Report

ЗВІТ

Мобільний
пристрої

Вкажіть контактну інформацію і ми надішлемо приклади наших звітів.

    Security Audit Reports

    ЗВІТ

    Внутрішній
    мережа

    Введіть свою контактну інформацію, і ми
    надсилайте вам приклади наших звітів.

      Security Audit Reports

      ЗВІТ

      ВЕБ
      Програма

      Введіть свою контактну інформацію, і ми
      надсилайте вам приклади наших звітів.

        Security Audit Reports

        Існує три основних методи пентесту

        White/black/grey box testing

        BLACK BOX

        Під час тестування на проникнення за методом Black Box ви надаєте нам тільки назву вашої компанії або адресу вашого вебсайту, при цьому не даєте жодної додаткової інформації про IT-інфраструктуру вашої системи, IP адреси тощо. І тут всю додаткову необхідну нам інформацію ми з’ясовуємо самостійно. Перевагою цього методу є те, що таким чином моделюється реальна ситуація з атаки з боку хакера. До недоліків методу Black Box можна віднести те, що він не дозволяє повною мірою оцінити безпеку вашої компанії, оскільки зловмисник зазвичай проводить тривалу підготовку і розвідку. Пентестер же, на відміну від хакера, обмежений жорсткими часовими рамками.

        WHITE BOX

        Тестування методом White Box є повною протилежністю Black Box. При цьому виді тестування ви надаєте нашим пентестерам всі необхідні дані про інфраструктуру, включаючи адміністративний доступ на всі сервери та іншу інформацію, що стосується об’єкта тестування на проникнення. При цьому ваша команда безпеки також обізнана з проведенням пентесту, а тестування більше схоже на незалежний аудит. Перевагою White Box є найвищій та комплексний підхід до тестування, що дозволяє виявити максимальну кількість вразливостей, оскільки пентестер не витрачає додатковий час на збирання інформації про об’єкт та повною мірою концентрується на процесі тестування. Як недолік можна відзначити той факт, що тестування методом White Box найменш наближено до реальної атаки хакера.

        GRAY BOX

        При тестуванні методом Gray Box ви повідомляєте лише деякі вихідні параметри об’єкта тестування. При цьому, щоб скоротити час тестування на проникнення та найбільш оптимально направити свої зусилля, ми періодично можемо вимагати додаткову інформацію, необхідну в процесі тестування.
        Метод Gray Box поєднує в собі переваги White Box і Black Box, при цьому зберігає досить близьку схожість із діями реального хакера.

        External Penetration Testing

        Зовнішній пентест

        Послуги з проведення зовнішнього пентесту передбачають оцінювання ефективності зовнішнього периметра безпеки компанії: виявлення, контроль і запобігання кібератакам, виявлення вразливостей у ресурсах, які доступні із зовнішньої мережі (пентест веб-застосунків, тестування вебсайтів і застосунків, вебсерверів, FTP-серверів, поштові сервери і т.д.). CQR вигідно відрізняється від компаній, що надають послуги зовнішнього пентесту, і володіє інноваційними технологіями для проведення тестування на проникнення, про що ви дізнаєтеся більше на консультаціях.

        Internal Penetration Testing

        Внутрішній Пентест

        Метою внутрішнього пентесту є перевірка захищеності компанії від кіберзагроз у разі, якщо хакер отримує доступ до її внутрішньої мережі. Також оцінюється можливість нанесення шкоди системам з боку зловмисних співробітників і внаслідок ненавмисних або безтурботних дій персоналу компанії.

        Тестування точок доступу Wi-Fi

        Тестування точок доступу Wi-Fi

        Цей вид роботи також буде цікавий тим, хто хоче перевірити безпеку своїх точок доступу Wi-Fi і технологій бездротового передавання даних.

        Аудит Active Directory та Тестування на проникнення

        Фахівці CQR на додаток до пентесту проводять аудит Active directory, використовуючи власну методологію та індивідуальний підхід до побудови плану атаки.

        Аудит Active Directory
        Active Directory Audit and Penetration Testing

        НАШІ СЕРТИФІКАЦІЇ

        Cybersecurity certification
        Offensive Security Certified Professional Certification
        Offensive Security Web Expert Certification
        Offensive Security Exploitation Expert Certification
        Systems Security Certified Practitioner Certification
        Information Technology Certifications
        Certified Ethical Hacker Certification
        Certified Ethical Hacker Master Certification

        Наші фахівці регулярно проходять сертифікацію та тренінги з кібербезпеки. Ми використовуємо унікальні методики та повну автоматизацію для пошуку всіх потенційних вразливостей за допомогою движка CryEye, який включає в себе понад 1500 аудитів.

        Цікаво
        знати

        Тестування На Проникнення
        1

        Усі наші пентести проводяться виключно за нашими приватними методиками, які повністю залежать від технологій і послуг для мети, зазначеної в обсязі.

        2

        У всіх тестуваннях на проникнення ми використовуємо повну автоматизацію та ручну роботу наших фахівців, тим самим покриваючи усі можливі вразливості в системі з різних сторін.

        3

        Варто врахувати, що кожен наш аудит проводиться виключно з використанням нашої розробки - CryEye. Це повноцінна, автоматизована і багатофункціональна платформа для менеджменту проєктів і знаходження в них усіх можливих технічних вразливостей, які можуть бути покриті використовуючи вбудовані в CryEye інструменти.

        ОПТИМІЗАЦІЯ ПЕНТЕСТА ЗА СЧЁТ АВТОМАТИЗАЦІЇ

        CRYEYE

        Наша розробка CryEye дає величезні переваги в тестуванні на проникнення, розширюючи визначення можливих векторів атак. Дотримуючись інтегрованих методологій, Cryeye покриває всі потенційні вразливості, які можна виявити автоматично, що в результаті заощаджує час фахівців, даючи їм змогу більше концентруватися на знаходженні складніших вразливостей методом ручного аналізу.

        Про Cryeye
        CRYEYE Penetration Testing logo

        Замовити
        ПОСЛУГУ

        ПЕНТЕСТ

          Інші послуги

          Оцінка Вразливості

          Тестування оцінки вразливості в кібербезпеці для бізнесу: З'ясуйте, де розташоване потенційне джерело загроз, який вплив воно чинить на безпеку і які типи кібератак можуть бути характерні для вашої організації.

          Дізнатися ще

          Соціальна Інженерія

          Отримайте персоналізований план соціальної інженерії, щоб ваш бізнес уникнув спір-фішингу/ фішингу/ шкідливих вкладень/ використання системних експлойтів для інженерної атаки. Навчіть своїх співробітників протистояти хакерам.

          Дізнатися ще

          Тестування Продуктивності

          Усі види тестування навантаження і продуктивності вашої системи від компанії CQR, що спеціалізується на онлайн-безпеці.

          Дізнатися ще

          Тестування На Проникнення

          Знайдіть вразливості у всій інфраструктурі вашого бізнесу раніше, ніж це зроблять хакери! У межах консалтингу з тестування на проникнення ми підберемо методи пентестів та інші індивідуальні рекомендації з кібербезпеки для вашого бізнесу.

          Дізнатися ще

          Захист інфраструктури CRYEYE

          Аудит безпеки за допомогою CryEye забезпечує інформаційну безпеку підприємства, захищаючи всю інфраструктуру.

          Дізнатися ще

          Готові до безпеки?

          зв'язатися з нами