Услуги по пентесту — заказать Pentest, стоимость тестирования на проникновение в ИТ инфраструктуру

В рамках пентеста моделируются действия реальных злоумышленников

Данные действия нацелены на определение возможных путей проникновения в сеть организации и нарушения свойств (конфиденциальности, целостности, доступности) обрабатываемой информации.

В результате формируются рекомендации по повышению уровня информационной безопасности компании путем снижения рисков реализации выявленных угроз.

Для чего
нужен пентест?

С развитием цифровых технологий ежегодно появляется все большее число энтузиастов, желающих проверить собственные силы во время атаки на информационные ресурсы компаний, а также профессиональных хакеров, размещающих в даркнете предложения об оказании незаконных услуг по проведению таких кибератак.

Удаленный режим работы добавил задач по организации безопасных и в то же время эффективных условий работы как компаниям в целом, так и каждому отдельному сотруднику. Сетевые протоколы для удаленной обработки информации и сведения от недобросовестных сотрудников компаний являются весьма заманчивыми для проведения хакерских атак.

Защищенность

Пентест позволяет на практике оценить степень защищенности ИТ-инфраструктуры, а значит и конфиденциальной информации организации, от которой зависит не только репутация на рынке, но и перспективы развития.

Эффективность

Наш опыт показывает, что безупречной защиты не бывает. Но она может быть эффективной и затруднять проникновение внешнего злоумышленника или препятствовать действиям инсайдеров.

Безопасность

Мы помогаем нашим заказчикам оценить эффективность выстроенной системы защиты, в том числе корректность выполненных настроек безопасности и уровень осведомленности персонала.

Как проводится пентест?

На предварительном этапе оказания услуги мы помогаем заказчикам правильно сформулировать реальную потребность, чтобы итоговый отчёт совпал с ожиданиями и оказался максимально полезным.

После этого мы согласовываем входные сведения, способы и границы тестирования. Затем мы фиксируем все нюансы работы и требования для каждой из частей отчета, а также согласовываем классификатор уязвимостей. Это обеспечивает однозначную трактовку результатов относительно тех или иных уязвимостей и ущерба, который они могут нанести в случае успешной атаки.

На завершающем этапе работ мы оцениваем объем работ и подписываем документы об оказании услуг.

После этого мы выбираем правильный сценарий тестирования, фиксируем все действия (логи, скриншоты, результаты работы различных команд) и даем каждому шагу подробное техническое описание.

01

Сбор информации об инфраструктуре заказчика

Выполняем сканирование по открытым/закрытым источникам.

02

Моделирование угроз

Ищем потенциальные точки входа.

03

Анализ уязвимостей

Определяем способы использования точек входа.

04

Эксплуатация уязвимостей

Реализуем проникновение на практике.

05

Пост-эксплуатация уязвимостей

Определяем возможные векторы развития атаки.

06

Разработка отчета по требованиям заказчика

Предоставляем описание пошаговых действий и результатов их осуществления, а также предложения по оптимизации системы защиты.

Проведение тестов на проникновение может включать в себя:

Внешнее и внутреннее тестирование на проникновение

Анализ защищенности web-приложений

Анализ защищенности беспроводных сетей

Использование методов социотехнической инженерии

Кастомный сценарий тестирования исходя из локальных потребностей заказчика

Возможные уровни доступа

01

Чёрный ящик

Информация об инфраструктуре и какой-либо доступ отсутствуют

02

Белый ящик

Полная информация об инфраструктуре и валидные учётные записи

Особенности

В процессе выполнения тестирования защищенности ИТ-инфраструктуры компании помимо универсальных сканеров уязвимостей, позволяющих обнаруживать уязвимости приложений, ОС и сетевой инфраструктуры, мы также используем специализированное ПО и самописные утилиты и словари.

На практике нередко встречаются ситуации, когда в начале тестирования на проникновение пентестер выявляет следы ранее проведенного взлома. В этих случаях заказчик обычно привлекает наших специалистов к проведению расследования.

Какие методики тестирования мы используем?

Используя лучшие практики и стараясь думать, как злоумышленник, мы всегда опираемся на свои собственные наработки с учетом реалий российского рынка и отечественного законодательства.

В своей работе мы ориентируемся на лучшие международные стандарты и фреймворки:

The Penetration Testing Execution Standard

Open Source Security Testing Methodology Manual

Information System Security Assessment Framework

Результаты пентеста.
Отчёт

Мы всегда с особым вниманием подходим к оформлению результатов нашей работы и стремимся сделать их максимально полезными не только для технических специалистов наших заказчиков, но и для руководителей.

Поэтому мы включаем в общий отчет о проделанной работе несколько основных разделов, предназначенных для различных специалистов.

01

Отчет для топ-менеджмента заказчика

Мы предоставляем общее описание проделанной работы без использования специализированной терминологии, но с оценкой критичности выявленных уязвимостей для бизнеса и необходимых действий по совершенствованию системы защиты.

02

Технический отчёт

Содержит наиболее детальную информацию. В нем приводится вся необходимая информация о найденных уязвимостях, а также о том, как их можно воспроизвести по шагам и какой информацией можно завладеть в результате. Для устранения каждой уязвимости даются исчерпывающие рекомендации. Технический отчет всегда содержит расшифровку аббревиатур и определения для используемых специальных терминов.

03

Экспертные рекомендации

Выявленные слабые места системы безопасности могут быть усилены на основе экспертных рекомендаций, в том числе путем повышения уровня компетенций сотрудников организации. Однако даже если критичных уязвимостей в защите найдено не было, то процесс анализа защищенности и совершенствования системы защиты должен быть непрерывным. Ведь результат пентеста всегда отражает способности команды конкретных специалистов лишь в предварительно согласованных условиях имитации действий злоумышленников.

Преимущества работы с компанией
«Пространство доверия»

Команда экспертов

Команда сертифицированных экспертов в области информационной безопасности с 15-летним опытом создания систем защиты для предприятий различного масштаба и тестирования их на проникновение.

Поддержка клиентов

Консультационная поддержка клиентов на каждом этапе проведения тестирования на проникновение и в процессе анализа результатов.

Решения от ведущих производителей

Использование технических решений и экспертных баз знаний от ведущих мировых производителей средств защиты информации.

Отзывы наших клиентов

В рамках совместной работы с ООО «Пространство доверия», нам удалось повысить уровень информационной безопасности внутри компании. Спасибо за качественно оказанные услуги, помощь в обучении наших специалистов.

«В конце 2019 года нам нужно было получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Выбрали Контур.Безопасность и получили профессиональную, быструю помощь»

Недавно сотрудничаем с командой ООО «Пространство доверия», но уже отметили ее экспертизу и качественное оказание услуг по информационной безопасности. Планируем продолжать работать с Вашими специалистами. Спасибо!

От лица ООО «Компания информационных технологий» благодарю компанию за продуктивное сотрудничество в разработке и тестировании наших продуктов по информационной безопасности.

Вы всё ещё думаете? Просто попробуйте.

info@trust-space.ru 8 800 300 87 91

Контактное лицо

Почтовый адрес

Ваша организация

Телефон

Что вас интересует?

Я согласен на обработку персональных данных и получение информационных сообщений от компании «Пространство доверия».

Pentest