Центральный офис
+7 (812) 677-20-50
Техническая поддержка
8 (800) 700-09-87

Тестирование на проникновение

Для крупного предприятия с распределенной инфраструктурой даже одна уязвимость может стать входной точкой для масштабного инцидента

Получить КП

Безопасность = выживание бизнеса
В 2024 году 60% компаний без регулярных пентестов столкнулись с катастрофическими утечками (Gartner)
Экономическая эффективность
Средний ущерб от утечки данных в 2024 году $4.45 млн (IBM Security). Пентест стоит в разы дешевле
Предусмотрено подписание NDA
Вся представленная информация под строгим контролем
Наше тестирование на проникновение - это проверка устойчивости инфраструктуры глазами хакера
  • не сканируем, а компрометируем ваши системы, используя реальные методы атак
  • выявляем уязвимости в инфраструктуре, которые пропускают автоматические инструменты
  • определяем, насколько ваши сотрудники уязвимы для методов социальной инженерии
Мы не наносим реальный ущерб
и не компрометиуем ваши данные 
за пределы компании
icon1
Результат: отчет с классификацией рисков
и рекомендациями по их устранению


  • поможем пройти проверки ФСТЭК, ЦБ и РКН без штрафов

  • для компаний, которые понимают: формальное соответствие стандартам не равно реальной защите

Виды тестирования

Инфраструктура
Беспроводные сети
Веб-приложения
Социальная инженерия
RED TEAM
PURPLE TEAM

Что проводим:
тестирование внешнего и/или внутреннего периметра

Что проверям:

серверы, маршрутизаторы, системы контроля доступа, АСУ ТП и другие информационные системы

На что:

на недостатки по внутренней методике, основанной на таких стандартах, как: OWASP WSTG, OWASP MASTG, PCI DSS, PTES, ISSAF, OSSTMM, NIST

Кому подходит:
малый, средний и крупный бизнес с собственной инфраструктурой

Результат:

  • отчет по выявленным недостаткам и реализованным критическим событиям на информационных системах Заказчика с указанием рекомендаций по их устранению
  • предотвращение возможного риска успешных атак на активы компании, а также ее доменную инфраструктуру
 

Что проверяем:
WI-FI-сети

Кому подходит:
малый, средний и крупный бизнес с подключением к инфраструктуре с применением беспроводных сетей

Результат:

  • отчет по выявленным недостаткам и реализованным критическим событиям в беспроводных сетях Заказчика с указанием рекомендаций по их устранению
  • предотвращение возможного риска успешных атак на активы компании, а также компрометации чувствительной информации
 

Что ищем:
недостатки по внутренней методике, основанной на стандартах: OWASP WSTG, PCI DSS, PTES, ISSAF, OSSTMM, NIST

Кому подходит:
малый, средний и крупный бизнес с веб-приложениями

Результат:

  • отчет по выявленным недостаткам и реализованным критическим событиям на веб-приложении Заказчика с указанием рекомендаций по их устранению
  • предотвращение возможного риска успешных атак на активы компании, а также компрометации инфраструктуры компании через эти сервисы
 

Что проверяем:
возможность утечки чувствительной информации или компрометации инфраструктуры Заказчика через сотрудников компании посредством реализации различных компаний по отправке фишинговых писем

Кому подходит:
малый, средний и крупный бизнес

Результат:

  • отчет по перечням скомпрометированных хостов и полученной чувствительной информацией от сотрудников компании
  • снижение риска компрометации инфраструктуры через социальную инженерию, направленную на сотрудников компании
 

Что проводим:

комплексную имитацию действий хакеров (фишинг, эксплуатация уязвимостей, обход защиты)

Кому подходит:

крупные корпорации, финансовый сектор

Результат:

  • отчет по выявленным недостаткам и реализованным критическим событиям на информационных системах Заказчика с указанием рекомендаций по их устранению
  • получение сторонней экспертизы по обходу действующих средств защиты информации на объекте Заказчика
  • получение объективной информации о скорости и качестве реагирования подразделений ИБ или SOC
  • предотвращение возможного риска успешных атак на активы компании, а также ее доменную инфраструктуру
 

Что проверяем:

взаимодействие Red Team (атакующие) и Blue Team (защитники)

Кому подходит:

компании с развитой кибербезопасностью

Результат:

  • отчет по выявленным недостаткам и реализованным критическим событиям на информационных системах Заказчика с указанием рекомендаций по их устранению
  • получение сторонней экспертизы по обходу действующих средств защиты информации (СЗИ) на объекте Заказчика
  • получение объективной информации о скорости и качестве реагирования подразделений ИБ или SOC
  • получение рекомендаций по настройке экспертизы средств СЗИ, а также их конфигурации для повышения качества детектирования и предотвращения атак
  • предотвращение возможного риска успешных атак на активы компании, а также ее доменную инфраструктуру
 
Экспертиза и опыт компании «Газинформсервис»
icon1
Опыт более 20 лет
Консультируем клиентов по вопросам кибербезопасности и тестируем на прочность их информационные структуры с 2004 года
icon2
Нам доверяют отраслевые лидеры
Имеем обширный опыт проведения тестирования на проникновение на объектах различного масштаба
icon3
Высокая квалификация
В штате более 400 специалистов ИБ
  • постоянная тренировка на международных киберсоревнованиях
  • гибкость при построении вариантов взаимодействия с ИБ-специалистами клиента
  • сотрудники компании входят в топ рейтинга этичных хакеров на международных площадках
  • сотни выполненных проектов в крупнейших компаниях по всей стране
  • международная и отечественная сертификация экспертов: OSCP, PNPT, ADPT, WAPT, SQLiM, PENTEST и многие другие
  • гибкая политика работ под каждого заказчика

Примеры проектов

Производственная отрасль
Нефтегазовая отрасль
Производственная отрасль

Задача:

провести фишинговую атаку на сотрудников организации

Что сделали:

  • проанализировали внешние ресурсы и выявили сервисы, уязвимые к социальной инженерии
  • реализовали два этапа фишинговой кампании, в рамках первой – кража ключевой информации, в рамках второй – получение доступа к информационным ресурсам организации

Результат:

  • предоставлен отчет о проделанных фишинговых кампаниях с детализацией по открытым письмам, скомпрометированной чувствительной информацией, а также статистикой компрометации инфраструктуры заказчика. Также были предоставлены краткосрочные и долгосрочные рекомендации по минимизации рисков таких атак

 Выгода:

  • заказчик заранее изучил проблемы сотрудников и провёл для них обучение по информационной безопасности
  • узнав заранее о слабых местах, потенциально избежал финансовых потерь, связанных с рисками кибератак, сохранил репутацию и повысил безопасность своего бизнеса

Задача:

протестировать веб-ресурсы организации

Что сделали: 

  • протестировано более 70 веб-ресурсов компании на наличие недостатков и реализацию критических событий (внутренняя методика, наподобие OWASP WSTG)
  • реализовали более 20 критических событий, среди которых компрометация административной панели веб-ресурса управления процессами, недоступность веб-ресурса посредством удаления всего содержимого сайта, и выявили более 300 недостатков

Результат:

  • предоставлен отчет о проделанном тестировании, включающий в себя аналитическую и техническую часть (область работ, нормативная база, применяемые инструменты, план тестирования, перечень найденных недостатков и критических событий с их классификацией и описанием, рекомендации по устранению выявленных недостатков, а также расчет уровня защищенности тестируемой целевой системы)

Выгода:

  • узнав заблаговременно о слабых местах, Заказчик потенциально избежал финансовых потерь, связанных с рисками кибератак, сохранил репутацию и повысил безопасность своего бизнеса

Задача:

провести фишинговую кампанию, а также внешнее и внутреннее тестирование организации

Что сделали:

  • фишинг: в рамках анализа внешних ресурсов компании были определены ключевые сервисы, через которые можно провести социальную инженерию. Компрометация более 200 учетных записей, включая администраторов систем и высшее руководство в рамках реализованной компании
  • тестирование на проникновение: реализовано более 6 критических событий на внешнем и внутреннем периметре заказчика, среди которых – компрометация систем хранения данных, дефейс внешних ресурсов компании, компрометация контрагентов, компрометация базы 1С и др. Выявлено более 100 недостатков в инфраструктуре заказчика

Результат:

  • фишинг: предоставлен отчет о проделанных фишинговых кампаниях с детализацией по открытым письмам, скомпрометированной чувствительной информацией, а также статистикой компрометации инфраструктуры заказчика. Также были предоставлены краткосрочные и долгосрочные рекомендации по минимизации рисков таких атак
  • тестирование на проникновение: предоставлен отчет о проделанном тестировании, включающий в себя аналитическую и техническую часть (область работ, нормативная база, применяемые инструменты, план тестирования, перечень найденных недостатков и критических событий с их классификацией и описанием, рекомендации по устранению выявленных недостатков, а также расчет уровня защищенности тестируемой целевой системы)

Выгода:

  • фишинг: заказчик на раннем этапе узнал «болевые точки» сотрудников компании и заблаговременно провел обучающие мероприятия по информационной безопасности среди персонала тестирование на проникновение: заказчик на раннем этапе узнал «болевые точки» целевой системы: слабые пароли, ошибки конфигурации, уязвимости, приводящие к выявленнию уязвимостей
  • узнав заблаговременно о данных недостатках, заказчик потенциально избежал финансовых потерь, связанных с рисками кибератак, сохранил репутацию и повысил безопасность своего бизнеса

Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies