Проведение Пентестов

Проведение пентеста (тестирования на проникновение) — это имитация реальных кибератак на ваши системы и приложения с целью выявления уязвимостей до того, как ими смогут воспользоваться злоумышленники. Наша услуга позволяет оценить устойчивость инфраструктуры, приложений и сетей к внешним и внутренним угрозам.

По результатам тестирования мы предоставляем подробный отчёт с выявленными уязвимостями, их критичностью и рекомендациями по устранению. Пентест помогает минимизировать риски утечек данных, нарушений работы сервисов и финансовых потерь. Это эффективный способ убедиться, что ваши системы защищены на современном уровне и соответствуют требованиям безопасности.

Состав услуги Что входит в услугу

Пентест Wi-Fi

Тестирование на проникновение беспроводных сетей Wi-Fi для определения степени их защищённости.

Пентест сайта

Пентест сайта и веб-приложения помогает оценить защищённость ресурса и выполнить требования регуляторов.

Социальная инженерия

Большинство утечек конфиденциальной информации происходят из-за социальной инженерии — метода манипуляции человеческим поведением. Она трудно нейтрализуема, использует фишинг и подмену личности. Человеческий фактор остаётся ключевой уязвимостью, поэтому необходимо обучение пользователей и совершенствование методов обнаружения атак.

Пентест RED TEAM

Комплексная проверка безопасности информационных систем (пентест) не только проверяет эффективность настройки технических средств защиты, но и готовность вашего подразделения к противодействию вторжениям.

Анализ доступности организации для хакеров

Проведение комплексного анализа информационной системы клиента, включая идентификацию и оценку данных, которые могут быть потенциально доступны злоумышленникам через общедоступные источники и различные онлайн-сервисы, усовершенствование системы защиты на основе результатов анализа.

Кому необходима услуга Кому мы можем помочь

Категория компаний Банки и финансовые компании

Пример Банки, платёжные системы, инвестиционные компании

Зачем нужен Пентест Проверка защиты онлайн-банкинга, платёжных систем и клиентских данных, выявление уязвимостей для предотвращения финансовых потерь

Категория компаний Ритейл и e-commerce

Пример Сети магазинов, торговые платформы

Зачем нужен Пентест Защита клиентских данных, платёжной информации и внутренней IT-инфраструктуры от атак

Категория компаний Государственные и муниципальные компании

Пример Органы власти, государственные сервисы

Зачем нужен Пентест Проверка безопасности критичных информационных систем, защита данных граждан, предотвращение кибератак на инфраструктуру

Категория компаний Медицина и фармацевтика

Пример Клиники, лаборатории, медицинские платформы

Зачем нужен Пентест Защита персональных и медицинских данных пациентов, проверка безопасности телемедицинских сервисов

Категория компаний FMCG (товары массового потребления)

Пример Производители продуктов питания, бытовой химии, косметики

Зачем нужен Пентест Проверка систем управления производством и поставками, защита данных поставщиков и клиентов

Категория компаний Стартапы и технологические компании

Пример IT-стартапы, SaaS-проекты

Зачем нужен Пентест Проверка новых продуктов на уязвимости до выхода на рынок, минимизация репутационных рисков

Категория компаний Образовательные организации и EdTech

Пример Университеты, онлайн-школы

Зачем нужен Пентест Защита платформ дистанционного обучения и персональных данных студентов

Категория компаний Игровые компании и разработчики приложений

Пример Онлайн-игры, мобильные приложения

Зачем нужен Пентест Выявление уязвимостей, предотвращение мошенничества и атак на игровые сервисы

Определение области тестирования на проникновения.
Сбор данных.
В рамках данного этапа пентестер осуществляет сбор информации, представляющей интерес для анализа. В частности, это могут быть адреса внешнего периметра заказчика, включая веб-сайты и серверы. Сбор данных осуществляется на основе анализа как общедоступных источников информации, так и информации, предоставленной заказчиком, а также, в отдельных случаях, конфиденциальных сведений, полученных от третьих лиц. Заказчик может предоставить необходимую информацию непосредственно исполнителю в соответствии с условиями договора.
Идентификация уязвимостей.
На этом этапе применяются специализированные сканеры уязвимостей, которые могут дополнять друг друга, собственные разработки и утилиты.
Эксплуатация выявленных уязвимостей.
Данный этап предполагает использование творческого подхода со стороны пентестеров. Этичному хакеру необходимо избегать причинения ущерба инфраструктуре заказчика, поэтому на практике этот этап может быть пропущен. Эксплуатация уязвимостей осуществляется исключительно с согласия заказчика и при условии, что это не приведет к нарушению функционирования систем.
Анализ доступной информации.
На данном этапе осуществляется поиск конфиденциальной информации, которая может быть доступна рядовому пользователю, но не выведена на рабочий стол в явном виде.
Повышение уровня привилегий доступа.
Данный этап включает в себя эксплуатацию известных уязвимостей для повышения уровня привилегий доступа.
Повторный поиск информации с использованием повышенных привилегий.
В зависимости от условий технического задания, согласованного с заказчиком, может быть проведен повторный поиск информации с использованием повышенных прав доступа.
Предоставление итогового отчета и презентации по результатам.

Структура отчета

Используемые инструменты
Методология проведения тестирования
Выявленные уязвимости системы защиты
Список учетных записей, пароли которых были скомпрометированы
Комплекс мер по усилению системы защиты

Вас могут заинтересовать

Защита критической информационной инфраструктуры согласно 187-ФЗ

Комплексное обеспечение защиты объектов, значимых объектов КИИ в целях предотвращения угроз национальной безопасности, защиты жизни и здоровья граждан и сохранения устойчивой экономики страны.

Подробнее

Обеспечение соответствия стандартам РФ

Оценка и приведение системы информационной безопасности вашей компании в соответствие с требованиями стандартов РФ/ЦБ.

Подробнее

Аудит информационной безопасности

Независимая экспертная оценка уровня защищённости бизнеса. Позволяет выявить уязвимости ИТ-инфраструктуры, снизить риски атак, оптимизировать затраты, обеспечить соответствие требованиям законодательства и выстроить дорожную карту развития системы информационной безопасности в компании.

Подробнее

Продукты и решения информационной безопасности

Классы решений по ИБ и СЗИ, СКЗИ, а также ПО и аппаратно-программные комплексы для защиты бизнеса. Обеспечивают комплексную защиту всех элементов ИТ-инфраструктуры от различных видов атак и повышают управляемость системы информационной безопасности.

Подробнее

Аутсорсинг офисной печати

Управление корпоративными системами печати обеспечивает бесперебойное функционирование всей печатающей, копировальной и прочей оргтехники компании.

Подробнее

Лицензии и сертификаты Лицензии и сертификаты

Компетенции компании подтверждены лицензиями на проведение работ и оказания услуг

Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации. Регистрационный номер лицензии: Л024-00107-00/00580599. Бессрочно.
Лицензия ФСТЭК на деятельность по разработке и производству средств защиты конфиденциальной информации. Регистрационный номер лицензии: Л050-00107-00/00579712. Бессрочно.
Лицензия ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации. Работы, предусмотренные пунктами 12,13,14,17,18,20,21,22,23,25,26,27,28. №0009547. Бессрочно.

Роскомнадзор - услуги связи по передаче данных
Скачать файл
Роскомнадзор - телематические услуги связи
Скачать файл
Роскомнадзор - услуги связи по предоставлению каналов связи
Скачать файл

Мы знаем, что такое эффективное управление ИТ-услугами, и опираемся на признанные методы и рекомендации ITIL и ITSM. Качество оказания нами услуг ИТ-аутсорсинга подтверждено сертификатами

Сертификат № РОСС RU.C.04ША.СУУ.0028 о соответствии требованиям ГОСТ Р ИСО/МЭК 20000-1-2013 (ISO/IEC 20000-1:2011) действующей Системы управления услугами применительно к предоставлению услуг в области информационных технологий.
Сертификат № РОСС RU.C.04ША.СМИБ.0031 о соответствии требованиям стандарта ISO/IEC 27001:2013 действующей Системы менеджмента информационной безопасности применительно к предоставлению услуг в области информационных технологий.
Сертификат соответствия № РОСС RU.C.04ША.СК.1089. Выдан ООО "Онланта". Система менеджмента качества применительно к предоставлению услуг в области информационных технологий соответствует требованиям ГОСТ Р ИСО 9001-2015 (ISO 9001:2015).

Сертификат № РОСС RU.C.04ША.СУУ.0050

Система управления услугами применительно к предоставлению услуг в области информационных технологий

20000-1-2021 (ISO/IEC 20000-1:2018)
Скачать файл
Сертификат соответствия № РОСС RU.C.04ША.СК.2012

Система менеджмента качества применительно к предоставлению услуг в области информационных технологий соответствует требованиям ГОСТ Р

ИСО 9001-2015 (ISO 9001:2015)
Скачать файл
Сертификат соответствия № РОСС RU.С.04ША.СМИБ.0060

Система менеджмента информационной безопасности применительно к предоставлению услуг в области информационных технологий

27001-2021 (ISO/IEC 27001:2013)
Скачать файл