Пентест ИТ-инфраструктуры компании
Имитируем кибератаку для выявления уязвимостей, даём рекомендации по их устранению и обеспечиваем сопровождение их внедрения.
Пентест: что это и для чего нужен
Пентест инфраструктуры компании или тестирование на проникновение (Penetration test) — это контролируемая имитация кибератаки на публично доступные ресурсы компании: веб-приложения, почтовые серверы, VPN-шлюзы и сетевое оборудование. Его цель — комплексно выявить уязвимости до того, как ими воспользуются злоумышленники.
Услуга пентеста помогает выявить реальные сценарии взлома и снизить риск компрометации инфраструктуры.
Что входит в услугу пентеста:
Оценку защищенности внешнего периметра и проверку того, насколько эффективно он противостоит атакам
Поиск уязвимостей в публичных сервисах, веб-приложениях, базах данных, конфигурациях сетевого оборудования и любых других ресурсах, доступных из интернета
Предотвращение атак за счет своевременного обнаружения и устранения слабых мест, которые могли бы быть использованы реальными злоумышленниками
Оценку защищенности внешнего периметра и проверку того, насколько эффективно он противостоит атакам
Поиск уязвимостей в публичных сервисах, веб-приложениях, базах данных, конфигурациях сетевого оборудования и любых других ресурсах, доступных из интернета
Предотвращение атак за счет своевременного обнаружения и устранения слабых мест, которые могли бы быть использованы реальными злоумышленниками
Виды тестирования на проникновение
Пентест внешнего периметра
<p>Комплексное тестирование безопасности сетевой инфраструктуры, доступной извне, для выявления уязвимостей, которые могут быть использованы злоумышленниками. Имитируется реальная атака с целью оценки защищенности публичных сервисов и определения потенциальных точек проникновения в корпоративную сеть.</p>
Пентест внутреннего периметра
<p>Глубокое исследование защищенности внутренней сети организации, проводимое с позиции инсайдера или злоумышленника, уже получившего первичный доступ. Целью является обнаружение слабых мест в сегментации сети, конфигурации систем и политиках доступа, которые могут привести к горизонтальному перемещению и компрометации критически важных активов.</p>
Пентест мобильных приложений
<p>Всестороннее тестирование безопасности мобильных приложений (iOS и Android), включая анализ клиентской части, защищенности передачи данных и взаимодействия с серверными API. Проверяется корректность хранения конфиденциальных данных, устойчивость к реверс-инжинирингу и надежность механизмов аутентификации.</p>
Пентест веб-приложений
<p>Имитация атак на веб-приложения для обнаружения уязвимостей, таких как XSS, SQL-инъекции и ошибки логики, в соответствии с методологиями OWASP Top 10. Оценка включает анализ как фронтенда, так и бэкенда, а также защищенности пользовательских сессий и обработки входных данных.</p>
Пентест беспроводных сетей
<p>Проверка безопасности Wi-Fi инфраструктуры организации, направленная на выявление слабых мест в протоколах шифрования, конфигурации точек доступа и политиках доступа. Имитируются попытки несанкционированного подключения и перехвата трафика для оценки общего уровня защищенности беспроводного сегмента.</p>
Анализ кода на уязвимости
<p>Систематическое исследование исходного кода (SAST) и/или запущенного приложения (DAST) с использованием автоматизированных и ручных методов для обнаружения дефектов безопасности. Позволяет выявить уязвимости на ранних этапах разработки, прежде чем они будут внедрены в рабочую среду.</p>
Социальная инженерия
<p>Имитация целевых атак на сотрудников организации с использованием психологических манипуляций для получения конфиденциальной информации или несанкционированного доступа. Оценивается осведомленность персонала и устойчивость к фишингу, вишингу и другим векторам атак, основанных на человеческом факторе.</p>
Пентест внешнего периметра
Комплексное тестирование безопасности сетевой инфраструктуры, доступной извне, для выявления уязвимостей, которые могут быть использованы злоумышленниками. Имитируется реальная атака с целью оценки защищенности публичных сервисов и определения потенциальных точек проникновения в корпоративную сеть.
Пентест внутреннего периметра
Глубокое исследование защищенности внутренней сети организации, проводимое с позиции инсайдера или злоумышленника, уже получившего первичный доступ. Целью является обнаружение слабых мест в сегментации сети, конфигурации систем и политиках доступа, которые могут привести к горизонтальному перемещению и компрометации критически важных активов.
Пентест мобильных приложений
Всестороннее тестирование безопасности мобильных приложений (iOS и Android), включая анализ клиентской части, защищенности передачи данных и взаимодействия с серверными API. Проверяется корректность хранения конфиденциальных данных, устойчивость к реверс-инжинирингу и надежность механизмов аутентификации.
Пентест беспроводных сетей
Проверка безопасности Wi-Fi инфраструктуры организации, направленная на выявление слабых мест в протоколах шифрования, конфигурации точек доступа и политиках доступа. Имитируются попытки несанкционированного подключения и перехвата трафика для оценки общего уровня защищенности беспроводного сегмента.
Анализ кода на уязвимости
Систематическое исследование исходного кода (SAST) и/или запущенного приложения (DAST) с использованием автоматизированных и ручных методов для обнаружения дефектов безопасности. Позволяет выявить уязвимости на ранних этапах разработки, прежде чем они будут внедрены в рабочую среду.
Социальная инженерия
Имитация целевых атак на сотрудников организации с использованием психологических манипуляций для получения конфиденциальной информации или несанкционированного доступа. Оценивается осведомленность персонала и устойчивость к фишингу, вишингу и другим векторам атак, основанных на человеческом факторе.
Пентест внешнего периметра
Комплексное тестирование безопасности сетевой инфраструктуры, доступной извне, для выявления уязвимостей, которые могут быть использованы злоумышленниками. Имитируется реальная атака с целью оценки защищенности публичных сервисов и определения потенциальных точек проникновения в корпоративную сеть.
Кому нужно тестирование
Финансовый сектор (Банки)
Регулярный пентест необходим для соответствия требованиям Банка России (№802-П, №719-П, №757-П) и стандартам (ГОСТ 57580, PCI DSS). Периодичность — не реже раза в год.
Финтех-компании
Регулярное тестирование необходимо для защиты инновационных сервисов, проверки защищенности данных клиентов, поддержания доверия и соблюдения регуляторных требований.
Онлайн-бизнес и e-commerce
Тестирование для выявления и устранения рисков атак и утечек данных, обеспечения стабильности бизнеса.
Организации, относящиеся к КИИ
Пентест обязателен при вводе в эксплуатацию (Приказ ФСТЭК №239, Указ Президента №250) для гарантии устойчивости инфраструктуры.
Крупный и средний бизнес
Ежегодное тестирование для поддержания высокого уровня киберустойчивости в любых отраслях.
Разработчики ПО
Проверка приложений на уязвимости не реже раза в полгода и после крупных обновлений для обеспечения безопасности пользовательских данных.
Провайдеры услуг и инфраструктуры
Пентест для защиты клиентской информации, предотвращения простоев и минимизации финансовых рисков.
Промышленность
Критична защита удаленного доступа к SCADA/АСУ ТП для предотвращения несанкционированного вмешательства и остановки производства.
Финансовый сектор (Банки)
Регулярный пентест необходим для соответствия требованиям Банка России (№802-П, №719-П, №757-П) и стандартам (ГОСТ 57580, PCI DSS). Периодичность — не реже раза в год.
Финтех-компании
Регулярное тестирование необходимо для защиты инновационных сервисов, проверки защищенности данных клиентов, поддержания доверия и соблюдения регуляторных требований.
Онлайн-бизнес и e-commerce
Тестирование для выявления и устранения рисков атак и утечек данных, обеспечения стабильности бизнеса.
Организации, относящиеся к КИИ
Пентест обязателен при вводе в эксплуатацию (Приказ ФСТЭК №239, Указ Президента №250) для гарантии устойчивости инфраструктуры.
Крупный и средний бизнес
Ежегодное тестирование для поддержания высокого уровня киберустойчивости в любых отраслях.
Разработчики ПО
Проверка приложений на уязвимости не реже раза в полгода и после крупных обновлений для обеспечения безопасности пользовательских данных.
Провайдеры услуг и инфраструктуры
Пентест для защиты клиентской информации, предотвращения простоев и минимизации финансовых рисков.
Промышленность
Критична защита удаленного доступа к SCADA/АСУ ТП для предотвращения несанкционированного вмешательства и остановки производства.
Сроки и стоимость тестирования
Стоимость и сроки напрямую зависят от количества IP-адресов и опубликованных сервисов:
• до 10 IP-адресов - от 10 рабочих дней и от 200 тысяч рублей
• до 100 IP-адресов - от 15 рабочих дней и от 500 тысяч рублей
• до 200 IP-адресов - от 20 рабочих дней и индивидуальный расчет
• более 200 IP-адресов - индивидуальный расчет.
Наш опыт проведения пентестов
6+
лет опыта в пентесте
50+
проектов ежегодно
3
зарегистрированных CVE
2 место
на Standoff 25
6+
лет опыта в пентесте
50+
проектов ежегодно
3
зарегистрированных CVE
2 место
на Standoff 25
Команда ITG Security занимается тестированием на проникновение как отдельная компания с 2019 года. За это время специалисты провели сотни проектов по пентесту инфраструктуры, включая проверки внешнего периметра, веб-приложений, корпоративных сетей, Active Directory и проектов по социальной инженерии (фишшинг).
В среднем команда выполняет 50 и более проектов по тестированию на проникновение ежегодно, что позволяет накапливать практический опыт работы с различными архитектурами инфраструктуры и сценариями атак.
Наши специалисты также занимаются исследованием уязвимостей. По результатам этой работы было зарегистрировано 3 уязвимости в базе CVE. Включаяя специфическое ПО китайского производителя для узкоспециализированной промышленной АСУ ТП.
В 2025 году сотрудники компании участвовали в составе объединённой команды экспертов по информационной безопасности из коммерческих компаний в международных киберучениях Standoff 25, где команда заняла 2-е место.
Практический опыт пентестов и участие в киберучениях позволяет нашим специалистам моделировать реальные сценарии атак на инфраструктуру компаний и выявлять уязвимости, которые могут быть использованы злоумышленниками.
Этапы тестирования на проникновение
1. Планирование и определение области тестирования
Начальный этап включает в себя обсуждение с заказчиком и формализацию параметров тестирования. Определяются цели, область охвата (scope) и методология исследования. Устанавливаются границы тестирования, включая перечень систем и компонентов, подлежащих анализу, а также список критически важных элементов, которые должны быть исключены из активного воздействия или требуют особого режима взаимодействия.
2. Сбор информации
На этой фазе осуществляется пассивный и активный сбор данных о целевых ресурсах организации и ее инфраструктуре. Задача — собрать максимально полный объем информации из доступных открытых источников, без прямого эксплуатационного воздействия на системы. Собираемые данные включают:
- Используемые технологии, средства защиты и стек технологий.
- Сетевая архитектура, протоколы, службы и сервисы.
- Версии операционных систем и прикладного программного обеспечения.
- Обнаруженные сетевые порты и прочая техническая информация, необходимая для последующего анализа уязвимостей.
3. Анализ уязвимостей
Фаза исследования направлена на выявление потенциальных уязвимостей в целевой инфраструктуре. Проводится проверка серверов, сетевого оборудования, межсетевых экранов и приложений. Анализ включает:
- Поиск небезопасных настроек по умолчанию и ошибок конфигурации.
- Проверка механизмов аутентификации и авторизации на предмет слабости.
- Идентификация устаревшего или уязвимого программного обеспечения.
- Оценка использования слабых учетных данных и небезопасных протоколов. Для выявления уязвимостей используется комбинация автоматизированных сканеров и ручных методов глубокого анализа, что позволяет обнаружить как известные, так и специфические, логические уязвимости.
4. Использование уязвимостей
На этапе эксплуатации предпринимаются попытки использовать обнаруженные уязвимости для подтверждения их работоспособности и оценки реального риска. Основные цели:
- Получение первоначального доступа к целевому сетевому устройству или системе.
- Повышение привилегий (например, до уровня root/администратора).
- Постэксплуатационный анализ для оценки потенциального воздействия скомпрометированного элемента на остальную сетевую инфраструктуру.
- Попытки горизонтального перемещения по сети для демонстрации возможности доступа к внутренним сегментам или критическим подсетям. Этот процесс моделирует действия реального злоумышленника и позволяет оценить глубину возможного проникновения.
5. Отчет и стратегическое решение
Завершающий этап — это трансформация данных в стратегическое решение. Мы анализируем полученные результаты и составляем экспертный отчет. В нем мы не просто перечисляем уязвимости, а переводим технические риски на язык бизнес-метрик. Отчет содержит конкретные рекомендации по устранению, приоритезированные по степени критичности и потенциальному влиянию на бизнес. Мы предоставляем вам дорожную карту для повышения защищенности, гарантируя, что ваша инвестиция в безопасность принесет максимальную эффективность и уверенность в завтрашнем дне.
Содержание отчёта
Методики тестирования
Белый ящик (White Box)
Предполагает полное знание внутренней архитектуры, конфигурации и исходного кода тестируемой системы. Пентестеру предоставляется вся необходимая документация. Это наиболее ресурсоемкий метод, позволяющий провести детальный анализ и выявить уязвимости на уровне логики и кода, обеспечивая максимальную глубину проверки.
Чёрный ящик (Black Box)
Имитирует действия внешнего злоумышленника, не располагающего никакой предварительной информацией о целевой инфраструктуре. Пентестер самостоятельно собирает сведения, начиная с общедоступных данных. Этот подход максимально приближен к реальному сценарию атаки на внешний периметр, но может упустить специфические внутренние уязвимости.
Серый ящик (Gray Box)
Комбинированный подход, при котором специалист получает ограниченный набор данных о системе, например, доступ к учетной записи пользователя. Методология обеспечивает оптимальный баланс между глубиной анализа и реалистичностью моделирования атаки, позволяя эффективно протестировать системы с точки зрения пользователя с определенными привилегиями.
Как выбрать компанию для пентеста
При выборе поставщиков по тестированию на проникновение мы рекомендуем проверить эти особенности:
| Собственная команда и мы не используем субподрядчиков |
| Согласуемая модель тестирования и нарушителя, не влияющая на стоимость |
| Ручное тестирование систем, а не просто бездумное сканирование на уязвимости |
| В ходе проекта у вас будет оперативная связь с непосредственными Исполнителями, для решения различных вопросов и согласований |
| Перепроверка найденных уязвимостей после проекта - бесплатно в течение 14 дней |
| Запрещено использовать уязвимости типа DOS (отказ в обслуживании) без согласования с Заказчиком |
| Отчет понятный бизнесу, ИТ отделу и информационной безопасности, со скринами и подробными рекомендациями |
| Профессиональные сертификации пентестеров (OSCP, OSWE, eWPTX, BSCP, CEH и OSCE) - полученные не позднее 1 календарного года назад |
| Специалисты по тестированию на проникновение, на которых есть профессиональные сертификаты, находятся в штате Компании с официальной заработной платой |
| Льготные условия на мониторинг и реагирование на киберугрозы (SOC) |
ITG Security - это
Партнерство и сопровождение 24/7
Мы не исчезаем после сдачи Отчета. Остаемся на связи, помогаем разобрать результаты, провести презентацию работ перед руководством и консультируем вашу команду.
Подтвержденный опыт
10 лет практической работы, реальные кейсы клиентов и все необходимые лицензии ФСБ и ФСТЭК России.
Сертифицированные специалисты
Все виды пентеста выполняются экспертами с международными сертификатами OSCP, OSCE, OSWE, CEH, BSCP, eWPTX и другие.
Собственные методики тестирования
Более 30 уникальных методик проведения внешнего пентеста, разработанных внутренней командой.
Следование международным и отраслевым стандартам
Соответствие PCI DSS, 719-П, 757-П, 742-П, 802-П, 821-П и ГОСТ Р 57580, а также полное соответствие методическим рекомендация Банка России от 22 января 2025 г. № 2-МР (по проведения тестирования на проникновение)
Партнерство и сопровождение 24/7
Мы не исчезаем после сдачи Отчета. Остаемся на связи, помогаем разобрать результаты, провести презентацию работ перед руководством и консультируем вашу команду.
Подтвержденный опыт
10 лет практической работы, реальные кейсы клиентов и все необходимые лицензии ФСБ и ФСТЭК России.
Сертифицированные специалисты
Все виды пентеста выполняются экспертами с международными сертификатами OSCP, OSCE, OSWE, CEH, BSCP, eWPTX и другие.
Собственные методики тестирования
Более 30 уникальных методик проведения внешнего пентеста, разработанных внутренней командой.
Следование международным и отраслевым стандартам
Соответствие PCI DSS, 719-П, 757-П, 742-П, 802-П, 821-П и ГОСТ Р 57580, а также полное соответствие методическим рекомендация Банка России от 22 января 2025 г. № 2-МР (по проведения тестирования на проникновение)
Часто задаваемые вопросы
Чем пентест отличается от анализа защищенности и аудита ИБ?
Анализ защищенности позволяет найти все известные и неизвестные уязвимости в вашей ИТ-инфраструктуре Аудит ИБ позволяет оценить текущее состояние процессов информационной безопасности Клиента и получить объективную оценку их зрелости Пентест позволяет найти все известные и неизвестные уязвимости в вашей ИТ-инфраструктуре и выполнить атаки с их использованием.
Зачем нужен внешний пентест?
Основная цель внешнего пентеста — оценка эффективности существующих систем защиты и выявление уязвимостей, которые могут быть использованы злоумышленниками для получения несанкционированного доступа к конфиденциальной информации или нарушения работы ИТ-инфраструктуры. Атаки чаще всего происходят через внешний сетевой периметр, и пентест помогает найти возможные векторы атак до того, как их обнаружат реальные хакеры.
Какой результат я получу по итогам тестирования?
По завершении внешнего пентеста клиент получает подробный Отчет, который включает:
• Описание методологии, использованной в ходе тестирования.
• Список объектов, подвергшихся тестированию.
• Перечень всех выявленных уязвимостей с указанием их уровня критичности.
• Конкретные рекомендации по устранению обнаруженных уязвимостей и повышению общего уровня защищенности.
Как часто нужно проводить пентест?
Рекомендуется проводить тестирование внешнего периметра ежегодно. Кроме того, пентест обязательно следует проводить после любых значительных изменений в ИТ-инфраструктуре, таких как:
• Запуск нового веб-приложения или сервиса.
• Смена почтового или другого критически важного сервера.
• Внедрение нового сетевого оборудования.
• Внедрение средств удаленного доступа (например, при переходе сотрудников на удаленную работу).
Может ли пентест вызвать сбой в работе системы?
Профессиональный пентест проводится с минимальным риском. Мы используем строгие Правила Взаимодействия (RoE) и проводим тщательное планирование, чтобы предотвратить сбои. Однако, поскольку это симуляция атаки, небольшой риск существует. Мы всегда работаем в тесном контакте с вашей командой, чтобы минимизировать его.
Что делать, если в ходе теста будут найдены критические уязвимости?
Это и есть цель теста. Отчет будет содержать приоритезированные рекомендации по устранению. После того как ваша команда внесет исправления, мы проведем повторное тестирование (retest), чтобы убедиться, что все уязвимости были успешно закрыты.
Что влияет на стоимость пентеста?
Стоимость зависит от нескольких ключевых факторов:
• Объем (Scope): Количество IP-адресов, веб-приложений, API или мобильных приложений, которые нужно протестировать.
• Сложность: Уникальность архитектуры, использование нестандартных технологий.
• Тип тестирования: Например, "Black Box" (без предварительных знаний) обычно занимает больше времени, чем "White Box" (с полным доступом к коду и инфраструктуре).
• Требования к отчетности: Необходимость соответствия определенным стандартам (PCI DSS, ISO 27001 и т.д.).
