Пентест — проверка защищенности ИТ-инфраструктуры
Имитируем кибератаку для выявления уязвимостей, даём рекомендации по их устранению и обеспечиваем сопровождение их внедрения
Пентест: что это и для чего нужен
Пентест или тестирование на проникновение (Penetration test) — это контролируемая имитация кибератаки на публично доступные ресурсы компании: веб-приложения, почтовые серверы, VPN-шлюзы и сетевое оборудование. Его цель — комплексно выявить уязвимости до того, как ими воспользуются злоумышленники.
Основные задачи внешнего тестирования на проникновение включают:
Оценку защищенности внешнего периметра и проверку того, насколько эффективно он противостоит атакам
Поиск уязвимостей в публичных сервисах, веб-приложениях, базах данных, конфигурациях сетевого оборудования и любых других ресурсах, доступных из интернета
Предотвращение атак за счет своевременного обнаружения и устранения слабых мест, которые могли бы быть использованы реальными злоумышленниками
Оценку защищенности внешнего периметра и проверку того, насколько эффективно он противостоит атакам
Поиск уязвимостей в публичных сервисах, веб-приложениях, базах данных, конфигурациях сетевого оборудования и любых других ресурсах, доступных из интернета
Предотвращение атак за счет своевременного обнаружения и устранения слабых мест, которые могли бы быть использованы реальными злоумышленниками
Виды тестирования на проникновение
Пентест внешнего периметра
Комплексное тестирование безопасности сетевой инфраструктуры, доступной извне, для выявления уязвимостей, которые могут быть использованы злоумышленниками. Имитируется реальная атака с целью оценки защищенности публичных сервисов и определения потенциальных точек проникновения в корпоративную сеть.
Пентест внутреннего периметра
Глубокое исследование защищенности внутренней сети организации, проводимое с позиции инсайдера или злоумышленника, уже получившего первичный доступ. Целью является обнаружение слабых мест в сегментации сети, конфигурации систем и политиках доступа, которые могут привести к горизонтальному перемещению и компрометации критически важных активов.
Пентест мобильных приложений
Всестороннее тестирование безопасности мобильных приложений (iOS и Android), включая анализ клиентской части, защищенности передачи данных и взаимодействия с серверными API. Проверяется корректность хранения конфиденциальных данных, устойчивость к реверс-инжинирингу и надежность механизмов аутентификации.
Пентест веб-приложений
Имитация атак на веб-приложения для обнаружения уязвимостей, таких как XSS, SQL-инъекции и ошибки логики, в соответствии с методологиями OWASP Top 10. Оценка включает анализ как фронтенда, так и бэкенда, а также защищенности пользовательских сессий и обработки входных данных.
Пентест беспроводных сетей
Проверка безопасности Wi-Fi инфраструктуры организации, направленная на выявление слабых мест в протоколах шифрования, конфигурации точек доступа и политиках доступа. Имитируются попытки несанкционированного подключения и перехвата трафика для оценки общего уровня защищенности беспроводного сегмента.
Анализ кода на уязвимости
Систематическое исследование исходного кода (SAST) и/или запущенного приложения (DAST) с использованием автоматизированных и ручных методов для обнаружения дефектов безопасности. Позволяет выявить уязвимости на ранних этапах разработки, прежде чем они будут внедрены в рабочую среду.
Социальная инженерия
Имитация целевых атак на сотрудников организации с использованием психологических манипуляций для получения конфиденциальной информации или несанкционированного доступа. Оценивается осведомленность персонала и устойчивость к фишингу, вишингу и другим векторам атак, основанных на человеческом факторе.
Пентест внешнего периметра
Комплексное тестирование безопасности сетевой инфраструктуры, доступной извне, для выявления уязвимостей, которые могут быть использованы злоумышленниками. Имитируется реальная атака с целью оценки защищенности публичных сервисов и определения потенциальных точек проникновения в корпоративную сеть.
Пентест внутреннего периметра
Глубокое исследование защищенности внутренней сети организации, проводимое с позиции инсайдера или злоумышленника, уже получившего первичный доступ. Целью является обнаружение слабых мест в сегментации сети, конфигурации систем и политиках доступа, которые могут привести к горизонтальному перемещению и компрометации критически важных активов.
Пентест мобильных приложений
Всестороннее тестирование безопасности мобильных приложений (iOS и Android), включая анализ клиентской части, защищенности передачи данных и взаимодействия с серверными API. Проверяется корректность хранения конфиденциальных данных, устойчивость к реверс-инжинирингу и надежность механизмов аутентификации.
Пентест веб-приложений
Имитация атак на веб-приложения для обнаружения уязвимостей, таких как XSS, SQL-инъекции и ошибки логики, в соответствии с методологиями OWASP Top 10. Оценка включает анализ как фронтенда, так и бэкенда, а также защищенности пользовательских сессий и обработки входных данных.
Пентест беспроводных сетей
Проверка безопасности Wi-Fi инфраструктуры организации, направленная на выявление слабых мест в протоколах шифрования, конфигурации точек доступа и политиках доступа. Имитируются попытки несанкционированного подключения и перехвата трафика для оценки общего уровня защищенности беспроводного сегмента.
Анализ кода на уязвимости
Систематическое исследование исходного кода (SAST) и/или запущенного приложения (DAST) с использованием автоматизированных и ручных методов для обнаружения дефектов безопасности. Позволяет выявить уязвимости на ранних этапах разработки, прежде чем они будут внедрены в рабочую среду.
Социальная инженерия
Имитация целевых атак на сотрудников организации с использованием психологических манипуляций для получения конфиденциальной информации или несанкционированного доступа. Оценивается осведомленность персонала и устойчивость к фишингу, вишингу и другим векторам атак, основанных на человеческом факторе.
Пентест внешнего периметра
Комплексное тестирование безопасности сетевой инфраструктуры, доступной извне, для выявления уязвимостей, которые могут быть использованы злоумышленниками. Имитируется реальная атака с целью оценки защищенности публичных сервисов и определения потенциальных точек проникновения в корпоративную сеть.
Кому нужно тестирование
Финансовый сектор (Банки)
Регулярный пентест необходим для соответствия требованиям Банка России (№802-П, №719-П, №757-П) и стандартам (ГОСТ 57580, PCI DSS). Периодичность — не реже раза в год.
Финтех-компании
Регулярное тестирование необходимо для защиты инновационных сервисов, проверки защищенности данных клиентов, поддержания доверия и соблюдения регуляторных требований.
Онлайн-бизнес и e-commerce
Тестирование для выявления и устранения рисков атак и утечек данных, обеспечения стабильности бизнеса.
Организации, относящиеся к КИИ
Пентест обязателен при вводе в эксплуатацию (Приказ ФСТЭК №239, Указ Президента №250) для гарантии устойчивости инфраструктуры.
Крупный и средний бизнес
Ежегодное тестирование для поддержания высокого уровня киберустойчивости в любых отраслях.
Разработчики ПО
Проверка приложений на уязвимости не реже раза в полгода и после крупных обновлений для обеспечения безопасности пользовательских данных.
Провайдеры услуг и инфраструктуры
Пентест для защиты клиентской информации, предотвращения простоев и минимизации финансовых рисков.
Промышленность
Критична защита удаленного доступа к SCADA/АСУ ТП для предотвращения несанкционированного вмешательства и остановки производства.
Финансовый сектор (Банки)
Регулярный пентест необходим для соответствия требованиям Банка России (№802-П, №719-П, №757-П) и стандартам (ГОСТ 57580, PCI DSS). Периодичность — не реже раза в год.
Финтех-компании
Регулярное тестирование необходимо для защиты инновационных сервисов, проверки защищенности данных клиентов, поддержания доверия и соблюдения регуляторных требований.
Онлайн-бизнес и e-commerce
Тестирование для выявления и устранения рисков атак и утечек данных, обеспечения стабильности бизнеса.
Организации, относящиеся к КИИ
Пентест обязателен при вводе в эксплуатацию (Приказ ФСТЭК №239, Указ Президента №250) для гарантии устойчивости инфраструктуры.
Крупный и средний бизнес
Ежегодное тестирование для поддержания высокого уровня киберустойчивости в любых отраслях.
Разработчики ПО
Проверка приложений на уязвимости не реже раза в полгода и после крупных обновлений для обеспечения безопасности пользовательских данных.
Провайдеры услуг и инфраструктуры
Пентест для защиты клиентской информации, предотвращения простоев и минимизации финансовых рисков.
Промышленность
Критична защита удаленного доступа к SCADA/АСУ ТП для предотвращения несанкционированного вмешательства и остановки производства.
Этапы тестирования на проникновение
Планирование и определение области тестирования
Начальный этап включает в себя обсуждение с заказчиком и формализацию параметров тестирования. Определяются цели, область охвата (scope) и методология исследования. Устанавливаются границы тестирования, включая перечень систем и компонентов, подлежащих анализу, а также список критически важных элементов, которые должны быть исключены из активного воздействия или требуют особого режима взаимодействия.
Сбор информации
На этой фазе осуществляется пассивный и активный сбор данных о целевых ресурсах организации и ее инфраструктуре. Задача — собрать максимально полный объем информации из доступных открытых источников, без прямого эксплуатационного воздействия на системы. Собираемые данные включают:
- Используемые технологии, средства защиты и стек технологий.
- Сетевая архитектура, протоколы, службы и сервисы.
- Версии операционных систем и прикладного программного обеспечения.
- Обнаруженные сетевые порты и прочая техническая информация, необходимая для последующего анализа уязвимостей.
Анализ уязвимостей
Фаза исследования направлена на выявление потенциальных уязвимостей в целевой инфраструктуре. Проводится проверка серверов, сетевого оборудования, межсетевых экранов и приложений. Анализ включает:
- Поиск небезопасных настроек по умолчанию и ошибок конфигурации.
- Проверка механизмов аутентификации и авторизации на предмет слабости.
- Идентификация устаревшего или уязвимого программного обеспечения.
- Оценка использования слабых учетных данных и небезопасных протоколов. Для выявления уязвимостей используется комбинация автоматизированных сканеров и ручных методов глубокого анализа, что позволяет обнаружить как известные, так и специфические, логические уязвимости.
Использование уязвимостей
На этапе эксплуатации предпринимаются попытки использовать обнаруженные уязвимости для подтверждения их работоспособности и оценки реального риска. Основные цели:
- Получение первоначального доступа к целевому сетевому устройству или системе.
- Повышение привилегий (например, до уровня root/администратора).
- Постэксплуатационный анализ для оценки потенциального воздействия скомпрометированного элемента на остальную сетевую инфраструктуру.
- Попытки горизонтального перемещения по сети для демонстрации возможности доступа к внутренним сегментам или критическим подсетям. Этот процесс моделирует действия реального злоумышленника и позволяет оценить глубину возможного проникновения.
Отчет и стратегическое решение
Завершающий этап — это трансформация данных в стратегическое решение. Мы анализируем полученные результаты и составляем экспертный отчет. В нем мы не просто перечисляем уязвимости, а переводим технические риски на язык бизнес-метрик. Отчет содержит конкретные рекомендации по устранению, приоритезированные по степени критичности и потенциальному влиянию на бизнес. Мы предоставляем вам дорожную карту для повышения защищенности, гарантируя, что ваша инвестиция в безопасность принесет максимальную эффективность и уверенность в завтрашнем дне.
Содержание отчёта
Методики тестирования
Белый ящик (White Box)
Предполагает полное знание внутренней архитектуры, конфигурации и исходного кода тестируемой системы. Пентестеру предоставляется вся необходимая документация. Это наиболее ресурсоемкий метод, позволяющий провести детальный анализ и выявить уязвимости на уровне логики и кода, обеспечивая максимальную глубину проверки.
Чёрный ящик (Black Box)
Имитирует действия внешнего злоумышленника, не располагающего никакой предварительной информацией о целевой инфраструктуре. Пентестер самостоятельно собирает сведения, начиная с общедоступных данных. Этот подход максимально приближен к реальному сценарию атаки на внешний периметр, но может упустить специфические внутренние уязвимости.
Серый ящик (Gray Box)
Комбинированный подход, при котором специалист получает ограниченный набор данных о системе, например, доступ к учетной записи пользователя. Методология обеспечивает оптимальный баланс между глубиной анализа и реалистичностью моделирования атаки, позволяя эффективно протестировать системы с точки зрения пользователя с определенными привилегиями.
Сроки тестирования
Цена и сроки напрямую зависят от количества IP-адресов
• до 10 IP-адресов - от 10 рабочих дней.
• до 100 IP-адресов - от 15 рабочих дней.
• до 200 IP-адресов - от 20 рабочих дней.
• более 200 IP-адресов - индивидуальный расчет.
Преимущества ITG Security
Финансовая защита от киберугроз
Возмещаем прямые убытки и сопутствующие расходы компании, вызванные реализацией информационных угроз.
Подтвержденный опыт
10 лет практической работы, реальные кейсы клиентов и все необходимые лицензии ФСБ и ФСТЭК России.
Сертифицированные специалисты
Все виды пентеста выполняются экспертами с международными сертификатами OSCP, OSCE, OSWE, CEH, BSCP, eWPTX и другие.
Собственные методики тестирования
Более 30 уникальных методик проведения внешнего пентеста, разработанных внутренней командой.
Следование международным и отраслевым стандартам
Соответствие PCI DSS, 719-П, 757-П, 742-П, 802-П, 821-П и ГОСТ Р 57580, а также полное соответствие методическим рекомендация Банка России от 22 января 2025 г. № 2-МР (по проведения тестирования на проникновение)
Финансовая защита от киберугроз
Возмещаем прямые убытки и сопутствующие расходы компании, вызванные реализацией информационных угроз.
Подтвержденный опыт
10 лет практической работы, реальные кейсы клиентов и все необходимые лицензии ФСБ и ФСТЭК России.
Сертифицированные специалисты
Все виды пентеста выполняются экспертами с международными сертификатами OSCP, OSCE, OSWE, CEH, BSCP, eWPTX и другие.
Собственные методики тестирования
Более 30 уникальных методик проведения внешнего пентеста, разработанных внутренней командой.
Следование международным и отраслевым стандартам
Соответствие PCI DSS, 719-П, 757-П, 742-П, 802-П, 821-П и ГОСТ Р 57580, а также полное соответствие методическим рекомендация Банка России от 22 января 2025 г. № 2-МР (по проведения тестирования на проникновение)
Часто задаваемые вопросы
Чем пентест отличается от анализа защищенности и аудита ИБ?
Анализ защищенности позволяет найти все известные и неизвестные уязвимости в вашей ИТ-инфраструктуре Аудит ИБ позволяет оценить текущее состояние процессов информационной безопасности Клиента и получить объективную оценку их зрелости Пентест позволяет найти все известные и неизвестные уязвимости в вашей ИТ-инфраструктуре и выполнить атаки с их использованием.
Зачем нужен внешний пентест?
Основная цель внешнего пентеста — оценка эффективности существующих систем защиты и выявление уязвимостей, которые могут быть использованы злоумышленниками для получения несанкционированного доступа к конфиденциальной информации или нарушения работы ИТ-инфраструктуры. Атаки чаще всего происходят через внешний сетевой периметр, и пентест помогает найти возможные векторы атак до того, как их обнаружат реальные хакеры.
Какой результат я получу по итогам тестирования?
По завершении внешнего пентеста клиент получает подробный Отчет, который включает:
• Описание методологии, использованной в ходе тестирования.
• Список объектов, подвергшихся тестированию.
• Перечень всех выявленных уязвимостей с указанием их уровня критичности.
• Конкретные рекомендации по устранению обнаруженных уязвимостей и повышению общего уровня защищенности.
Как часто нужно проводить пентест?
Рекомендуется проводить тестирование внешнего периметра ежегодно. Кроме того, пентест обязательно следует проводить после любых значительных изменений в ИТ-инфраструктуре, таких как:
• Запуск нового веб-приложения или сервиса.
• Смена почтового или другого критически важного сервера.
• Внедрение нового сетевого оборудования.
• Внедрение средств удаленного доступа (например, при переходе сотрудников на удаленную работу).
Может ли пентест вызвать сбой в работе системы?
Профессиональный пентест проводится с минимальным риском. Мы используем строгие Правила Взаимодействия (RoE) и проводим тщательное планирование, чтобы предотвратить сбои. Однако, поскольку это симуляция атаки, небольшой риск существует. Мы всегда работаем в тесном контакте с вашей командой, чтобы минимизировать его.
Что делать, если в ходе теста будут найдены критические уязвимости?
Это и есть цель теста. Отчет будет содержать приоритезированные рекомендации по устранению. После того как ваша команда внесет исправления, мы проведем повторное тестирование (retest), чтобы убедиться, что все уязвимости были успешно закрыты.
Что влияет на стоимость пентеста?
Стоимость зависит от нескольких ключевых факторов:
• Объем (Scope): Количество IP-адресов, веб-приложений, API или мобильных приложений, которые нужно протестировать.
• Сложность: Уникальность архитектуры, использование нестандартных технологий.
• Тип тестирования: Например, "Black Box" (без предварительных знаний) обычно занимает больше времени, чем "White Box" (с полным доступом к коду и инфраструктуре).
• Требования к отчетности: Необходимость соответствия определенным стандартам (PCI DSS, ISO 27001 и т.д.).
