Внешний пентест — тестирование на проникновение
Видим вашу инфраструктуру глазами современного киберпреступника и находим уязвимости внешнего периметра до того, как ими воспользуются злоумышленники.
Что мы проверяем:
- Внешнюю поверхность атаки компании
- Публично доступные веб-приложения, API и сетевые сервисы
- Точки входа, через которые возможен первоначальный доступ извне
- Ошибки конфигурации, повышающие риск компрометации
- Слабые места в механизмах аутентификации и разграничения доступа
- Возможности эксплуатации уязвимостей и развития атаки
- Риски доступа к чувствительным данным и критичным системам
- Неучтенные и забытые активы, доступные из интернета
Что мы находим:
- Утечки в открытых источниках
- Слабые пароли
- Доступные административные интерфейсы
- Уязвимое программного обеспечения
- Забытые тестовые стенды
- Не защищенный удаленный доступ и не только
Что мы проверяем:
- Внешнюю поверхность атаки компании
- Публично доступные веб-приложения, API и сетевые сервисы
- Точки входа, через которые возможен первоначальный доступ извне
- Ошибки конфигурации, повышающие риск компрометации
- Слабые места в механизмах аутентификации и разграничения доступа
- Возможности эксплуатации уязвимостей и развития атаки
- Риски доступа к чувствительным данным и критичным системам
- Неучтенные и забытые активы, доступные из интернета
Что мы находим:
- Утечки в открытых источниках
- Слабые пароли
- Доступные административные интерфейсы
- Уязвимое программного обеспечения
- Забытые тестовые стенды
- Не защищенный удаленный доступ и не только
Результаты сотрудничества с ITG Security
|
|
|
|
|
|
|
|
|
|
Наш подход к внешнему пентесту
Прямой диалог
Взаимодействие без менеджеров. Ваша команда работает в едином контексте с нашими ведущими пентестерами.
Приоритетное оповещение о критических угрозах
Мы не ждем финала проекта. Если обнаружена критическая уязвимость, вы получаете уведомление немедленно, чтобы успеть закрыть брешь до завершения работ.
Многоуровневая отчетность
Наши отчеты говорят на языке бизнеса и технологий одновременно. Мы готовим емкое резюме для топ-менеджмента и детализированную информацию для ИТ и ИБ отделов.
Вклад в мировую кибербезопасность
Обнаруживаем уязвимости нулевого дня. Являясь контрибьюторами базы CNA, мы повышаем уровень защищенности индустрии в глобальном масштабе.
Верификация исправлений
Мы не оставляем вас один на один с проблемой. После проведения правок наши эксперты проводят повторную проверку, подтверждая полное устранение рисков.
Бескомпромиссная глубина поиска
В 98% наших отчетов фиксируются уязвимости высокого и критического уровней. Мы не ищем легких путей и продолжаем анализ до полной отработки всех возможных сценариев компрометации.
Прямой диалог
Взаимодействие без менеджеров. Ваша команда работает в едином контексте с нашими ведущими пентестерами.
Приоритетное оповещение о критических угрозах
Мы не ждем финала проекта. Если обнаружена критическая уязвимость, вы получаете уведомление немедленно, чтобы успеть закрыть брешь до завершения работ.
Многоуровневая отчетность
Наши отчеты говорят на языке бизнеса и технологий одновременно. Мы готовим емкое резюме для топ-менеджмента и детализированную информацию для ИТ и ИБ отделов.
Вклад в мировую кибербезопасность
Обнаруживаем уязвимости нулевого дня. Являясь контрибьюторами базы CNA, мы повышаем уровень защищенности индустрии в глобальном масштабе.
Верификация исправлений
Мы не оставляем вас один на один с проблемой. После проведения правок наши эксперты проводят повторную проверку, подтверждая полное устранение рисков.
Бескомпромиссная глубина поиска
В 98% наших отчетов фиксируются уязвимости высокого и критического уровней. Мы не ищем легких путей и продолжаем анализ до полной отработки всех возможных сценариев компрометации.
Прямой диалог
Взаимодействие без менеджеров. Ваша команда работает в едином контексте с нашими ведущими пентестерами.
Сроки и стоимость
Стоимость услуги внешнего тестирования на проникновение формируется исходя из следующих постулатов:
- мы воссоздаем сложные многоуровневые атаки, с которыми сталкиваются крупные компании
- мы продолжаем атаку даже после того, как первый вектор найден
- оплата услуги берется за сотни часов интеллектуального поиска и ручного тестирования, а не за получение отчета из автоматического сканера
- до 10 IP-адресов - от 10 рабочих дней и от 200 тысяч рублей
- до 100 IP-адресов - от 15 рабочих дней и от 500 тысяч рублей
- до 200 IP-адресов - от 20 рабочих дней и индивидуальный расчет
- более 200 IP-адресов - индивидуальный расчет.
Стоимость услуги внешнего тестирования на проникновение формируется исходя из следующих постулатов:
- мы воссоздаем сложные многоуровневые атаки, с которыми сталкиваются крупные компании
- мы продолжаем атаку даже после того, как первый вектор найден
- оплата услуги берется за сотни часов интеллектуального поиска и ручного тестирования, а не за получение отчета из автоматического сканера
- до 10 IP-адресов - от 10 рабочих дней и от 200 тысяч рублей
- до 100 IP-адресов - от 15 рабочих дней и от 500 тысяч рублей
- до 200 IP-адресов - от 20 рабочих дней и индивидуальный расчет
- более 200 IP-адресов - индивидуальный расчет.
Экспертное заключение о киберустойчивости
Методология и границы тестирования
Детальная дорожная карта нашего исследования. Мы четко фиксируем методы и сценарии атак, чтобы вы были уверены в 100% охвате инфраструктуры и корректности финальных выводов.
Интеллектуальная карта уязвимостей
Подробное описание выявленных угроз для ваших финансов, конфиденциальных данных и репутации. Каждая уязвимость в отчете — это реальный бизнес-риск с анализом его влияния на устойчивость вашей компании
Доказательная база (PoC)
Демонстрация уязвимости в действии. Мы предоставляем неоспоримые доказательства возможности взлома без риска для доступности ваших сервисов.
Инструкции по реальной защите
Максимально конкретные рекомендации для ваших сотрудников по устранению угроз. Их выполнение позволит устранить уязвимости с первой попытки и минимизирует вероятность взлома вашей ИТ-инфраструктуры извне.
Стратегический план
Пошаговая очередность исправлений составлена так, чтобы вы могли закрыть критические бреши «быстрыми победами» (Quick Wins) и эффективно распределить бюджет на ИБ.
Executive Summary для руководства
Весь проект на одной странице. Краткий обзор ключевых рисков и необходимых шагов в терминах бизнеса, не требующий глубокого технического погружения и вектор необходимых инвестиций для высшего менеджмента.
Методология и границы тестирования
Детальная дорожная карта нашего исследования. Мы четко фиксируем методы и сценарии атак, чтобы вы были уверены в 100% охвате инфраструктуры и корректности финальных выводов.
Интеллектуальная карта уязвимостей
Подробное описание выявленных угроз для ваших финансов, конфиденциальных данных и репутации. Каждая уязвимость в отчете — это реальный бизнес-риск с анализом его влияния на устойчивость вашей компании
Доказательная база (PoC)
Демонстрация уязвимости в действии. Мы предоставляем неоспоримые доказательства возможности взлома без риска для доступности ваших сервисов.
Инструкции по реальной защите
Максимально конкретные рекомендации для ваших сотрудников по устранению угроз. Их выполнение позволит устранить уязвимости с первой попытки и минимизирует вероятность взлома вашей ИТ-инфраструктуры извне.
Стратегический план
Пошаговая очередность исправлений составлена так, чтобы вы могли закрыть критические бреши «быстрыми победами» (Quick Wins) и эффективно распределить бюджет на ИБ.
Executive Summary для руководства
Весь проект на одной странице. Краткий обзор ключевых рисков и необходимых шагов в терминах бизнеса, не требующий глубокого технического погружения и вектор необходимых инвестиций для высшего менеджмента.
Методология и границы тестирования
Детальная дорожная карта нашего исследования. Мы четко фиксируем методы и сценарии атак, чтобы вы были уверены в 100% охвате инфраструктуры и корректности финальных выводов.
Как извлечь максимум пользы из отчета ITG Security?
Трансформация данных в стратегию
Используйте отчет как «рентгеновский снимок» вашей защиты. Поймите не только «где болит», но и почему это произошло и к каким последствиям могло привести.
Проектирование дорожной карты
Создайте матрицу ответственности на основе наших приоритетов. Мы уже отранжировали уязвимости по критичности, вам остается только запустить процесс.
Точечная ликвидация уязвимостей
Исправляйте уязвимости быстро и качественно. Наши пошаговые рекомендации — это готовые ТЗ для ваших администраторов и программистов.
Гарантия результата
Не оставляйте место сомнениям. Повторное тестирование подтвердит успех проделанной работы и станет официальным свидетельством вашей киберустойчивости.
Этапы тестирования
Этап 1. Сбор информации и разведка
Формируем понимание целевой инфраструктуры через анализ открытых источников и наблюдение за внешним периметром. Мы изучаем домены, сетевые диапазоны и публично доступные сервисы, определяем какие системы доступны извне и какие технологии используются, чтобы получить целостное представление об атакуемой поверхности без вмешательства в работу систем.
Этап 2. Выявление уязвимостей
Анализируем обнаруженные сервисы и приложения на наличие слабых мест. Для этого сочетается автоматический поиск известных уязвимостей и ручная проверка логики работы систем, конфигураций и механизмов доступа, что позволяет находить как типовые ошибки, так и нестандартные сценарии, неочевидные для сканеров.
Этап 3. Эксплуатация уязвимостей
На этапе эксплуатации мы проверяем применимость найденных уязвимостей в условиях, приближенных к реальной атаке, но строго в согласованных рамках. Мы моделируем действия злоумышленника и проверяем, можно ли получить доступ, расширить его или объединить несколько слабых мест в цепочку, при этом сохраняя стабильность и целостность систем.
Этап 4. Анализ последствий
Оцениваем к каким результатам может привести успешная атака и какие ресурсы окажутся под угрозой. Анализируется возможный доступ к данным, учетным записям и внутренней инфраструктуре, а также влияние на ключевые процессы, чтобы связать технические находки с реальными рисками.
Этап 5. Отчет и рекомендации
Подготовка отчета, в котором результаты изложены понятным языком и расставлены по приоритетам. Мы описываем выявленные проблемы, подтверждаем их практическую значимость и даем конкретные рекомендации по устранению, чтобы результаты тестирования можно было сразу использовать для повышения уровня безопасности.
ITG Security - это
Безопасность бизнес-процессов во время пентеста
Работаем по SLA: моделируем реальные атаки без риска для доступности и стабильности ваших систем.
Взгляд глазами киберпреступника
Методология Black Box обеспечивает 100% реалистичный сценарий внешнего вторжения без подсказок с вашей стороны.
Защита ваших финансов
Концентрируемся на уязвимостях, которые несут финансовые риски. Наши сценарии атак учитывают бизнес-логику именно вашей отрасли.
Мировой стандарт экспертизы
В команде — только сертифицированные «белые» хакеры (OSCP, OSCE), знающие всё о современных методах обхода защиты.
Безопасность бизнес-процессов во время пентеста
Работаем по SLA: моделируем реальные атаки без риска для доступности и стабильности ваших систем.
Взгляд глазами киберпреступника
Методология Black Box обеспечивает 100% реалистичный сценарий внешнего вторжения без подсказок с вашей стороны.
Защита ваших финансов
Концентрируемся на уязвимостях, которые несут финансовые риски. Наши сценарии атак учитывают бизнес-логику именно вашей отрасли.
Мировой стандарт экспертизы
В команде — только сертифицированные «белые» хакеры (OSCP, OSCE), знающие всё о современных методах обхода защиты.
Профессиональные сертификации
Offensive Security Certified Professional (OSCP)
Практический экзамен 24 часа по взлому реальной сети в лабораторной среде с использованием Kali Linux. Требуется самостоятельное обнаружение уязвимостей, эксплуатация, повышение привилегий и составление отчета.
Burp Suite Certified Practitioner (BSCP)
Практический экзамен 4 часа от PortSwigger. Тестирование двух веб-приложений исключительно с использованием Burp Suite Professional. Проверяет глубокое владение инструментом и эксплуатацию уязвимостей веб-приложений.
Certified Ethical Hacker (CEH)
Теоретический экзамен 4 часа (multiple-choice). Охватывает широкий спектр тем: разведка, сканирование, эксплуатация уязвимостей, веб-, мобильные, облачные и IoT-системы. Базовый сертификат в области этичного хакинга.
Offensive Security Web Expert (OSWE)
Продвинутый экзамен 48 часов по white-box тестированию веб-приложений. Включает анализ исходного кода, построение цепочек уязвимостей и разработку собственных эксплойтов. Предназначен для специалистов с высоким уровнем подготовки в веб-безопасности.
Web Application Penetration Tester eXtreme (eWPTX)
Экспертный сертификат по black-box тестированию веб-приложений. 7 дней на выполнение задач и 7 дней на подготовку отчета. Включает обход защит (WAF), работу с API, сложные уязвимости и custom-эксплойты.
Нам доверяют
Часто задаваемые вопросы
Что такое внешний пентест?
Внешний пентест — это санкционированное моделирование атак на публичные сервисы и сетевую инфраструктуру компании со стороны интернета с целью выявить уязвимости и сценарии атак, которые могут привести к компрометации систем, утечке данных или нарушению работы бизнес-процессов. Работы проводятся по модели Black Box, специалисты не используют внутреннюю информацию и действуют так же, как реальный злоумышленник.
Чем отличается от автоматического сканирования?
Автоматическое сканирование выявляет потенциальные уязвимости на основе сигнатур и шаблонов.
Внешний пентест включает ручной анализ, проверку логики работы сервисов и построение цепочек атак, что позволяет определить, какие уязвимости действительно могут быть использованы на практике.
Может ли тест нарушить работу системы?
Мы заранее согласовываем границы и правила проведения работ, чтобы минимизировать риски для доступности сервисов. Эксплуатация уязвимостей, способная повлиять на стабильность системы, выполняется только по согласованию с заказчиком либо заменяется безопасными проверками.
Основная задача — повысить уровень защищённости, не нарушая работу бизнеса.
Сколько времени занимает тестирование?
Сроки зависят от количества объектов, сложности инфраструктуры и глубины проверки. В среднем внешний пентест занимает от 1 до 4 недель, включая анализ результатов и подготовку отчёта.
Точные сроки фиксируются на этапе согласования объёма работ.
