Тестирование на проникновение
Назначение
Узнайте об уязвимостях во внутренней и внешней инфраструктуре
Выясните, эффективны ли ваши механизмы безопасности
Получите представление о рисках и последствиях потенциальных атак
Проверьте защищенность инфраструктуры и приведите ее в соответствие требованиям регуляторов
Этапы работы
-
Выбираем подход к проведению тестирования на проникновение
-
Собираем информацию об объекте тестирования
-
Ищем уязвимости, выясняем возможности их эксплуатации и оцениваем последствия
-
Проверяем способы получения несанкционированного доступа к чувствительной информации
-
Разрабатываем рекомендации по устранению уязвимостей и повышению общего уровня защищенности компании
Наши проекты
Руководитель департамента безопасности обратился к нам, чтобы узнать о возможности проникновения в инфраструктуру банка через внешние IT-активы
- Собрали первичные сведения об инфраструктуре (IP-адреса, домены и др.) и данные из открытых источников (OSINT)
- Согласовали с банком объем работ и технологические окна для проведения тестирования
- Выявили критические уязвимости, проэксплуатировали их и получили доступ во внутреннюю инфраструктуру
- По согласованию с банком развили атаку во внутреннюю сеть, получив права администратора домена
- Подготовили отчет с рекомендациями по устранению уязвимостей
- Когда банк закрыл уязвимости, проверили корректность исправлений
За 1,5 недели проверили безопасность внешней инфраструктуры банка и выявили слабые места в ее защите, найдя способ получить доступ к транзакциям и персональным данным клиентов
Компания обнаружила несколько утечек данных. Руководитель отдела безопасности попросил проверить, может ли сотрудник кол-центра получить доступ к чувствительной для компании информации
- Получили доступ от компании во внутренние сегменты ее инфраструктуры
- Собрали данные об используемых технологиях, архитектуре и оборудовании
- Согласовали с компанией роль нарушителя и получили доступ во внутреннюю сеть
- Провели поиcк уязвимостей, выявили путь компрометации и получили доступ к критическим данным
- Подготовили отчет с рекомендациями и перечнем необходимых контролей безопасности
- Когда компания устранила уязвимости, проверили корректность исправлений
- Выявили недостатки в текущих контролях кибербезопасности
- Определили, как рядовой сотрудник может получить доступ к чувствительным для компании данным
- Помогли разработать контроли, уменьшающие этот риск
Наша команда
Задайте вопрос нашим экспертам
Вам также может подойти
Срок проведения — от 1 недели
- Собираем данные на основе открытых источников (OSINT)
- Ищем уязвимости вручную и с помощью автоматизированных сканеров
- Верифицируем полученные результаты
- Определяем возможности эксплуатации выявленных уязвимостей
- Разрабатываем рекомендации по устранению уязвимостей и повышению общего уровня защищенности компании
Срок проведения — от 2 недель
- Ищем уязвимости во внутренних службах и сервисах компании
- Проверяем внутренние контроли безопасности
- Проверяем корректность настройки сетевых сервисов
- Определяем возможности получения несанкционированного доступа к чувствительной информации
- Разрабатываем рекомендации по устранению выявленных уязвимостей