+ 7 495 120 29 24

Обратный звонок
Документация и загрузка
Внешнее тестирование на проникновение
Результаты
  • Отчёт с подтверждёнными уязвимостями и доказательствами эксплуатации.
  • Оценка рисков (CVSS/приоритет).
  • Рекомендации по устранению.
Следующие шаги:
Что требуется от заказчика
  • Список публичных IP, доменов, диапазонов.
  • Согласованные временные окна и разрешённые IP-адреса тестирующей стороны.
  • Контакт для экстренного уведомления.
Что включено
  • Разведка и анализ открытых сервисов (OSINT, DNS, IP-диапазоны).
  • Сканирование уязвимостей и ручная верификация результатов.
  • Эксплуатация уязвимостей и эскалация привилегий.
  • Подтверждение возможного доступа к внутренним системам.
  • Подготовка отчёта с PoC и рекомендациями.
Проверка защищенности внешней ИТ-инфраструктуры и публичных сервисов заказчика от атак извне. Цель — выявить уязвимости, которые могут быть использованы злоумышленником для доступа в сеть.
Рассмотреть внутренний пентест для комплексной оценки безопасности
внутреннее тестирование на проникновение
Результаты
  • Подробный отчёт о найденных уязвимостях.
  • Карта распространения атаки внутри сети.
  • Рекомендации по устранению и сегментации.
Следующие шаги:
Что требуется от заказчика
  • Точка доступа (VPN/виртуальная машина/физическое подключение).
  • Список приоритетных систем для теста.
  • Согласованные окна и контакт для уведомлений.
Что включено
  • Разведка и сканирование внутренней сети.
  • Поиск уязвимостей, слабых паролей, ошибок конфигурации.
  • Тестирование сегментации и lateral movement.
  • Повышение привилегий и анализ возможных точек выхода.
Анализ безопасности внутренней сети и систем организации с позиции злоумышленника, получившего доступ внутрь (например, через скомпрометированное устройство).
Добавить внешний пентест или нашу услугу Red Team 365 для комплексного покрытия.
аудит веб-приложения (черный/серый ящик)
Результаты
  • Отчёт с описанием и PoC уязвимостей.
  • Классификация по критичности.
  • Рекомендации по исправлению.
Следующие шаги:
Что требуется от заказчика
  • URL, тестовые учётные записи (если есть).
  • Описание бизнес-логики (по возможности).
  • Ограничения по нагрузке.
Что включено
  • Тестирование по OWASP Top 10.
  • Анализ механизма аутентификации и управления сессиями.
  • Проверка валидации данных, авторизации, логики.
  • Ручная проверка цепочек атак (fuzzing, bypass).
Оценка защищённости веб-приложения без доступа к исходному коду. Проверка типовых уязвимостей и ошибок бизнес-логики.
Провести аудит исходного кода для подтверждения глубинных проблем.
аудит веб-приложения (белый ящик)
Результаты
  • Отчёт с указанием файлов, строк и типов уязвимостей.
  • Конкретные рекомендации по исправлению кода.
  • Общие рекомендации по безопасной разработке.
Следующие шаги:
Что требуется от заказчика
  • Доступ к репозиторию или архиву исходников.
  • Инструкции сборки и тестовой среды.
Что включено
  • Статический анализ (SAST).
  • Проверка зависимостей и конфигураций.
  • Ручной код-ревью критичных участков.
  • Сопоставление результатов с OWASP/ASVS.
Глубокий анализ исходного кода веб-приложения с выявлением логических и архитектурных уязвимостей.
Выполнить повторное тестирование после исправлений.
аудит мобильного приложения (черный/серый ящик)
Результаты
  • Отчёт с найденными уязвимостями.
  • Рекомендации по безопасной реализации хранения и коммуникации.
Следующие шаги:
Что требуется от заказчика
  • Файлы APK/IPA.
  • Тестовые учётные записи и данные.
  • Информация о серверной стороне (по необходимости).
Что включено
  • Обратная сборка/деобфускация при возможности.
  • Анализ хранения данных и ключей.
  • Проверка HTTPS/TLS, авторизации, сессий.
  • Анализ взаимодействия с API.
Тестирование защищённости мобильного приложения без доступа к исходному коду. Анализ бинарных файлов и сетевых взаимодействий.
Провести аудит исходного кода для подтверждения глубинных проблем.
аудит мобильного приложения (белый ящик)
Результаты
  • Подробный отчёт с местами уязвимостей в коде.
  • Рекомендации по исправлению и безопасной разработке.
Следующие шаги:
Что требуется от заказчика
  • Исходный код, инструкции по сборке.
  • Тестовые данные и окружение (по возможности).
Что включено
  • Статический анализ исходного кода.
  • Проверка зависимостей, SDK и библиотек.
  • Анализ безопасности аутентификации, хранения данных и API.
  • Проверка ошибок конфигурации (debug, logging, TLS и т.д.).
Анализ исходного кода мобильного приложения для выявления архитектурных, логических и конфигурационных уязвимостей.
Выполнить повторный аудит после фиксов.
АУДИТ PCI DSS
Результаты
  • Матрица соответствия PCI DSS.
  • Список несоответствий и рекомендации по устранению.
  • План корректирующих действий.
Следующие шаги:
Что требуется от заказчика
  • Документация, схемы сети, перечень систем в зоне PCI.
  • Доступ для проверки (по согласованию).
Что включено
  • Определение зоны PCI (scope discovery).
  • Gap-анализ по каждому требованию стандарта.
  • Проверка политик, логов, конфигураций.
  • Подготовка отчёта и рекомендаций по устранению несоответствий.
Проверка соответствия процессов и инфраструктуры требованиям PCI DSS. Цель — выявление отклонений и формирование плана корректирующих действий.
Подготовка к официальному QSA-аудиту (при необходимости).
RED TEAM 365
Результаты
  • Отчёты об успешных атаках/детектировании.
  • Метрики времени реагирования.
  • План улучшения процессов защиты.
Следующие шаги:
Что требуется от заказчика
  • Доступ к телеметрии (SIEM/логам).
  • Контакты ответственных за ИБ и SOC.
  • Согласование правил уведомления.
Что включено
  • Имитация реальных сценариев атак в любое время по согласованию.
  • Постоянное наблюдение за защитными механизмами.
  • Проверка эффективности SOC и процессов реагирования.
  • Ежеквартальные отчёты и рекомендации по улучшению.
Программа круглогодичного тестирования на проникновение и проверки способности компании обнаруживать и реагировать на атаки.
Рассмотреть дополнение услугой «Менеджмент уязвимостей 365».
МЕНЕДЖМЕНТ УЯЗВИМОСТЕЙ 365
Результаты
  • Периодические отчёты об уязвимостях.
  • Динамика состояния безопасности.
  • Рекомендации по устранению и контроль исправлений.
Следующие шаги:
Что требуется от заказчика
  • Перечень активов (IP, домены, URL).
  • Контакт для приёма отчётов.
  • Согласованный график сканирования.
Что включено
  • Регулярные сканирования активов.
  • Автоматическое формирование отчётов с приоритетами.
  • Опциональная ручная верификация критичных уязвимостей.
  • Интеграция с системами трекинга по согласованию.
Постоянное сканирование и отслеживание состояния внешнего контура заказчика с регулярными автоматизированными отчётами.
Комбинировать с Red Team 365 для постоянного контроля защиты.
Made on
Tilda