Тестування на проникнення

Ми є постачальниками послуг зовнішнього та внутрішнього тестування на проникнення в мережу, які можуть допомогти виявити вразливості раніше, ніж це зроблять «справжні» хакери. ● Тест на проникнення виконується за допомогою інструментів автоматизації та вручну інженером-експертом.● Після завершення тесту на проникнення ми виявимо ваші прогалини в безпеці та надамо вам рекомендації щодо контрзаходів.● Ми перевіримо всі внесені зміни, щоб переконатися, що наші рекомендації впроваджено та працюють належним чином.

Навіщо потрібен тест на проникнення?

Існує два види бізнесу:1) ті, які вже були зламані 2) ті, які ще не зламаніЩоб ефективно захистити себе від хакерських атак, тести на проникнення можуть дати чітку картину стану безпеки системи. Ми наводимо шість причин, чому компаніям потрібні регулярні пентести.

Захист даних та інтелектуальної власності

Тест на проникнення виявляє слабкі місця та перевіряє, наскільки система вразлива. Разом із клієнтом вживаються заходи безпеки для захисту даних у разі фактичної хакерської атаки.

Захист від репутаційних втрат

Тест на проникнення, проведений незалежною третьою стороною, знижує ризик атаки і таким чином захищає від можливої втрати репутації.

Виконання юридичних зобов'язань

Конфіденційні дані потребують особливого захисту. У контексті управління ІТ численні законодавчі вимоги вимагають належної роботи системи управління інформаційною безпекою.

shieldCreated with Sketch.

Рекомендації щодо захисних заходів

Після проведення пентесту ми надаємо докладний звіт, який дає змогу вашій групі ІТ-менеджерів зрозуміти ризики поточної ситуації та рекомендації щодо конкретних заходів безпеки.

Управління якістю

Багато компаній створюють внутрішні системи управління якістю, щоб забезпечити якість послуг і продуктів. На додаток до перевірки коду для програмних продуктів, тестування на проникнення можна використовувати для перевірки та вимірювання надійності інформаційних технологій.

Сертифікація 

Для певних галузей і процесів необхідно відповідати стандартам. Наприклад, компанії, які здійснюють операції з кредитними картками, повинні відповідати стандарту безпеки даних GDPR, ISO 27001, SOC 2. Щоб досягти відповідності, необхідно перевірити системи незалежною третьою стороною. Рівень безпеки, підтверджений тестом на проникнення, тут є явною конкурентною перевагою.

Що ви отримаєте, пройшовши тест на проникнення?

Пентест дасть вам чітке уявлення про те, де ваші ІТ-системи добре захищені, а де ні, і, перш за все, у яких місцях вам все ще бракує ІТ-безпеки.

Види та моделі тестування на проникнення

Існує кілька типів тестування на проникнення, і метод, що застосовується, багато в чому залежить від цілей клієнта і бажаного рівня знань, отриманих після тесту. Кваліфіковані фахівці ESKA можуть перевірити та протестувати вразливості всіх типів у різних напрямках інфраструктури.

    Web Application Penetration Testing. Пентест веб-додатків або перевірка веб-додатків на вразливості, дозволяє ідентифікувати потенційні загрози та усунути прогалини безпеки. Тестування безпеки веб-додатків включає оцінку захищеності від зовнішніх та внутрішніх атак, що гарантує надійність вашого сайту.

    Mobile Penetration Testing. Пентест мобільних додатків виявляє вразливості у мобільних додатках та рівень захисту даних користувачів. Тестування безпеки мобільних додатків передбачає перевірку на проникнення для забезпечення відповідності стандартам кібербезпеки.

    Blockchain Penetration Testing. Пентест блокчейн-рішень дозволяє оцінити захищеність блокчейн технологій, виявляючи слабкі місця та ризики зламу. Тестування безпеки блокчейн-платформ гарантує безпеку децентралізованих систем.

    E-commerce Penetration Testing. Пентест інтернет-магазину спрямований на забезпечення безпеки даних клієнтів та транзакцій. Перевірка e-commerce систем на вразливості допомагає уникнути атак та зберегти репутацію вашого бізнесу.


    Network Penetration Testing (External, Internal) Пентест мережі включає оцінку як зовнішніх, так і внутрішніх загроз для визначення рівня захищеності мережевої інфраструктури. Оцінка безпеки мережі дозволяє запобігти несанкціонованим доступам та кібератакам.

    Wireless Penetration Test. Пентест бездротової мережі оцінює ризики, пов’язані з використанням Wi-Fi та інших бездротових технологій. Перевірка Wi-Fi мереж на проникнення допомагає забезпечити захист корпоративних мереж від загроз.

    ICS/SCADA Penetration Testing. Пентест SCADA систем забезпечує оцінку вразливостей критичних інфраструктур та промислових мереж. Захист SCADA рішень від можливих атак є важливим для безперебійної роботи промислових об’єктів.

    Cloud Penetration Testing. Пентест хмарних рішень допомагає визначити рівень захищеності хмарних сервісів та інфраструктур. Тестування хмарного середовища дозволяє запобігти витоку даних та підвищити рівень безпеки.

    Phishing Attack Simulation. Симуляція фішингових атак дозволяє перевірити готовність співробітників до загроз та навчити їх розпізнавати фішингові повідомлення. Це ефективний спосіб підвищити кіберсвідомість в організації.

    Social Engineering Testing. Тестування на соціальну інженерію імітує атаки, спрямовані на маніпуляцію співробітниками для отримання конфіденційних даних. Це дозволяє перевірити людський фактор у кібербезпеці.

    Physical penetration Testing. Фізичний пентест спрямований на виявлення вразливостей у фізичній безпеці об’єктів. Перевірка включає оцінку захищеності доступу до приміщень та обладнання.

    API Penetration Testing. Пентест API гарантує безпеку інтеграцій та з’єднань між різними системами. Перевірка API на вразливості допомагає уникнути атак на рівні комунікації.

    SaaS/PaaS Platform Penetration Testing. Пентест SaaS і PaaS платформ спрямований на виявлення вразливостей у хмарних сервісах та забезпечення їхньої надійності. Тестування безпеки PaaS гарантує захист конфіденційних даних користувачів.

    IoT Penetration Testing. Пентест IoT пристроїв допомагає виявити слабкі місця в інтернет-речей, забезпечуючи захист даних та безпеку пристроїв. Тестування безпеки IoT включає перевірку на вразливості та ризики компрометації.

Тестування на проникнення vs Red Team

Тест на проникнення та Red Team — це дві різні процедури кібербезпеки, які використовуються для оцінки системи безпеки компанії та її зміцнення. Хоча вони обидві включають спроби використання вразливостей, але відрізняються масштабом, підходом і цілями. Важливо відзначити, що хоча тести на проникнення є більш цілеспрямованими та зосереджені на конкретних вразливостях, Red Teaming використовує ширший підхід, намагаючись оцінити загальну стійкість організації до складних атак. Обидві функції є цінними компонентами комплексної стратегії кібербезпеки, кожна з яких забезпечує чітке розуміння стану безпеки організації.

Тестування на проникнення

    Сфера застосування: Тестування на проникнення є контрольованим моделюванням кібератаки в реальному світі на певну ціль або систему. Він зосереджений на оцінці безпеки окремих активів, програм або мереж.
    Підхід: Пентестери використовують систематичний підхід для виявлення та використання вразливостей у цілі. Вони використовують різні інструменти, техніки та методології, щоб імітувати дії справжніх зловмисників і отримати несанкціонований доступ до системи.
    Мета: головна мета тесту на проникнення – виявити слабкі місця безпеки та оцінити потенційний вплив їх успішного використання хакерами. Висновки задокументовано у детальному звіті з рекомендаціями щодо виправлення.

Red Team

    Сфера застосування: Red Teaming — це більш комплексна та стратегічна оцінка, яка визначає загальний стан безпеки організації. Це передбачає моделювання реальної кіберзагрози з урахуванням усіх можливих векторів атак, включаючи соціальну інженерію, фізичну безпеку та технічні вразливості.
    Підхід: Навчання Red Team проводяться командою кваліфікованих професіоналів з кібербезпеки, які діють як справжній супротивник, намагаючись зламати захист організації будь-якими засобами. Це може включати поєднання цифрових атак, фізичного проникнення та тактик соціальної інженерії.
    Мета: Основна мета навчань Red Team — надати цілісне уявлення про готовність організації та можливості реагування на прогресивні та постійні загрози. Це допомагає виявити потенційні прогалини, слабкі місця в процесах і області, які потребують покращення.

Чому варто вибрати ESKA для здійснення пентесту? 

Ви все ще вагаєтесь, чи варто співпрацювати з нами? Перегляньте 6 причин, чому варто обрати саме нас серед інших компаній!

Досвід

Ми маємо 8+ років досвіду роботи на ринку кібербезпеки.

Довіра

Нам довіряють понад 200 компаній (включаючи урядові та міжнародні корпорації).

Експертиза

У нас працюють сертифіковані фахівці, готові до найскладніших викликів.

Надійність

Ми надаємо не просто звіт із незрозумілим переліком питань. Ми завжди вручну перевіряємо вразливість і пояснюємо, яким чином і як її закрити.

Підтримка

ESKA це не просто підрядник, це ваш партнер, тому ми завжди готові допомогти в майбутньому. Якщо це необхідно, ми можемо надати розробника, який може виправити вашу вразливість. Ми завжди зосереджені на довготривалих стосунках і успіху клієнтів!

Актуальність

Ми завжди використовуємо найсучасніші технології та інструменти.

Клієнти, які в безпеці разом з ESKA

Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration
Illustration

Робочий процес

Тест на проникнення зазвичай ділиться шість етапів:

Етапи 2 - 4 зазвичай повторюються декілька разів.Фактичний пентест зазвичай починається зі сканування мережі.

Методології, які ми використовуємо

  • Етап 1. Підготовка

    Дослідження всіх артефактів і ресурсів, пов’язаних із замовником (доменні імена, IP-адреси, сторонні ресурси), у тому числі з Darknet.
    Узгодження цілей випробувань, обсягу, методів випробувань та інструментів.

  • Етап 2. Сканування

    На цьому етапі шукаємо відкриті шляхи. Система "порушена" вперше. Тут ми намагаємось отримати інформацію з різних джерел.

  • Етап 3. Перевірка

    Цей етап часто виконується одночасно з етапом 2. Його ціль - отримати реальну корисну інформацію за допомогою перевірки безпеки. Для успішного проведення атак необхідно отримати максимально точну інформацію щодо системи. На цьому етапі ми шукаємо відповідні експлойти, проводимо докладний аналіз мережі, зламуємо хеші та координуємо подальші атаки.

  • Етап 4. Експлуатація

    Тепер виявлені вразливості необхідно використовувати для реальних атак на систему. Таким чином виявляються існуючі прогалини та слабкі місця у безпеці. Тут ми проводимо перевірочні тести (експлуатація вразливостей, обхід заходів безпеки та активне вторгнення, атаки типу «зловмисник у середині», постексплуатація тощо)

    Потім повторюємо етапи з 2 до 4.

  • Етап 5. Оцінка та звітність

    Щоб мати можливість реально оцінити ситуацію з безпекою, потрібен докладний та вичерпний звіт. Виходячи з управлінських звітів, керівництво може вжити відповідних заходів для досягнення належної ІТ-безпеки. Під час остаточного аналізу ми оцінюємо та документуємо результати, робимо зведення та презентацію, а також перераховуємо слабкі місця та даємо рекомендації щодо контрзаходів.

  • Етап 6. Перевірка системи після внесення змін

    Ми надамо конкретні рекомендації щодо ваших подальших дій і за потреби підтримаємо їх виконання. Ми перевіримо всі виправлення та вдосконалення, щоб переконатися, що наші рекомендації працюють належним чином.

Методології тестування на проникнення

Існує досить велика кількість методологій, правил і процедур, а також технологій і рекомендацій, які використовуються на міжнародному рівні під час тестування на проникнення. Методологія - це набір тісно пов'язаних методів і технік, тоді як метод - це певний шлях або інструмент. Висококваліфіковані фахівці, як правило, мають досвід роботи з великою кількістю методологій і стандартів.

Illustration

MITRE ATT&CK 

MITRE ATT&CK — база знань, яка містить опис тактики, прийомів і методів атак, які використовують хакери.

Illustration

OSSTMM

Посібник з методології тестування безпеки з відкритим вихідним кодом (OSSTMM) зосереджується в основному на тестуванні комп’ютерних мереж. Це дозволяє побудувати чіткий план і шкалу оцінки рівня інформаційної безпеки.

Illustration

OWASP

Методологія Open Web Application Security Project (OWASP) зосереджена на тестуванні веб-додатків і детально описує сам процес пентесту. Фактично, це єдина детальна методологія, яка орієнтована саме на веб-додатки. 

Illustration

NIST SP 800-53

 NIST SP 800-53 — це набір стандартів і вказівок, які допомагають федеральним агентствам і підрядникам виконувати вимоги, встановлені Федеральним законом про управління безпекою інформації (FISMA). NIST займається засобами контролю або захисту федеральних інформаційних систем і організацій.

Illustration

ISSAF

Структура оцінки безпеки інформаційної системи (ISSAF) була розроблена як стандарт для внутрішнього аудиту організацій. У ньому чітко прописані рекомендації щодо проведення пентесту, міститься детальний опис утиліт, а також варіанти їх використання. Використовується для перевірки інформаційної безпеки різних компаній.

Image placeholder
Image placeholder

Завантажити приклад звіту з пентесту

Після проведення тестування на проникнення ми надаємо вам детальний звіт про виявлені вразливості, як ними могли б скористатися кіберзлочинці та рекомендації щодо виправлень.

Дякуємо за довіру!

Ми зв'яжемося з вами найближчим часом

Can't send form.

Please try again later.

Які галузі виграють від тесту на проникнення?

Якщо ви не впевнені, наскільки захищене ваше ІТ-середовище, і ви хочете знати, де знаходяться прогалини у вашій системі, ви хочете довести, що безпека даних важлива для вас, і ваша компанія керується принципами та політиками кібербезпеки, тоді тестування на проникнення є правильним вибором для вас.

Медичні установи

Хакери зацікавлені даними медичних установ, яка включає такі персональні дані, як номери соціального страхування, платіжну інформацію, номери страхування, коди діагнозу тощо. Регулярний пентест для Healthcare дозволить пацієнтам бути впевненими, що їхні дані в безпеці.

Фінансові установи   

Будучи постійним об’єктом хакерських атак, пентест фінансових систем забезпечує високий рівень безпеки транзакцій клієнтів, їх конфіденційність і цілісність. Також, пентест для банків необхідний для відповідності міжнародним сертифікатам, таким як PCI DSS, Постанова 95 НБУ.

Стартапи та SMB

Випускаючи новий продукт, кожна компанія повинна гарантувати своїм користувачам безпеку зберігання їхніх персональних даних. Регулярне проведення пентесту для стартапів та відповідність стандартам, таким як SOC 2, ISO 27001, GDPR, NIST є найкращою гарантією захищеності даних користувачів.

Великі підприємства

Хакерські атаки можуть призвести до порушень безпеки, скомпрометувавши конфіденційні дані вашої компанії, що призведе до серйозної шкоди репутації та втрати клієнтів. Репутація компанії коштує набагато більше, ніж тест на проникнення, який міг би запобігти потенційним порушенням безпеки.

Індустрія розваг

Індустрія розваг є ласим шматочком для хакерів, оскільки вона має багато привабливих даних. Компанії повинні проводити регулярні пентести, знаходячи навіть найменші лазівки в кібербезпеці, щоб вони не стали кричущим тунелем для злому даних клієнта. Крім того, пентест є необхідним кроком для отримання сертифікату TPN.

Проекти з тестування на проникнення ESKA

Наші проекти включають пентест для малого бізнесу та професійне тестування безпеки SMB, що допомагає виявити вразливості бізнесу до кібератак. Ми проводимо пентест для бізнесу з повною оцінкою захисту від кіберзагроз та аналізом систем безпеки. Завдяки пентесту під ключ, ваш бізнес отримає оцінку рівню кібербезпеки та рекомендації щодо покращення захисту. Професійне тестування на проникнення для компанії гарантує виявлення можливих загроз і запобігання їхньому впливу.

Illustration

Тест на проникнення для міжнародної страхової компанії

Основною метою цього тесту на проникнення було перевірити інфраструктуру клієнта на наявність можливих проблем, які можуть вплинути на безпеку програм, інфраструктури та конфіденційності користувачів.

Читати опис проекту

Illustration

Оцінка вразливостей інформаційних систем для банку

Зовнішня оцінка захищеності інформаційних систем за методом Grey Box з наданням детального звіту по виявлених недоліках та рекомендаціях щодо їх усунення.

Читати опис проекту

Illustration

Тестування на проникнення зовнішнього та внутрішнього периметру мережі

Тестування зовнішньої інфраструктури компанії на предмет можливих проблем, які можуть вплинути на безпеку додатків, інфраструктури та конфіденційність її користувачів.

Читати опис проекту

Illustration

Тест на проникнення веб-застосунку для Стартапу

Інноваційний стартап, який надає рішення для управління персоналом, звернувся до ESKA із запитом провести тест на проникнення перед виходом на ринок Enterprise.

Читати опис проекту

Що ви отримаєте в результаті?

Наскільки захищені комп’ютерні системи та мережі, можна дізнатися лише за допомогою тестів на проникнення в ІТ-середовищі, які виявляють усі можливі прогалини безпеки. Після завершення тесту на проникнення ми виявимо ваші прогалини в безпеці до того, як хакери скористаються ними.
Як результат:

    Ви отримаєте оцінку знайдених вразливостей відповідно до їх ризику.
    ІТ-безпека буде або підвищена, або підтверджена – з технічної та організаційної точки зору.

Ми обговоримо конкретні рекомендації щодо ваших подальших дій і підтримаємо вас у подальшому впровадженні наших рекомендацій та перевірці зроблених змін.

Illustration

FAQ

У цьому блоці ви знайдете відповіді на найпопулярніші запитання наших клієнтів. Не знайшли те, що вам потрібно?
Просто надішліть нам запит.

  • Що таке тест на проникнення?

    Рідко проходить тиждень без повідомлень про атаки на чутливі системи. Це призводить до фінансових збитків, руйнується репутація та довіра клієнтів і партнерів.

    Щоб захистити себе від атак, на різних рівнях необхідно вживати адекватні контрзаходи. Добре підготовлені співробітники та процеси, які також враховують ІТ-безпеку, є важливими для ефективного захисту. Однак, перш за все, ефективним засобом є перевірка безпеки за допомогою тесту на проникнення незалежною третьою стороною.

    Отже, що таке тест на проникнення? Тест на проникнення – це санкціонована, спланована та змодельована кібератака на компанію чи державну установу. Мета полягає в тому, щоб виявити та усунути раніше невідомі точки атаки, перш ніж хакери зможуть використати їх для викрадення інтелектуальної власності чи інших конфіденційних даних або іншим чином завдати шкоди організації.

    Під час тесту на проникнення навчені тестери намагаються атакувати ваші ІТ-системи методами хакерів, щоб визначити вразливість систем, після чого можуть бути вжиті відповідні захисні заходи.

  • Які є типи та моделі тестування на проникнення?

    Тестування на проникнення в зовнішню мережу.Усе, що доступне в Інтернеті, потребує певної форми тестування безпеки. Якщо зовнішній хост скомпрометовано, це може призвести до того, що зловмисник проникне глибше у ваше внутрішнє середовище. Зовнішнє тестування на проникнення в мережу зосереджено на периметрі вашої мережі та визначає будь-які недоліки, які існують в елементах керування, які захищають від віддалених зловмисників, націлених на системи, що виходять в Інтернет у вашому середовищі. Виконуючи зовнішнє тестування на проникнення, наші пентестери якнайкраще імітують реальні сценарії, щоб викорінити всі потенційні вразливості.Наші методи тестування на проникнення в зовнішню мережу включають наступне:● Сканування портів та інші взаємодії та запити мережевих служб● Перегляд мережі, моніторинг трафіку, аналіз трафіку та виявлення хостів● Спуфінг або обман серверів за допомогою динамічних оновлень маршрутизації (наприклад, OSPF, RIP-спуфінг)● Спроби входу чи іншого використання систем із будь-яким іменем/паролем облікового запису● Використання коду експлойту для використання виявлених вразливостей● Злом паролів за допомогою захоплення та сканування баз даних автентифікації● Переповнення/недоповнення буфера● Спуфінг або обман серверів щодо мережевого трафіку● Зміна конфігурації запущеної системи, за винятком випадків, коли призведе до відмови в обслуговуванні● Додавання облікових записів користувачів.
    Тестування на проникнення у внутрішню мережу.Незалежно від того, чи це незадоволені працівники, раніше звільнені співробітники чи хтось, хто намагається викрасти комерційну таємницю, існує висока ймовірність потенційних внутрішніх загроз. Навіть без зловмисного наміру прості проблеми з конфігурацією або невдачі співробітників також можуть призвести до зламу мережі, що призведе до більшості атак зсередини. Наші внутрішні тести на проникнення в мережу націлені на мережеве середовище, яке лежить за вашими відкритими пристроями.Ця служба призначена для виявлення та використання проблем, які може виявити зловмисник, який отримав доступ до вашої внутрішньої мережі:● Внутрішні підмережі● Сервери домену● Файлові сервери● Принтери● Мережеві пристрої● Телефони● Переповнення/недоповнення буфера● Робочі станції та ноутбуки
    Тестування веб-додатків на проникнення.Веб-додатки — це унікальні конструкції, які поєднують різні форми технологій і забезпечують інтерактивний фронт для використання. Деякі веб-програми є загальнодоступними, тоді як інші можуть бути внутрішніми програмами, що існують в інтрамережі. Незалежно від розташування, завжди є змінні безпеки. Наскільки добре ваша програма обробляє введення? Чи працює він безпечно з серверами серверів? Чи витримає ваша схема керування сесіями тестування на проникнення?Тестування веб-додатків на проникнення для наступного:● Логічні недоліки програми● Примусовий перегляд● Керування доступом і автентифікацією● Керування сеансами● Маніпуляції з файлами cookie● Горизонтальна ескалація● Вертикальна ескалація● Підбір пароля методом грубої сили● Погана конфігурація сервера● Витік інформації● Розкриття вихідного коду● Розподіл відповіді● Атаки завантаження/завантаження файлів● Зміни параметрів● Маніпуляції з URL-адресами● Атаки ін’єкції для HTML, SQL, XML, SOAP, XPATH, LDAP, Command● Міжсайтовий сценарій● Розпушення

  • White box, gray box, black box: у чому різниця?

    Маючи справу з системою безпеки клієнта, ми можемо застосувати різні підходи, які включають оцінку на основі кольорів.
    Black BoxТести «чорної скриньки» є найпоширенішими й віддають перевагу багатьом організаціям, оскільки аналітики працюють на тому ж рівні, що й звичайний хакер. Пентестер не знає деталей оцінюваної системи заздалегідь. Тести Black Box визначають і деталізують уразливості в системі, що експлуатується ззовні. На технічному рівні цей тип тестування ґрунтується на динамічному аналізі запущених всередині програм, а також мереж.
    Хоча цей вид тестування може бути надзвичайно швидким, залежно від здатності пентестера знаходити вразливості, а також неявні збої мережі, у нього є недолік. Це означає, що якщо аналітику не вдасться проникнути за периметр - виявлені всередині збої залишаться прихованими.

    White boxНа відміну від тестів сірого або чорного ящика, тести білого ящика мають повний доступ до вихідного коду системи, а також до архітектури, інфраструктури та документації. У цьому сенсі такі тести вимагають найбільше часу, оскільки аналітики повинні відсортувати величезну кількість інформації, щоб знайти те, що дійсно корисно для місії. Одна з вад такого роду тестів полягає в тому, що вони можуть викликати сліпоту на основі глибоких знань про систему, які часто можуть уникнути дій, які може вчинити хакер без знання.
    Однак це нереалістична атака, оскільки кіберзлочинець може не знати всіх деталей атаки.

    Gray boxТест «Сірої скриньки» є кроком вперед у порівнянні з тестом «Чорної скриньки», де аналітик має такий же доступ до мережі, як і звичайний користувач системи. Тест сірого ящика починається з неповної інформації про атакувану систему. Це можуть бути деякі ключові дані, топологія мережі, операційні системи, їх версії тощо. Як правило, ця інформація матиме логічний баланс і може імітувати те, що мав би кіберзлочинець після деякого вивчення системи.
    У цьому сенсі він має більше знань про мережеву інфраструктуру та архітектуру та має більші привілеї, що може допомогти реалізувати набагато більш цілеспрямований та ефективний аналіз. Це також допомагає генерувати моделювання постійних загроз у системі, щоб оцінити здатність користувачів реагувати. Методологія «сірого ящика» дозволяє глибше проникнути та вичерпніше тестувати, ніж «чорний ящик», не відкидаючи повністю елемент моделювання.

  • Скільки коштує пентест і що впливає на його вартість?

    Ціна нашої послуги залежить від розміру та складності пентесту. Обсяг тестових об’єктів і мереж, плата за ліцензії на використовувані інструменти сканування та характер тестів впливають на витрати. Якщо необхідні додаткові тести, це також додає загальну ціну. Ми обговорюємо всі критерії ціноутворення та формуємо необов'язкову пропозицію в особистій консультації.

  • Як часто слід проводити пентест? Скільки часу це займає?

    Тестування на проникнення рекомендується проводити не рідше двох разів на рік, але оптимальна кількість визначається після аналізу конкретного бізнесу. За замовчуванням ви отримаєте наш остаточний звіт протягом 1-2 тижнів після завершення тесту на проникнення. Якщо потрібно передати результати раніше, повідомте нас про це на спільній стартовій зустрічі. Для критичних за часом проектів ми будемо раді надати вам наші результати раніше, якщо це можливо.

  • Які документи та звіти я отримаю в результаті пентесту?

    Після завершення пентесту ви отримаєте підсумковий звіт, який розділений на різні розділи:

    Резюме
    Тут ви отримуєте нетехнічне резюме проекту та виявлені результати для рівня управління. Усі критичні висновки коротко підсумовані.

    Процедура, обсяг та інструменти
    Це детальний опис використаних методів тестування, проаналізованого тестового об’єкта та обсягу, а також інструментів і скриптів, які використовувалися під час пентесту.

    Висновки та дії
    Важливою частиною нашого остаточного звіту є детальний технічний опис усіх виявлених знахідок. Ви також отримаєте вичерпні рекомендації щодо усунення кожної вразливості, які підходять для технічного персоналу (наприклад, розробників або адміністраторів).

    Стандартизована оцінка ризику
    Щоб оцінити наші висновки, ми дотримуємося добре відомих стандартів, таких як метод оцінки ризику OWASP. Ризик уразливості базується на ймовірності появи та її впливу.

    Якщо ви зацікавлені в тесті на проникнення в мережу, ми будемо раді надати вам безкоштовну пропозицію. Все, що вам потрібно зробити, це залишити свої контактні дані та дані про вашу компанію в нашій контактній формі, і ми зв’яжемося з вами якомога швидше.

Також, Вас можуть зацікавити

Illustration

Compliance Consulting

Делегуйте операції з інформаційної безпеки команді експертів ESKA. Скориставшись нашою послугою CISO as Service ви маєте можливість залучити до своєї команди досвідченого директора з ІБ та експертів в галузі безпеки даних.

Illustration

Red Teaming

Red Team імітує багатоетапну атаку та зосереджується на цифрових активах вашої компанії. Метою є стійке посилення стійкості компаній проти кібератак.

Illustration

Virtual Chief Information Security Officer (vCISO)

Віртуальний CISO допомагає організації визначити поточну зрілість безпеки, проаналізувати сценарій ризику, визначити, що потрібно захистити, і рівень необхідного захисту, а також визначити нормативні вимоги, яких необхідно виконати.