КРЕДО-С

Тестирование на проникновение

Пентест информационных систем по методологии Black/Gray/White Box. Тестирование внешнего и внутреннего периметра, веб-приложений, беспроводных сетей, мобильных приложений. Имитация действий реальных злоумышленников.

Услуга «Тестирование на проникновение» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Пентест информационных систем по методологии Black/Gray/White Box. Тестирование внешнего и внутреннего периметра, веб-приложений, беспроводных сетей, мобильных приложений. Имитация действий реальных злоумышленников. Категория: Пентест и киберучения. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: 117fstec.credos.ru

Описание услуги

Тестирование на проникновение (пентест) — комплекс мероприятий по оценке защищённости информационных систем путём имитации действий реального злоумышленника. В отличие от анализа защищённости, пентест предполагает активную эксплуатацию обнаруженных уязвимостей для демонстрации реальных рисков и оценки возможного ущерба.

Тестирование на проникновение входит в перечень мер защиты информации по приказам ФСТЭК 17/117 и 239, а также является требованием Указа Президента РФ № 250 от 01.05.2022 для ключевых предприятий. Результаты пентеста используются при расчёте показателя защищённости КЗИ по приказу ФСТЭК №117 и при оценке соответствия ГОСТ 57580 для финансовых организаций.

КРЕДО-С проводит тестирование на проникновение по трём основным методологиям:

Black Box — тестирование без предварительной информации об инфраструктуре, имитирует действия внешнего злоумышленника. Специалисты проводят разведку из открытых источников (OSINT), сканирование внешнего периметра, поиск и эксплуатацию уязвимостей в публичных сервисах, попытки проникновения через граничные устройства.

Gray Box — предоставляется частичная информация (учётные записи пользователей, доступ к внутренней сети), моделируется инсайдерская угроза. Оценивается возможность горизонтального перемещения злоумышленника внутри корпоративной сети, повышения привилегий, доступа к критичным ресурсам. Этот сценарий наиболее приближен к реальным условиям компрометации.

White Box — предоставляется полная информация об архитектуре, исходные коды приложений, документация. Обеспечивает максимально глубокую проверку, выявление скрытых уязвимостей, анализ логики приложений.

Направления пентеста: тестирование внешнего периметра (веб-серверы, почтовые серверы, VPN-шлюзы), тестирование внутреннего периметра (Active Directory, сетевая инфраструктура, критичные серверы), pentest веб-приложений по методологии OWASP Top 10 (SQL-инъекции, XSS, CSRF, небезопасные настройки), тестирование беспроводных сетей (Wi-Fi, Bluetooth), пентест мобильных приложений (iOS, Android, анализ API).

По итогам тестирования на проникновение предоставляется детальный отчёт с описанием найденных уязвимостей, доказательствами их эксплуатации (скриншоты, логи, видеозаписи), оценкой критичности по CVSS и практическими рекомендациями по устранению. Проводится повторное тестирование после устранения критичных уязвимостей.

Специалисты КРЕДО-С имеют сертификации OSCP, CEH, регулярно участвуют в CTF-соревнованиях и профильных конференциях по кибербезопасности. Компания имеет лицензии ФСТЭК и ФСБ России.

Что входит

  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • Тестирование беспроводных сетей и мобильных приложений
  • Пост-эксплуатация: горизонтальное перемещение, повышение привилегий
  • Детальный отчёт с доказательствами и рекомендациями
  • Повторное тестирование после устранения уязвимостей

Результаты работы

Отчёт о тестировании на проникновение с доказательствами эксплуатации
Перечень обнаруженных уязвимостей с оценкой критичности (CVSS)
Рекомендации по устранению с приоритизацией
Описание сценариев атак и потенциального ущерба
Отчёт о повторном тестировании после устранения

Преимущества

Специалисты с сертификациями OSCP, CEH

Методологии: PTES, OWASP, NIST SP 800-115

Три уровня тестирования: Black Box, Gray Box, White Box

Доказательства эксплуатации: скриншоты, логи, видео

Лицензии ФСТЭК и ФСБ России

Проекты по этой услуге

Тестирование на проникновение в инфраструктуру аэрокосмического университета
Образование
NDA
2023

Тестирование на проникновение в инфраструктуру аэрокосмического университета

Пентест

Пентест методом «серого ящика» для выявления уязвимостей информационных систем национального научно-исследовательского университета в сфере аэрокосмических технологий.

  • Проверены все системы и цифровые сервисы на уязвимости
  • Определены «слабые места» ИТ-инфраструктуры университета
  • Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Подробнее о проекте
Пентест ИТ-инфраструктуры российского международного аэропорта
Транспорт
NDA
2023

Пентест ИТ-инфраструктуры российского международного аэропорта

ПентестАнализ защищенности

Тестирование на проникновение для выявления уязвимостей ИТ-инфраструктуры международного аэропорта — объекта критической информационной инфраструктуры.

  • Протестировано на уязвимости более 4 000 АРМ и сымитирована DoS-атака
  • В ОС Windows XP выявлены вредоносные программы на основе вирусов Petya и WannaCry
  • Сформирована модель угроз информационной безопасности с рекомендациями по устранению
Подробнее о проекте
Пентест и анализ защищённости компании онлайн-ритейла
Электронная коммерция
NDA
2024

Пентест и анализ защищённости компании онлайн-ритейла

ПентестАнализ защищенности ИС

Тестирование на проникновение и анализ защищённости ИТ-инфраструктуры компании дистанционной торговли с десятками тысяч покупателей.

  • Проведён пентест четырёх типов: внешний периметр, веб-приложения, внутренняя сеть, беспроводная сеть
  • Выявлены и устранены слабые места в системе информационной безопасности
  • Выполнено повторное тестирование с учётом принятых мер защиты — подтверждено закрытие критичных уязвимостей
Подробнее о проекте

Другие услуги

Пентест и киберучения

Анализ защищённости

Комплексная проверка безопасности ИТ-инфраструктуры: автоматизированное сканирование уязвимостей и ручной анализ конфигураций. Оценка рисков, проверка настроек, тестирование контроля доступа.

  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • и ещё 4...
Подробнее
Пентест и киберучения

Киберучения и фишинг-тесты

Проверка персонала на устойчивость к социальной инженерии. Имитация фишинговых атак, обучающие семинары, повторное тестирование. Формирование культуры информационной безопасности.

  • Разведка (OSINT) и сбор информации о сотрудниках
  • Разработка сценариев фишинговых атак под специфику организации
  • Проведение контролируемой фишинговой рассылки с отслеживанием
  • Анализ результатов по подразделениям и должностям
  • и ещё 3...
Подробнее
Пентест и киберучения

DevSecOps: безопасная разработка

Внедрение практик безопасной разработки ПО. Интеграция инструментов SAST, DAST, SCA в процессы CI/CD. Построение контура DevSecOps согласно ГОСТ Р 56939-2016.

  • Обследование процессов DevOps и оценка зрелости безопасной разработки
  • Разработка документации по ГОСТ Р 56939-2016
  • Проектирование контура DevSecOps с security gates
  • Внедрение SAST (статический анализ исходного кода)
  • и ещё 4...
Подробнее

Часто задаваемые вопросы

Что такое пентест?
Пентест (тестирование на проникновение) — это контролируемая имитация действий реального злоумышленника для оценки защищённости информационных систем. Специалисты ищут и активно эксплуатируют уязвимости, демонстрируя реальные риски и возможный ущерб.
Какие виды пентеста существуют?
Существуют три основных вида: Black Box — тестирование без информации об инфраструктуре (имитация внешнего злоумышленника), Gray Box — с частичной информацией (моделирование инсайдерской угрозы), White Box — с полным доступом к архитектуре и исходным кодам (максимально глубокая проверка).
Сколько времени занимает тестирование на проникновение?
Сроки зависят от масштаба и сложности инфраструктуры. Пентест внешнего периметра занимает от 1 до 3 недель, комплексное тестирование с внутренним периметром и веб-приложениями — от 3 до 6 недель. В сроки входит подготовка, тестирование и формирование отчёта.
Как часто нужно проводить пентест?
Рекомендуется проводить пентест не реже одного раза в год, а также после значительных изменений в инфраструктуре: запуска новых сервисов, миграции систем, обновления сетевой архитектуры. Для объектов КИИ и финансовых организаций периодичность может быть установлена регулятором.

Обсудить ваш проект

Рассчитайте класс защищённости онлайн или оставьте заявку для бесплатной консультации

Рассчитать КЗИ