Оставить заявку
Infosecurity
О НАС
СЕРВИСЫ
ГЛАВНАЯ
БЛОГ
КОНТАКТЫ
УСЛУГИ
ПОИСК
КЕЙСЫ
MSSP
О компании
Лицензии
Вакансии
Партнёры
Акции
Управление информационной безопасностью
Проектирование и внедрение систем защиты
Консалтинг и соответствие требованиям ИБ
Тестирование на проникновение
Безопасность финансовых организаций
Защита КИИ, АСУ ТП, ГИС
Контроль и автоматизация доступа
Все услуги
Обучение сотрудников навыкам ИБ
Безопасная разработка
Сетевая безопасность
Управление информационной безопасностью
Защита конечных точек сети
SOC
Центр мониторинга и противодействия кибератакам
ETHIC.DRP
Система защиты бренда от внешних цифровых угроз
ETHIC.CPT
Непрерывное тестирование периметра на проникновение
TRAINING CENTER
Сервис по управлению навыками кибербезопасности
АНТИПИРАТСТВО
Защита цифрового контента в интернете
Статьи:
Внедрение комплексной системы антивирусной защиты конечных точек (EPP&EDR)
Три SIEM-кита: обзор и сравнение RuSIEM, KUMA и MP SIEM
Реестр информационных активов как первый шаг к настройке DLP
Системы защиты конечных точек (EPP)
Защита от комплексных угроз (EDR)
Защита от утечек данных (DLP)
Обнаружение и реагирование на сложные угрозы (XDR)
Автоматизация управления доступом (IDM)
Многофакторная аутентификация (MFA)
Контроль привилегированных пользователей (PAM)
Все решения
Системы защиты от целевых угроз (Sandbox & AntiAPT)
Решения:
Внедрение и техническая поддержка SIEM-систем
Экспресс-аудит ИБ
Защита ПДн (152-ФЗ)
Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Выполнение Указа № 250
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Соответствие 187-ФЗ
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Обучение навыкам ИБ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Чек-лист. Первые шаги для соответствия требованиям 152-ФЗ
Неправомерное использование бренда: как паразитируют на вашем бизнесе?
Внешний аудит как инструмент контроля в области ИБ
Аттестация и подключение к ГИС
Аттестация объектов информатизации и подключение к ГИС
Пентест внешнего периметра
ETHIC.CPT
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Пентест внутреннего периметра
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
6 причин провести пентест
Пентест сайта и веб-приложений
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Анализ исходного кода
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Пентест мобильных приложений
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Соответствие ГОСТ 57580
Оценка рисков ИБ
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Управление операционными рисками (716-П)
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Операционная надежность (787-П, 779-П)
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Аудит по требованиям SWIFT CSCF
Статьи:
Выполнение требований к операционной надежности
Подготовка финансовой организации к аудиту ИБ
Новый стандарт в сфере ИБ: ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022
Услуги:
Безопасность КИИ
Полный комплекс работ по обеспечению информационной безопасности КИИ
Безопасность АСУ ТП
Защита автоматизированных систем управления технологическими процессами
Защита ПДн (152-ФЗ)
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Проектирование и внедрение СОИБ
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Соответствие Указу № 250
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Аттестация объектов информатизации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Категорирование объектов КИИ. Краткий план действий
Указ № 250: разбор положений
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Многофакторная аутентификация (MFA)
Внедрение и поддержка средств мультифакторной аутентификации
Автоматизация управления доступом (IDM)
Контроль привилегированных пользователей (PAM)
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Система защиты конечных точек (EPP)
Рассказываем о XDR и сопутствующих ему продуктах и сервисах
Проектирование, внедрение, поддержка систем защиты конечных точек
Защита от комплексных угроз (EDR)
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Обнаружение и реагирование на сложные угрозы (XDR)
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников (ISTC)
Учебный портал ИБ для сотрудников: оn-prem VS облако
Сервис обучения сотрудников навыкам кибербезопасности
Курсы ИБ в формате SCORM
24 интерактивных курса по информационной безопасности для ваших сотрудников
Индивидуальные обучающие материалы
Разработка индивидуальных обучающих материалов для решения ваших задач
Услуги:
Внедрение СУИБ
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Управление непрерывностью бизнеса
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Услуги:
Внедрение процессов безопасной разработки
Услуги по внедрению процессов безопасной разработки: SSDLC, DevSecOps, AppSec
Курсы по безопасной разработке (DevSecOps)
Обучение сотрудников основам безопасной разработки приложений
Услуги:
Прокси-серверы (Proxy)
Внедрение и сопровождение прокси-серверов
NGFW
Внедрение и сопровождение российских и зарубежных NGFW
VPN
Внедрение и сопровождение шлюзов удаленного доступа
Криптошлюзы, криптокоммутаторы
Внедрение и сопровождение криптошлюзов, криптографическая защита каналов связи
Контроль доступа к сети (NAC)
Внедрение и сопровождение решений класса NAC
Акции

Три пентеста со скидкой 30%

Специально предложение распространяется на следующие виды пентестов: «Внутреннее тестирование на проникновение», «Социотехническое тестирование» и «Тестирование на проникновение веб-ресурсов».

Воспользуйтесь специальным предложением, пройдите комплексную проверку, найдите уязвимости раньше злоумышленников.

УСЛОВИЯ АКЦИИ

Срок проведения: 25 марта – 20 мая 2025

  • Все работы по внешнему и внутреннему пентесту ведутся удаленно
  • Только для заказчиков без действующего КП на пентесты до 20.05.2025
  • От 20 узлов в области исследования
  • В Акции не участвуют запросы на исследование сегмента АСУ ТП.
  • Каждый Участник акции может выбрать несколько видов тестирования на проникновение, в этом случае скида будет рассчитываться от общей стоимости, выбранных услуг.
  • Важно! Специальное предложение действительно на работы в марте/ июне 2025 года при заключении договора до 20.05.2025 года.

СОСТАВ И СОДЕРЖАНИЕ РАБОТ

Внутреннее тестирование на проникновение: порядок выполнения и состав этапов внутреннего тестирования на проникновение будет соответствовать следующему алгоритму:

  • Пассивный сбор информации о подсети;
  • Перехват и анализ сетевого трафика;
  • Проведение сетевых атак;
  • Сканирование узлов, доступных из пользовательского сегмента ЛВС, сбор информации об открытых портах, определение типов устройств, анализ сетевой сегментации;
  • Проведение сканирования на наличие уязвимостей (если это возможно по условию внутреннего тестирования);
  • Эксплуатация уязвимостей;
  • Восстановление паролей и хеш-суммы паролей из оперативной памяти и реестра;
  • Восстановление хеш-суммы паролей по словарю;
  • Анализ Active Directory;
  • Боковое перемещение (Lateral Movement) и повышение привилегий;
  • Проверка возможности получения доступа к конфиденциальной информации и (или) информации ограниченного доступа Заказчика;
  • Производится проверка прав доступа к различным информационным ресурсам Заказчика с привилегиями, полученными на различных этапах тестирования;
  • Подготовка отчета по результатам тестирования.

В ходе работ специалист не будет производить преднамеренных атак на отказ в обслуживании. Результатом выполнения данного этапа будет раздел отчета с описанием результатов проведения внутреннего тестирования на проникновение.

Социотехническое тестирование: порядок выполнения и состав этапов работ будет соответствовать следующему алгоритму:

  • Согласование с Заказчиком почтовых адресов для рассылки;
  • Согласование с Заказчиком формы и содержания электронных писем для почтовой рассылки;
  • Согласование с Заказчиком телефонных номеров для обзвона;
  • Поиск в сети Интернет сведений, часто используемых при атаках (утечки данных, несанкционированное использование учетных записей и т.д.);
  • Почтовые рассылки с имитацией вредоносного вложения;
  • Почтовые рассылки с имитацией вредоносной ссылки;
  • Почтовые рассылки с имитацией вредоносного офисного документа;
  • Целевое общение с сотрудниками по телефону (корпоративному) с целью получения конфиденциальной информации;
  • Подготовка отчета по результатам тестирования;
  • Результатом выполнения работ является отчет по результатам проведения социотехнического тестирования.

Тестирование на проникновение веб-ресурсов: порядок выполнения и состав этапов тестирования на проникновения веб-ресурсов будет соответствовать следующему алгоритму:

  • Получение информации от Заказчика о тестируемых ресурсах;
  • Получение предварительной информации о веб-ресурсе на основе источников информации, доступных потенциальному нарушителю;
  • Анализ веб-приложения от имени аутентифицированного пользователя;
  • Автоматизированное сканирование на наличие веб-уязвимостей с использованием зарекомендовавших себя инструментальных средств: Acunetix AWVS, BurpSuite Pro, Nessus;
  • Ручная верификация и анализ результатов инструментального сканирования, проверка соответствия конфигурации веб-приложения рекомендациям по безопасной настройке программного обеспечения (CMS, фреймворков, веб-сервера, сервера приложений и т.п.);
  • Ручная проверка проходит по методологии OWASP, но не ограничивается ею. Проверка включает в себя следующие категории: ошибки контроля доступа, криптографические сбои, инъекции, неправильные конфигурации, уязвимые и устаревшие компоненты, ошибки идентификации и аутентификации, ошибки целостности программного обеспечения и данных, регистрация безопасности и мониторинг сбоев, подделка запросов на стороне сервера. А также прочие атаки, целью которых является выполнение кода на стороне сервера;
  • Подбор паролей пользователей веб-приложения;
  • Осуществление эксплуатации ряда наиболее критичных уязвимостей проводится по согласованию с Заказчиком;
  • Подготовка отчета по результатам тестирования.

В ходе работ специалист не производит эксплуатацию выявленных уязвимостей, направленных на отказ в обслуживании.
Автоматизированные работы (сканирование) по согласованию с Заказчиком могут проводиться в нерабочее время.
Результатом работ считается раздел отчета по результатам тестирования на проникновение веб-периметра.

Подробнее об условиях и всех ограничениях акции здесь.

Оставить заявку
2025-03-26 21:20 Активные