Оставить заявку
Infosecurity
О НАС
СЕРВИСЫ
ГЛАВНАЯ
БЛОГ
КОНТАКТЫ
УСЛУГИ
ПОИСК
КЕЙСЫ
MSSP
О компании
Лицензии
Вакансии
Партнёры
Акции
Управление информационной безопасностью
Проектирование и внедрение систем защиты
Консалтинг и соответствие требованиям ИБ
Тестирование на проникновение
Безопасность финансовых организаций
Защита КИИ, АСУ ТП, ГИС
Контроль и автоматизация доступа
Все услуги
Обучение сотрудников навыкам ИБ
Безопасная разработка
Сетевая безопасность
Управление информационной безопасностью
Защита конечных точек сети
SOC
Центр мониторинга и противодействия кибератакам
ETHIC.DRP
Система защиты бренда от внешних цифровых угроз
ETHIC.CPT
Непрерывное тестирование периметра на проникновение
TRAINING CENTER
Сервис по управлению навыками кибербезопасности
АНТИПИРАТСТВО
Защита цифрового контента в интернете
Статьи:
Внедрение комплексной системы антивирусной защиты конечных точек (EPP&EDR)
Три SIEM-кита: обзор и сравнение RuSIEM, KUMA и MP SIEM
Реестр информационных активов как первый шаг к настройке DLP
Системы защиты конечных точек (EPP)
Защита от комплексных угроз (EDR)
Защита от утечек данных (DLP)
Обнаружение и реагирование на сложные угрозы (XDR)
Автоматизация управления доступом (IDM)
Многофакторная аутентификация (MFA)
Контроль привилегированных пользователей (PAM)
Все решения
Системы защиты от целевых угроз (Sandbox & AntiAPT)
Решения:
Внедрение и техническая поддержка SIEM-систем
Экспресс-аудит ИБ
Защита ПДн (152-ФЗ)
Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Выполнение Указа № 250
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Соответствие 187-ФЗ
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Обучение навыкам ИБ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Чек-лист. Первые шаги для соответствия требованиям 152-ФЗ
Неправомерное использование бренда: как паразитируют на вашем бизнесе?
Внешний аудит как инструмент контроля в области ИБ
Аттестация и подключение к ГИС
Аттестация объектов информатизации и подключение к ГИС
Пентест внешнего периметра
ETHIC.CPT
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Пентест внутреннего периметра
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
6 причин провести пентест
Пентест сайта и веб-приложений
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Анализ исходного кода
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Пентест мобильных приложений
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Соответствие ГОСТ 57580
Оценка рисков ИБ
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Управление операционными рисками (716-П)
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Операционная надежность (787-П, 779-П)
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Аудит по требованиям SWIFT CSCF
Статьи:
Выполнение требований к операционной надежности
Подготовка финансовой организации к аудиту ИБ
Новый стандарт в сфере ИБ: ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022
Услуги:
Безопасность КИИ
Полный комплекс работ по обеспечению информационной безопасности КИИ
Безопасность АСУ ТП
Защита автоматизированных систем управления технологическими процессами
Защита ПДн (152-ФЗ)
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Проектирование и внедрение СОИБ
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Соответствие Указу № 250
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Аттестация объектов информатизации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Категорирование объектов КИИ. Краткий план действий
Указ № 250: разбор положений
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Многофакторная аутентификация (MFA)
Внедрение и поддержка средств мультифакторной аутентификации
Автоматизация управления доступом (IDM)
Контроль привилегированных пользователей (PAM)
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Система защиты конечных точек (EPP)
Рассказываем о XDR и сопутствующих ему продуктах и сервисах
Проектирование, внедрение, поддержка систем защиты конечных точек
Защита от комплексных угроз (EDR)
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Обнаружение и реагирование на сложные угрозы (XDR)
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников (ISTC)
Учебный портал ИБ для сотрудников: оn-prem VS облако
Сервис обучения сотрудников навыкам кибербезопасности
Интерактивные курсы ИБ
24 интерактивных курса по информационной безопасности для ваших сотрудников
Индивидуальные обучающие материалы
Разработка индивидуальных обучающих материалов для решения ваших задач
Услуги:
Внедрение СУИБ
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Управление непрерывностью бизнеса
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Услуги:
Внедрение процессов безопасной разработки
Услуги по внедрению процессов безопасной разработки: SSDLC, DevSecOps, AppSec
Курсы по безопасной разработке (DevSecOps)
Обучение сотрудников основам безопасной разработки приложений
Услуги:
Прокси-серверы (Proxy)
Внедрение и сопровождение прокси-серверов
NGFW
Внедрение и сопровождение российских и зарубежных NGFW
VPN
Внедрение и сопровождение шлюзов удаленного доступа
Криптошлюзы, криптокоммутаторы
Внедрение и сопровождение криптошлюзов, криптографическая защита каналов связи
Контроль доступа к сети (NAC)
Внедрение и сопровождение решений класса NAC
Акции

Три пентеста со скидкой 30%

Специальное предложение распространяется на следующие виды пентестов:
  1. «Внутреннее тестирование на проникновение»,
  2. «Социотехническое тестирование»,
  3. «Тестирование на проникновение веб-ресурсов».

Воспользуйтесь специальным предложением, пройдите комплексную проверку, найдите уязвимости раньше злоумышленников.

УСЛОВИЯ АКЦИИ

Срок проведения: 25 марта – 20 мая 2025

  • Все работы по внешнему и внутреннему пентесту ведутся удаленно
  • Только для заказчиков без действующего КП на пентесты до 20.05.2025
  • От 20 узлов в области исследования
  • В Акции не участвуют запросы на исследование сегмента АСУ ТП.
  • Каждый Участник акции может выбрать несколько видов тестирования на проникновение, в этом случае скида будет рассчитываться от общей стоимости, выбранных услуг.
  • Важно! Специальное предложение действительно на работы в марте/ июне 2025 года при заключении договора до 20.05.2025 года.

СОСТАВ И СОДЕРЖАНИЕ РАБОТ

Внутреннее тестирование на проникновение: порядок выполнения и состав этапов внутреннего тестирования на проникновение будет соответствовать следующему алгоритму:

  • Пассивный сбор информации о подсети;
  • Перехват и анализ сетевого трафика;
  • Проведение сетевых атак;
  • Сканирование узлов, доступных из пользовательского сегмента ЛВС, сбор информации об открытых портах, определение типов устройств, анализ сетевой сегментации;
  • Проведение сканирования на наличие уязвимостей (если это возможно по условию внутреннего тестирования);
  • Эксплуатация уязвимостей;
  • Восстановление паролей и хеш-суммы паролей из оперативной памяти и реестра;
  • Восстановление хеш-суммы паролей по словарю;
  • Анализ Active Directory;
  • Боковое перемещение (Lateral Movement) и повышение привилегий;
  • Проверка возможности получения доступа к конфиденциальной информации и (или) информации ограниченного доступа Заказчика;
  • Производится проверка прав доступа к различным информационным ресурсам Заказчика с привилегиями, полученными на различных этапах тестирования;
  • Подготовка отчета по результатам тестирования.

В ходе работ специалист не будет производить преднамеренных атак на отказ в обслуживании. Результатом выполнения данного этапа будет раздел отчета с описанием результатов проведения внутреннего тестирования на проникновение.

Социотехническое тестирование: порядок выполнения и состав этапов работ будет соответствовать следующему алгоритму:

  • Согласование с Заказчиком почтовых адресов для рассылки;
  • Согласование с Заказчиком формы и содержания электронных писем для почтовой рассылки;
  • Согласование с Заказчиком телефонных номеров для обзвона;
  • Поиск в сети Интернет сведений, часто используемых при атаках (утечки данных, несанкционированное использование учетных записей и т.д.);
  • Почтовые рассылки с имитацией вредоносного вложения;
  • Почтовые рассылки с имитацией вредоносной ссылки;
  • Почтовые рассылки с имитацией вредоносного офисного документа;
  • Целевое общение с сотрудниками по телефону (корпоративному) с целью получения конфиденциальной информации;
  • Подготовка отчета по результатам тестирования;
  • Результатом выполнения работ является отчет по результатам проведения социотехнического тестирования.

Тестирование на проникновение веб-ресурсов: порядок выполнения и состав этапов тестирования на проникновения веб-ресурсов будет соответствовать следующему алгоритму:

  • Получение информации от Заказчика о тестируемых ресурсах;
  • Получение предварительной информации о веб-ресурсе на основе источников информации, доступных потенциальному нарушителю;
  • Анализ веб-приложения от имени аутентифицированного пользователя;
  • Автоматизированное сканирование на наличие веб-уязвимостей с использованием зарекомендовавших себя инструментальных средств: Acunetix AWVS, BurpSuite Pro, Nessus;
  • Ручная верификация и анализ результатов инструментального сканирования, проверка соответствия конфигурации веб-приложения рекомендациям по безопасной настройке программного обеспечения (CMS, фреймворков, веб-сервера, сервера приложений и т.п.);
  • Ручная проверка проходит по методологии OWASP, но не ограничивается ею. Проверка включает в себя следующие категории: ошибки контроля доступа, криптографические сбои, инъекции, неправильные конфигурации, уязвимые и устаревшие компоненты, ошибки идентификации и аутентификации, ошибки целостности программного обеспечения и данных, регистрация безопасности и мониторинг сбоев, подделка запросов на стороне сервера. А также прочие атаки, целью которых является выполнение кода на стороне сервера;
  • Подбор паролей пользователей веб-приложения;
  • Осуществление эксплуатации ряда наиболее критичных уязвимостей проводится по согласованию с Заказчиком;
  • Подготовка отчета по результатам тестирования.

В ходе работ специалист не производит эксплуатацию выявленных уязвимостей, направленных на отказ в обслуживании.
Автоматизированные работы (сканирование) по согласованию с Заказчиком могут проводиться в нерабочее время.
Результатом работ считается раздел отчета по результатам тестирования на проникновение веб-периметра.

Подробнее об условиях и всех ограничениях акции здесь.
Оставить заявку
2025-03-26 21:20 Активные