Тестирование и оценка безопасности Вашей ИТ-инфраструктуры

Тестирование на проникновение или пентест, — это имитация проникновения в систему с целью выявления уязвимостей в компьютерных системах или сетях и дальнейшая выработка рекомендаций по их устранению.

Получить консультациюКак проводится тестирование
30 летна рынке ИБ, с 1993 года
ФСТЭК + ФСБлицензии на деятельность по защите информации
ТОП-100ИБ-компаний РФ по версии TAdviser
2 дняна расчёт и коммерческое предложение

Для чего нужен пентест?

Пентест, как неотъемлемая составляющая оценки уровня безопасности информационных систем и приложений, считается самым эффективным способом проверки степени защищенности систем ИБ.

Ежегодно увеличивается рост вредоносных программ в сфере информационных технологий, поэтому проведение пентеста лучше проводить регулярно — как минимум один раз в год или при внесении крупных изменений в ИТ-инфраструктуру компании. Если внутренних ресурсов недостаточно, заказ пентеста будет оправданным решением!

Наши опытные специалисты используют различные методы оценки защищенности, начиная с ручного и заканчивая автоматизированным поиском уязвимостей и нарушений конфигурации.

Цены на услуги по проведению пентеста и анализа уязвимостей

УслугаСтоимость
Консультациябесплатно
Пентест220 000 руб.от 110 000 руб.
Пентест внешних ресурсовот 109 000 руб.
Пентест внутренних ресурсовот 150 000 руб.
Тестирование на проникновение в базы данныхот 119 000 руб.
Тестирование на проникновение беспроводных сетейот 99 000 руб.
Пентест мобильных приложенийот 99 000 руб.
Пентест сайтаот 99 000 руб.

Итоговая стоимость зависит от количества узлов, согласованных векторов атак и глубины тестирования. Точный расчёт и коммерческое предложение подготовим за 2 рабочих дня.

Заказать расчёт стоимости

Каким компаниям важно проводить пентест?

Банки и финансовые организации
Банки и финансовые организации

Компании могут обязать проводить ежегодное тестирование на проникновение и анализ уязвимостей в соответствии с положениями 683-п, 719-п и 757-п Банка России, ГОСТ 57580 и PCI DSS.

Малый и средний бизнес
Малый и средний бизнес

Организации часто находятся в группе повышенного риска — чаще всего они сталкиваются с хакерскими атаками и утечкой конфиденциальных данных.

Провайдеры сервисов
Провайдеры сервисов

Необходимо проводить тестирование на проникновение для обеспечения бесперебойной работы своих сервисов, снижения риска финансовых потерь и предотвращения утечек конфиденциальных данных.

Разработчики приложений
Разработчики приложений

В целях соответствия стандартам безопасности и предотвращения возможной эксплуатации уязвимостей.

Компании с объектами КИИ
Компании с объектами критической информационной инфраструктуры (КИИ)

Пентест необходимо проводить до ввода в эксплуатацию, в соответствии с Приказом ФСТЭК России № 239 и указом №250. Смежная услуга — категорирование объектов КИИ.

Компании электронной коммерции
Компании, занимающиеся электронной коммерцией

Также находятся в группе повышенного риска, уязвимы для хакерских атак и утечки конфиденциальных данных.

Методы проведения тестирования на проникновение

Существует несколько методов. Различие между ними заключается в получении полноты сведений об испытуемой системе.

«Черный ящик»

Метод тестирования на проникновение, при котором внутренняя структура тестируемого объекта не известна, но функции объекта можно определить исходя из его реакций на внешние факторы.

«Серый ящик»

Способ проверки, при котором частично известно внутреннее устройство ИТ-системы. Исполнителю, как правило, предоставлены данные: схема инфраструктуры, инвентаризация серверов, топология сети.

«Белый ящик»

Метод тестирования на проникновение, при котором специалисты осведомлены об архитектуре системы, включая схему сети, исходный код приложений и IP-адреса хостов.

Как проводится тестирование

Сбор информации

Cбор сведений о структуре и всех компонентах исследуемой системы

Моделирование угроз

Выявление уязвимостей в системе с помощью автоматического сканирования с ручной верификацией результатов

Эксплуатация выявленных уязвимостей

Тест на проникновение по векторам, согласованным с Заказчиком. Попытка получения доступа к данным и интерфейсам управления

Анализ полученных данных

Анализ результатов выполнения атак, сбор и обобщение данных

5. Разработка отчета и выдача рекомендаций

Написание отчета по обнаружению критических для бизнеса уязвимостей и выдача рекомендаций по их устранению.

Получить консультацию

Почему выбирают нас

Внедряем средства защиты

На основе отчёта после проведения тестирования мы создаем надёжную систему безопасности, внедряя только сертифицированные ИТ-продукты.

Обучаем персонал

После выявления проблемных участков проводим обучение персонала, проверяем и улучшаем навыки обнаружения киберугроз и реагирования на них.

Мониторинг и поддержка

Оказываем услуги мониторинга системы безопасности, имеем лицензию ФСТЭК на мониторинг. Выполняем сбор и анализ сведений для обнаружения возможных атак в режиме online.

«Ценность пентеста не в списке найденных уязвимостей, а в доказанных векторах атаки: вот так мы вошли, вот так повысили привилегии, вот данные, до которых дотянулись. Такой отчёт невозможно положить в стол — по нему сразу видно, что чинить первым.»

Вишняков Юрий Вишняков ЮрийРуководитель отдела практической информационной безопасности

Теоретическая база знаний

Пентест (Pentest): как найти дыры в защите раньше хакеров

Внедрение антивирусного ПО и регулярный инструктаж персонала формируют базовый контур безопасности, однако не подтверждают устойчивость инфраструктуры к направленным атакам. Объективная оценка защищенности достигается через практическую верификацию — легальную имитацию действий злоумышленника. Пентест информационных систем позволяет обнаружить критические уязвимости до их эксплуатации внешними нарушителями. По результатам тестирования формируется детальный отчет по пентесту, содержащий описание верифицированных векторов атак и прикладные рекомендации по усилению ИТ-периметра.

Внешний и внутренний Pentest: имитация реальных кибератак

Простого сканирования недостаточно. Сканеры видят лишь известные программные ошибки, но они не учитывают человеческий фактор или сложные цепочки взаимодействий. Настоящая имитация атак – это комплексный подход, разделенный на два вектора:

  • Внешнее тестирование: Наши эксперты атакуют публичные ресурсы – сайты, почтовые серверы и VPN-шлюзы. Мы проверяем, насколько легко проникнуть в вашу сеть из интернета.
  • Внутреннее тестирование: Проверяется сценарий, при котором злоумышленник уже находится внутри (например, через зараженный ноутбук сотрудника). Цель – захватить контроллер домена и получить доступ к конфиденциальным данным.
ПараметрВнешний PentestВнутренний Pentest
Точка входаИнтернет, публичные IPЛокальная сеть, Wi-Fi
Объект атакиСайт, почта, облачные сервисыБазы данных, CRM, рабочие станции
ЦельПрорыв периметраПовышение привилегий, кража данных

Заказывая pentest на заказ, вы инвестируете в реальную безопасность, получая доказательства «взлома» конкретных систем, таких как CRM или почтовые сервер.

Анализ уязвимостей сети и тестирование веб-приложений

Большинство атак начинается через веб-интерфейсы. SQL-инъекции и подбор паролей остаются классикой взлома. Проводя анализ уязвимостей сети, наши инженеры сканируют порты и сервисы на наличие CVE (известных ошибок).

Важной частью работы является проверка безопасности сайта. Мы вручную и с помощью инструментов (Burp Suite, Metasploit) проверяем личные кабинеты и платежные шлюзы. Кроме того, мы проводим стресс тестирование ИТ систем, чтобы понять, как инфраструктура поведет себя под пиковой нагрузкой во время атаки.

Оценка эффективности текущих средств защиты информации

Многие компании тратят миллионы на средства защиты, которые настроены неверно. Наш экспертный аудит показывает, работают ли ваши вложения на самом деле. В процессе работы проводится глубокая проверка защиты данных, где мы оцениваем:

  • Способность SIEM-систем видеть подозрительную активность.
  • Качество настройки межсетевых экранов.
  • Надежность политик доступа к серверам.

Грамотная защита от несанкционированного доступа – это не только наличие софта, но и его правильная конфигурация. Мы помогаем оптимизировать бюджет, убирая бесполезные инструменты и усиливая критические узлы.

Проверка устойчивости к социальной инженерии

Хакерам проще обмануть бухгалтера, чем взломать сложный шифр. В рамках услуги проводятся киберучения:

  • Фишинговые рассылки: проверяем, кто перейдет по ссылке.
  • Вишинг: имитация звонков от «техподдержки».
  • Тесты с носителями: проверка реакции на «подброшенные» флешки.

Это позволяет точечно обучить персонал, минимизируя риск того, что один неосторожный клик приведет к компрометации всей сети.

Технический отчет с описанием векторов атак

Итогом работы становится документ, который превращает хаос из тысяч уязвимостей в четкий план действий. Мы структурируем результаты проведенных пентестов так, чтобы они были понятны и бизнесу, и технарям.

Что включает отчет:

  • Пошаговое описание взлома: скриншоты и логи каждой успешной атаки.
  • Приоритезация: какие дыры нужно закрыть немедленно, а какие подождут.
  • Рекомендации: конкретные инструкции для системных администраторов и разработчиков.

Качественное тестирование на проникновение, цена которого всегда ниже ущерба от реального взлома, дает вам уверенность в завтрашнем дне. Компания «Кредо-С» предлагает профессиональный ИТ аутсорсинг в сфере безопасности. Мы поможем вам не просто найти ошибки, но и выстроить непреодолимую защиту.

Проверьте готовность вашей компании к отражению реальных кибератак, опираясь на наши стандарты и методологию проведения пентеста.

Часто задаваемые вопросы

Можно ли проводить пентест без лицензии ФСТЭК?
Если пентест проводится как самостоятельная коммерческая услуга по договору с владельцем системы — отдельная лицензия не требуется. Когда тестирование входит в состав работ по защите ГИС, ИСПДн или объектов КИИ (аттестация, требования приказов ФСТЭК №117 (ГИС)/21 (ИСПДн)/239 (КИИ)), исполнитель должен иметь лицензию ФСТЭК на ТЗКИ. КРЕДО-С — лицензиат ФСТЭК России, отчёт принимается в составе аттестационных работ.
Сколько стоит пентест?
Цена зависит от типа работ (внешний периметр, веб-приложение или внутренняя сеть), числа узлов и глубины тестирования. Точную смету называем после бесплатного предварительного обследования объёма работ. Вы платите за реальный объём, а не за усреднённый пакет.
Чем пентест отличается от анализа защищённости и DevSecOps?
Пентест — имитация атаки реального злоумышленника с ручной эксплуатацией уязвимостей. Анализ защищённости — преимущественно инструментальное сканирование без эксплуатации. DevSecOps — встраивание проверок безопасности в процесс разработки. Пентест даёт глубину и подтверждённый риск, сканирование — широту охвата.
Какие виды пентеста бывают?
Внешний (атака из интернета на периметр), внутренний (из локальной сети), пентест веб-приложений, социальная инженерия, пентест инфраструктуры. По уровню доступа: без данных - метод чёрного ящика, с частичными данными - метод серого ящика, с полным доступом к документации и коду - метод белого ящика.
Что входит в отчёт по пентесту?
Список уязвимостей с CVSS-оценкой, демонстрация эксплуатации уязвимостей, бизнес-риски, рекомендации по устранению и краткое резюме для руководства.
Чем внешний пентест отличается от внутреннего?
Внешний пентест моделирует атаку из интернета на публичный периметр — сайт, почтовые и VPN-серверы, опубликованные сервисы. Внутренний пентест имитирует нарушителя, уже получившего доступ в сеть (инсайдер или скомпрометированная учётка), и проверяет возможность развития атаки внутри инфраструктуры. Для полной картины защищённости заказывают оба вида.
Как заказать пентест и сколько занимает проект?
Чтобы заказать пентест, оставьте заявку — мы согласуем модель нарушителя, перечень целей и формат (черный/серый/белый ящик), подпишем договор и NDA. Типовой проект занимает от 2 до 4 недель в зависимости от объёма инфраструктуры. По итогам вы получаете отчёт с найденными уязвимостями, оценкой по CVSS и рекомендациями.
Что входит в услуги пентеста?
Услуги пентеста включают разведку и инвентаризацию целей, поиск и эксплуатацию уязвимостей, анализ возможности развития атаки и повышения привилегий, а также итоговый отчёт с приоритизацией находок по CVSS и планом устранения. По запросу проводим повторное тестирование после исправлений. Заказать или купить пентест можно по фиксированной в договоре стоимости.
Как часто нужно проводить пентест?
Рекомендуется проводить пентест не реже одного раза в год, а также после значимых изменений: запуска новых сервисов, обновления инфраструктуры, миграции в облако. Для объектов КИИ и финансовых организаций периодичность тестирования на проникновение может быть закреплена требованиями регуляторов.
Проводите ли вы пентест сайта и веб-приложений?
Да, пентест сайта и веб-приложений — отдельное направление. Мы проверяем уязвимости из списка OWASP Top 10: инъекции, обход аутентификации, небезопасные прямые ссылки на объекты, XSS и другие. Тестируем как публичные сайты, так и личные кабинеты и API.
Отзывы
5.0

ФГАОУВО "Самарский национальный исследовательский университет имени академика С.П. Королева"

От лица федерального государственного автономного образовательного учреждения высшего образования «Самарский национальный исследовательский университет имени академика С.П. Королева» (Самарский университет) выражаю благодарность…

Благодарственное письмо
Реализованные проекты
2025 ООО «СФТ ГРУПП»

ООО «СФТ ГРУПП»

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Хочу получать новости и полезные материалы на email — необязательно

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва