КРЕДО-С
CREDOS:ASM/Пентест и киберучения

Анализ защищённости

Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.

Для кого: Компании перед внедрением SOC, после инцидента или для выполнения требований регуляторов

ФСТЭКГосСОПКА
2–4 недели
Сроки проведения
3–5 рабочих дней
Предварительные результаты
1–3 дня после устранения
Повторное сканирование
Услуга «Анализ защищённости» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS. Категория: Пентест и киберучения. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Ваша инфраструктура растёт — вместе с ней растёт количество уязвимостей, которые никто не видит. Анализ защищённости даёт полную картину: какие бреши существуют, насколько они опасны и что нужно закрыть в первую очередь.

В отличие от пентеста, анализ защищённости не эксплуатирует уязвимости — он их систематически выявляет и каталогизирует. Это обязательный первый шаг перед пентестом, внедрением SOC и аттестацией системы. Для объектов КИИ — требование регулятора: оценка проводится не реже одного раза в год по приказам ФСТЭК №17 (ГИС), №21 (ИСПДн), №239 (ЗОКИИ).

Этапы анализа защищённости.

Планирование — определяем границы тестирования, согласовываем методологию, формируем перечень проверяемых систем. Учитываем категорию системы (ГИС, ИСПДн, объект КИИ) и актуальные угрозы из Банка данных угроз ФСТЭК (БДУ ФСТЭК).

Автоматизированное сканирование — сертифицированные сканеры (MaxPatrol VM, RedCheck, Сканер-ВС) выявляют известные уязвимости в сетевых сервисах, веб-приложениях, операционных системах, СУБД. Каждое срабатывание верифицируется вручную для исключения ложных результатов. Уязвимости идентифицируются по базе БДУ ФСТЭК — с учётом российского ПО и оборудования (включая Astra Linux, РЕД ОС, Альт, Postgres Pro, Ред Софт).

Ручной анализ конфигураций — проверяем правила межсетевых экранов, политики контроля доступа, настройки антивирусной защиты, конфигурацию IDS/IPS. Выявляем ошибочную сегментацию сети, избыточные права, слабые парольные политики, устаревшее ПО без патчей.

Тестирование механизмов безопасности — проверка аутентификации, разграничения доступа, регистрации событий, резервного копирования. Оцениваем устойчивость к типовым атакам: перебор паролей, эксплуатация известных CVE, обход СЗИ.

Отчёт — уязвимости классифицируются по CVSS (критический, высокий, средний, низкий). Для каждой: описание, затронутые активы, потенциальный ущерб, рекомендации с приоритетами. При необходимости — расчёт показателя защищённости КЗИ по приказу ФСТЭК №117 (действует с 01.03.2026).

Типичные уязвимости, которые находим в инфраструктуре заказчиков: неактуальные версии Active Directory с уязвимостями Zerologon/PrintNightmare, публично доступные RDP и SMB-порты, одинаковые пароли локальных администраторов, SQL-инъекции в самописных веб-приложениях, избыточные права сервисных учётных записей, отсутствие сегментации между офисной сетью и сегментом АСУ ТП. Каждая такая находка — потенциальная точка входа для атакующего.

Встраивание в управление уязвимостями

Разовый анализ защищённости — это моментальный снимок. Для непрерывной защиты мы выстраиваем процесс vulnerability management: периодичные сканирования, интеграция с SOC-мониторингом для обнаружения эксплуатации уязвимостей в реальном времени, SLA на устранение по критичности. Такой цикл соответствует требованиям приказов ФСТЭК и закрывает вопросы регуляторной отчётности.

КРЕДО-С проводит оценку защищённости по методологии на основе NIST SP 800-115, OWASP и БДУ ФСТЭК. Лицензии ФСТЭК (с 2007 года) и ФСБ России (с 2009), опыт работы с ГИС, ИСПДн и объектами КИИ всех категорий значимости.

Как проходит работа

1

Согласование скоупа

Определяем периметр анализа: серверы, сетевое оборудование, веб-приложения, СЗИ. Согласовываем методику и сроки.

2

Автоматизированное сканирование

Запускаем сканеры уязвимостей (MaxPatrol, RedCheck, OpenVAS). Собираем данные о версиях ПО, открытых портах, конфигурациях.

3

Ручной анализ

Проверяем конфигурации МСЭ, политики AD, парольные политики, права доступа. Верифицируем результаты автоматического сканирования.

4

Классификация и приоритизация

Оцениваем уязвимости по CVSS с учётом контекста инфраструктуры. Верифицируем по базе БДУ ФСТЭК. Расставляем приоритеты устранения.

5

Отчёт и рекомендации

Детальный отчёт: перечень уязвимостей, классификация по критичности, план устранения с ответственными и сроками.

6

Контрольное сканирование

После устранения критичных уязвимостей проводим повторное сканирование. Подтверждаем закрытие и рассчитываем КЗИ.

Ключевые преимущества

Охват анализа

Полное сканирование ИТ-инфраструктуры: серверы, сетевые устройства, веб-приложения, СУБД и средства защиты информации

Отчёт об уязвимостях

Детальный перечень уязвимостей с классификацией по CVSS, верификацией по базе БДУ ФСТЭК и доказательствами обнаружения

План устранения

Приоритизированные рекомендации по устранению уязвимостей с указанием сроков, ответственных и оценкой трудозатрат

Проверка соответствия

Оценка выполнения требований приказов ФСТЭК 17/117, 21, 239 и расчёт показателя защищённости КЗИ

Что входит

  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • Верификация уязвимостей по базе БДУ ФСТЭК России
  • Оценка рисков с классификацией по CVSS
  • Рекомендации по устранению уязвимостей с приоритизацией
  • Расчёт показателя защищённости для приказа ФСТЭК №117

Результаты работы

Отчёт об анализе защищённости с перечнем выявленных уязвимостей
Классификация уязвимостей по уровням критичности (CVSS)
Рекомендации по устранению с указанием приоритетов
Расчёт показателя защищённости КЗИ
Повторное сканирование после устранения критичных уязвимостей
CREDOS:ASM

Почему КРЕДО-С

Сканирование + ручной анализ: не пропускаем то, что не видит автоматика

Каждая уязвимость верифицируется — в отчёт попадают только реальные находки

Уязвимости идентифицируются по БДУ ФСТЭК — включая российское ПО и СУБД

Опыт работы с ГИС, ИСПДн и объектами КИИ 1–3 категорий

Лицензии ФСТЭК и ФСБ России

Проекты по этой услуге

Тестирование на проникновение в инфраструктуру аэрокосмического университета
Образование
NDA
2023

Тестирование на проникновение в инфраструктуру аэрокосмического университета

Пентест

Пентест методом «серого ящика» для выявления уязвимостей ИС национального аэрокосмического университета: четыре этапа тестирования, ранжирование уязвимостей по критичности, рекомендации по устранению.

  • Проверены все системы и цифровые сервисы на уязвимости
  • Определены «слабые места» ИТ-инфраструктуры университета
  • Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Подробнее о кейсе
Пентест ИТ-инфраструктуры международного аэропорта: 4 000+ АРМ и симуляция DoS
Транспорт
NDA
2023

Пентест ИТ-инфраструктуры международного аэропорта: 4 000+ АРМ и симуляция DoS

ПентестАнализ защищенности

Тестирование на проникновение ИТ-инфраструктуры международного аэропорта — объекта КИИ: проверено более 4 000 АРМ, симулирована DoS-атака, выявлены вредоносные программы на основе Petya и WannaCry.

  • Протестировано на уязвимости более 4 000 АРМ и сымитирована DoS-атака
  • В ОС Windows XP выявлены вредоносные программы на основе вирусов Petya и WannaCry
  • Сформирована модель угроз информационной безопасности с рекомендациями по устранению
Подробнее о кейсе
Анализ защищённости ИС авиастроительной корпорации: 2 000 специалистов, 1 300 изделий
Авиакосмическая промышленность
NDA
2024

Анализ защищённости ИС авиастроительной корпорации: 2 000 специалистов, 1 300 изделий

Анализ защищенности ИС

Комплексный анализ защищённости ИТ-инфраструктуры авиастроительной корпорации с более чем полувековой историей: внешний и внутренний периметры, политики СЗИ, приоритизация уязвимостей по критичности.

  • Подготовлен Аналитический отчёт по оценке защищённости с подробным анализом уязвимых мест и рекомендациями
  • Подготовлен Технический отчёт с детальными рекомендациями по устранению уязвимостей — достаточными для самостоятельного устранения штатными специалистами
  • Выявлены уязвимости с присвоением уровней критичности для правильной приоритизации
Подробнее о кейсе
Анализ защищённости НПП авиакосмического приборостроения: реакция на рост атак
Авиакосмическая промышленность
NDA
2024

Анализ защищённости НПП авиакосмического приборостроения: реакция на рост атак

Анализ защищенности ИС

Комплексный анализ защищённости ИТ-инфраструктуры научно-производственного предприятия авиакосмического приборостроения — инициирован после выявления роста числа атак через непрерывный мониторинг КРЕДО-С.

  • Выявлены уязвимости и определены направления усиления защищённости
  • Проведён анализ конфигурации сетевого оборудования и средств защиты
  • Разработана стратегия развития системы ИБ предприятия
Подробнее о кейсе

Другие услуги

Пентест и киберучения

Тестирование на проникновение

CREDOS:RED

Тестирование на проникновение: реальная эксплуатация уязвимостей вашей инфраструктуры с доказательствами и оценкой ущерба. Внешний периметр, веб-приложения, внутренняя сеть — от 1 недели. Отчёт с приоритетами и планом устранения.

OWASPRed TeamФСТЭК
  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • и ещё 4...
Подробнее
Аудит и оценка

Аудит информационной безопасности

CREDOS:AUDIT

Регулятор приходит не предупреждая. Аудит ИБ показывает, что он увидит — и что нужно исправить до его визита.

ФСТЭКФСБГОСТ 57580
  • Экспертный аудит организационных и технических мер защиты информации
  • Сканирование ИТ-инфраструктуры на уязвимости сертифицированными сканерами
  • Анализ архитектуры информационных систем и сетевой инфраструктуры
  • Проведение интервью с ключевыми сотрудниками и анализ процессов ИБ
  • и ещё 4...
Подробнее
Мониторинг и SOC

Мониторинг событий ИБ (SOC)

CREDOS:SOC

Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты и оповещает до 30 минут.

24/7КИИФСТЭК
  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • и ещё 3...
Подробнее

Часто задаваемые вопросы

Что такое анализ защищённости?
Анализ защищённости — это комплексная оценка безопасности ИТ-инфраструктуры, включающая автоматизированное сканирование уязвимостей и ручной анализ конфигураций средств защиты информации. Цель — выявить технические уязвимости и слабые места в настройках СЗИ, операционных систем, сетевого оборудования, веб-приложений и баз данных. Каждая находка верифицируется по Банку данных угроз ФСТЭК (БДУ ФСТЭК) и получает оценку по шкале CVSS. По итогам заказчик получает детальный отчёт с планом устранения и приоритетами.
Чем анализ защищённости отличается от пентеста?
Анализ защищённости — это каталогизация уязвимостей без их эксплуатации. Пентест идёт дальше — специалисты реально эксплуатируют найденные уязвимости, имитируя действия злоумышленника, и демонстрируют практические последствия (доступ к данным, повышение привилегий, выход в интернет). Анализ защищённости отвечает на вопрос «какие уязвимости есть», пентест — «что именно сможет сделать атакующий». Логика: сначала анализ защищённости (закрыть очевидные дыры), через полгода — пентест (проверить глубину защиты уже выстроенного периметра).
Какие уязвимости выявляются при анализе защищённости?
Выявляются уязвимости сетевых сервисов, веб-приложений, операционных систем, СУБД, ошибки конфигурации межсетевых экранов, избыточные права доступа, слабые парольные политики, устаревшее ПО без патчей. Типичные находки: неактуальный Active Directory с Zerologon/PrintNightmare, публичные RDP/SMB-порты, SQL-инъекции в самописных веб-приложениях, отсутствие сегментации между офисной сетью и АСУ ТП, одинаковые пароли локальных администраторов. Все находки верифицируются по БДУ ФСТЭК и классифицируются по CVSS.
Что получает заказчик по итогам анализа защищённости?
Заказчик получает детальный отчёт: перечень уязвимостей с классификацией по критичности (CVSS), привязкой к затронутым активам, оценкой потенциального ущерба и конкретными рекомендациями. Рекомендации приоритизированы: сначала критические уязвимости (доступные из интернета и с известными эксплойтами), затем высокие и средние. Для объектов КИИ — расчёт показателя защищённости КЗИ по приказу ФСТЭК №117. После устранения критичных уязвимостей КРЕДО-С проводит повторное сканирование и подтверждает закрытие.
Как часто нужно проводить анализ защищённости?
Для субъектов КИИ приказ ФСТЭК №239 требует периодической оценки — рекомендуемая практика: полный анализ защищённости не реже одного раза в год и после значимых изменений инфраструктуры (переезд, новые сервисы, слияние компаний). В промежутках между ежегодными оценками непрерывный SOC-мониторинг обеспечивает оперативное выявление эксплуатации новых уязвимостей. Для ГИС и ИСПДн частота определяется классом защищённости и моделью угроз — но ежегодный анализ считается базовой практикой.
Сколько стоит анализ защищённости?
Стоимость зависит от числа проверяемых хостов, глубины анализа (только автоматизированное сканирование, сканирование + ручной анализ конфигураций СЗИ, с тестированием механизмов безопасности) и необходимости выезда специалистов. Для инфраструктуры до 50 хостов — от 150 000 ₽, для средних — от 500 000 ₽, для объектов КИИ с полным циклом — от 1 млн ₽. Предварительную оценку можно получить на калькуляторе soc.credos.ru или оставив заявку — КРЕДО-С проведёт установочную консультацию.
Какие сканеры уязвимостей используются?
Применяются сертифицированные ФСТЭК России сканеры: MaxPatrol VM (Positive Technologies), RedCheck, Сканер-ВС 6. Для веб-приложений — Acunetix, OWASP ZAP с последующей ручной верификацией. Все сканеры работают с актуальной базой БДУ ФСТЭК и покрывают российское ПО: Astra Linux, РЕД ОС, Альт Linux, Postgres Pro, Континент, ViPNet. Автоматизированное сканирование обязательно дополняется ручным анализом — 30–40% реальных уязвимостей лежит в конфигурациях, которые сканеры не оценивают.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 10 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC