КРЕДО-С
CREDOS:ASM/Пентест и киберучения

Анализ защищённости

Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.

Для кого: Компании перед внедрением SOC, после инцидента или для выполнения требований регуляторов

ФСТЭКГосСОПКА
2–4 недели
Сроки проведения
3–5 рабочих дней
Предварительные результаты
1–3 дня после устранения
Повторное сканирование
Услуга «Анализ защищённости» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS. Категория: Пентест и киберучения. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Ваша инфраструктура растёт — вместе с ней растёт и количество уязвимостей, которые никто не видит. Анализ защищённости даёт полную картину: какие бреши существуют, насколько они опасны и что нужно закрыть в первую очередь.

В отличие от пентеста, анализ защищённости не эксплуатирует уязвимости — он их систематически выявляет и каталогизирует. Это обязательный первый шаг перед пентестом, перед внедрением SOC и перед аттестацией системы. Для объектов КИИ — требование регулятора: оценка проводится не реже одного раза в год по приказам ФСТЭК 17, 21, 239.

Этапы анализа защищённости:

Планирование — определяются границы тестирования, согласовывается методология, формируется перечень проверяемых систем. Учитываются категория системы (ГИС, ИСПДн, объект КИИ) и актуальные угрозы из Банка данных угроз ФСТЭК (БДУ ФСТЭК).

Автоматизированное сканирование — сертифицированные сканеры безопасности выявляют известные уязвимости в сетевых сервисах, веб-приложениях, операционных системах, СУБД. Каждое срабатывание верифицируется вручную для исключения ложных результатов. Уязвимости идентифицируются по базе БДУ ФСТЭК — с учётом российского ПО и оборудования.

Ручной анализ конфигураций — проверяются правила межсетевых экранов, политики контроля доступа, настройки антивирусной защиты, конфигурация IDS/IPS. Выявляются: ошибочная сегментация сети, избыточные права, слабые парольные политики, устаревшее ПО без патчей.

Тестирование механизмов безопасности — проверка аутентификации, разграничения доступа, регистрации событий, резервного копирования. Оценивается устойчивость к типовым атакам: перебор паролей, эксплуатация известных CVE, обход СЗИ.

Отчёт — уязвимости классифицируются по CVSS (критический, высокий, средний, низкий). Для каждой: описание, затронутые активы, потенциальный ущерб, рекомендации с приоритетами. При необходимости — расчёт показателя КЗИ для приказа ФСТЭК №117.

КРЕДО-С проводит оценку защищённости по методологии на основе NIST SP 800-115, OWASP и БДУ ФСТЭК. Лицензии ФСТЭК и ФСБ России, опыт работы с ГИС, ИСПДн и объектами КИИ всех классов.

Как проходит работа

1

Согласование скоупа

Определяем периметр анализа: серверы, сетевое оборудование, веб-приложения, СЗИ. Согласовываем методику и сроки.

2

Автоматизированное сканирование

Запускаем сканеры уязвимостей (MaxPatrol, RedCheck, OpenVAS). Собираем данные о версиях ПО, открытых портах, конфигурациях.

3

Ручной анализ

Проверяем конфигурации МСЭ, политики AD, парольные политики, права доступа. Верифицируем результаты автоматического сканирования.

4

Классификация и приоритизация

Оцениваем уязвимости по CVSS с учётом контекста инфраструктуры. Верифицируем по базе БДУ ФСТЭК. Расставляем приоритеты устранения.

5

Отчёт и рекомендации

Детальный отчёт: перечень уязвимостей, классификация по критичности, план устранения с ответственными и сроками.

6

Контрольное сканирование

После устранения критичных уязвимостей проводим повторное сканирование. Подтверждаем закрытие и рассчитываем КЗИ.

Направления

Охват анализа

Полное сканирование ИТ-инфраструктуры: серверы, сетевые устройства, веб-приложения, СУБД и средства защиты информации

Отчёт об уязвимостях

Детальный перечень уязвимостей с классификацией по CVSS, верификацией по базе БДУ ФСТЭК и доказательствами обнаружения

План устранения

Приоритизированные рекомендации по устранению уязвимостей с указанием сроков, ответственных и оценкой трудозатрат

Проверка соответствия

Оценка выполнения требований приказов ФСТЭК 17/117, 21, 239 и расчёт показателя защищённости КЗИ

Что входит

  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • Верификация уязвимостей по базе БДУ ФСТЭК России
  • Оценка рисков с классификацией по CVSS
  • Рекомендации по устранению уязвимостей с приоритизацией
  • Расчёт показателя защищённости для приказа ФСТЭК №117

Результаты работы

Отчёт об анализе защищённости с перечнем выявленных уязвимостей
Классификация уязвимостей по уровням критичности (CVSS)
Рекомендации по устранению с указанием приоритетов
Расчёт показателя защищённости КЗИ
Повторное сканирование после устранения критичных уязвимостей
CREDOS:ASM

Почему КРЕДО-С

Сканирование + ручной анализ: не пропускаем то, что не видит автоматика

Каждая уязвимость верифицируется — в отчёт попадают только реальные находки

Уязвимости идентифицируются по БДУ ФСТЭК — включая российское ПО и СУБД

Опыт работы с ГИС, ИСПДн и объектами КИИ 1–3 категорий

Лицензии ФСТЭК и ФСБ России

Проекты по этой услуге

Тестирование на проникновение в инфраструктуру аэрокосмического университета
Образование
NDA
2023

Тестирование на проникновение в инфраструктуру аэрокосмического университета

Пентест

Пентест методом «серого ящика» для выявления уязвимостей информационных систем национального научно-исследовательского университета в сфере аэрокосмических технологий.

  • Проверены все системы и цифровые сервисы на уязвимости
  • Определены «слабые места» ИТ-инфраструктуры университета
  • Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Подробнее о кейсе
Пентест ИТ-инфраструктуры российского международного аэропорта
Транспорт
NDA
2023

Пентест ИТ-инфраструктуры российского международного аэропорта

ПентестАнализ защищенности

Тестирование на проникновение для выявления уязвимостей ИТ-инфраструктуры международного аэропорта — объекта критической информационной инфраструктуры.

  • Протестировано на уязвимости более 4 000 АРМ и сымитирована DoS-атака
  • В ОС Windows XP выявлены вредоносные программы на основе вирусов Petya и WannaCry
  • Сформирована модель угроз информационной безопасности с рекомендациями по устранению
Подробнее о кейсе
Анализ защищённости ИС авиастроительной корпорации
Авиакосмическая промышленность
NDA
2024

Анализ защищённости ИС авиастроительной корпорации

Анализ защищенности ИС

Комплексный анализ защищённости ИТ-инфраструктуры авиастроительной корпорации с полувековой историей и штатом более 2 000 специалистов.

  • Подготовлен Аналитический отчёт по оценке защищённости с подробным анализом уязвимых мест и описанием рекомендуемых точек роста в системе ИБ
  • Подготовлен Технический отчёт по оценке защищённости с подробными рекомендациями по устранению уязвимостей — полнота отчёта позволяет штатным специалистам самостоятельно устранить выявленные уязвимости
  • Выявлены уязвимости с присвоением уровней критичности для правильной приоритизации
Подробнее о кейсе
Анализ защищённости предприятия авиакосмического приборостроения
Авиакосмическая промышленность
NDA
2024

Анализ защищённости предприятия авиакосмического приборостроения

Анализ защищенности ИС

Комплексный анализ защищённости ИТ-инфраструктуры научно-производственного предприятия (2 000 сотрудников, 1 300 разработанных изделий).

  • Выявлены уязвимости и определены направления усиления защищённости
  • Проведён анализ конфигурации сетевого оборудования и средств защиты
  • Разработана стратегия развития системы ИБ предприятия
Подробнее о кейсе

Другие услуги

Пентест и киберучения

Тестирование на проникновение

Пентест внешнего и внутреннего периметра, веб-приложений и мобильных сервисов по методологии Black/Gray/White Box. Реальная эксплуатация уязвимостей с доказательствами и оценкой ущерба.

OWASPRed TeamФСТЭК
  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • и ещё 4...
Подробнее
Аудит и оценка

Аудит информационной безопасности

Регулятор приходит не предупреждая. Аудит ИБ показывает, что он увидит — и что нужно исправить до его визита.

ФСТЭКФСБГОСТ 57580
  • Экспертный аудит организационных и технических мер защиты информации
  • Сканирование ИТ-инфраструктуры на уязвимости сертифицированными сканерами
  • Анализ архитектуры информационных систем и сетевой инфраструктуры
  • Проведение интервью с ключевыми сотрудниками и анализ процессов ИБ
  • и ещё 4...
Подробнее
Мониторинг и SOC

Мониторинг событий ИБ (SOC)

Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты за 15 минут и реагирует круглосуточно.

24/7ГосСОПКАКИИФСТЭК
  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • и ещё 4...
Подробнее

Часто задаваемые вопросы

Что такое анализ защищённости?
Анализ защищённости — это комплексная оценка безопасности ИТ-инфраструктуры, включающая автоматизированное сканирование уязвимостей и ручной анализ конфигураций. Цель — выявить технические уязвимости и слабые места в настройках средств защиты информации.
Чем анализ защищённости отличается от пентеста?
Анализ защищённости направлен на выявление и каталогизацию уязвимостей без их активной эксплуатации. Пентест идёт дальше — специалисты пытаются реально эксплуатировать найденные уязвимости, имитируя действия злоумышленника, чтобы продемонстрировать практические последствия.
Какие уязвимости выявляются при анализе защищённости?
Выявляются уязвимости сетевых сервисов, веб-приложений, операционных систем, СУБД, ошибки конфигурации межсетевых экранов, избыточные права доступа, слабые парольные политики и устаревшее ПО. Все находки верифицируются по базе БДУ ФСТЭК и классифицируются по CVSS.
Что получает заказчик по итогам анализа защищённости?
Заказчик получает детальный отчёт с перечнем уязвимостей, классификацией по критичности (CVSS), рекомендациями по устранению с приоритизацией и расчётом показателя защищённости. После устранения критичных уязвимостей проводится повторное сканирование.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 15 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC