КРЕДО-С
CREDOS:RED/Пентест и киберучения

Тестирование на проникновение

Тестирование на проникновение: реальная эксплуатация уязвимостей вашей инфраструктуры с доказательствами и оценкой ущерба. Внешний периметр, веб-приложения, внутренняя сеть — от 1 недели. Отчёт с приоритетами и планом устранения.

Для кого: Финансовый сектор, e-commerce, субъекты КИИ, компании перед аттестацией

OWASPRed TeamФСТЭК
1–3 недели
Внешний периметр
3–6 недель
Комплексный пентест
5 рабочих дней
Предварительные результаты
Услуга «Тестирование на проникновение» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Тестирование на проникновение: реальная эксплуатация уязвимостей вашей инфраструктуры с доказательствами и оценкой ущерба. Внешний периметр, веб-приложения, внутренняя сеть — от 1 недели. Отчёт с приоритетами и планом устранения. Категория: Пентест и киберучения. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Вы думаете, что ваша инфраструктура защищена. Пентест проверяет, так ли это на самом деле — глазами реального злоумышленника.

В отличие от анализа защищённости, тестирование на проникновение предполагает активную эксплуатацию обнаруженных уязвимостей. Специалисты не просто составляют список слабых мест — они проходят через них до конца: захватывают учётные записи, перемещаются по сети, добираются до критичных данных. Клиент видит не теоретический риск, а реальную цепочку атаки с доказательствами.

Пентест входит в перечень мер по контролю защищённости согласно Приказам ФСТЭК №239 и №117. Указ Президента РФ № 250 от 01.05.2022 обязывает стратегические предприятия проводить оценку уровня защищённости с привлечением лицензиатов ФСТЭК — пентест является одним из ключевых методов такой оценки. Результаты применяются при расчёте КЗИ (коэффициента защищённости информационной системы) по Приказу ФСТЭК №117 и при оценке соответствия ГОСТ Р 57580 для финансовых организаций.

КРЕДО-С проводит тестирование по трём методологиям:

Black Box — без предварительной информации об инфраструктуре. Специалисты ведут разведку из открытых источников (OSINT), сканируют внешний периметр, ищут и эксплуатируют уязвимости в публичных сервисах — точно так же, как действует внешний злоумышленник.

Gray Box — с частичной информацией: учётными записями пользователей и доступом к внутренней сети. Моделируется инсайдерская угроза или сценарий после первичной компрометации. Оценивается горизонтальное перемещение, повышение привилегий, доступ к критичным ресурсам. Наиболее приближён к реальным условиям взлома.

White Box — с полной информацией об архитектуре, исходными кодами и документацией. Обеспечивает максимальную глубину проверки: выявляет скрытые уязвимости и ошибки бизнес-логики, которые не видны снаружи.

Направления пентеста: внешний периметр (веб-серверы, почта, VPN-шлюзы), внутренний периметр (Active Directory, сетевая инфраструктура, критичные серверы), веб-приложения по OWASP Top 10 (SQL-инъекции, XSS, CSRF, небезопасные конфигурации), беспроводные сети (Wi-Fi, Bluetooth), мобильные приложения (iOS, Android, анализ API).

По итогам — детальный отчёт с доказательствами эксплуатации (скриншоты, логи, видеозаписи), оценкой критичности по CVSS и конкретными рекомендациями по устранению с приоритизацией. Отчёт разделён на две части: Executive Summary для руководства без технических деталей и технический раздел для ИТ-команды.

Почему сканер уязвимостей не заменяет пентест: автоматические сканеры находят известные CVE, но не могут проверить цепочку атаки, эксплуатировать уязвимости бизнес-логики, проверить сегментацию сети или получить реальный доступ к критичным данным. Пентест показывает не «что есть», а «что злоумышленник реально сможет сделать».

После устранения критичных уязвимостей КРЕДО-С проводит повторное тестирование (ретест) и подтверждает закрытие каждого вектора атаки. Итоговое письмо о результатах ретеста принимается при проверках ФСТЭК и аудитах по ГОСТ Р 57580.

Специалисты КРЕДО-С имеют сертификации OSCP, CEH. Компания имеет лицензии ФСТЭК и ФСБ России. Точную стоимость пентеста рассчитайте в калькуляторе на сайте — занимает 2 минуты.

Как проходит работа

1

Разведка и планирование

Определяем скоуп, модель нарушителя (Black/Gray/White Box), правила взаимодействия. Подписываем NDA и разрешение на тестирование.

2

Сбор информации

OSINT, перечисление поддоменов, сканирование портов, fingerprinting сервисов. Формируем карту атаки.

3

Поиск и эксплуатация уязвимостей

Тестируем найденные уязвимости: SQL-инъекции, RCE, SSRF, повышение привилегий. Фиксируем каждый шаг с доказательствами.

4

Продвижение по сети

Lateral movement: захват учётных данных, эскалация привилегий, доступ к критичным системам. Оцениваем реальный ущерб.

5

Отчёт и демонстрация

Детальный отчёт: каждая уязвимость с PoC, скриншотами, оценкой критичности по CVSS и рекомендациями по устранению.

6

Ретест

После устранения критичных уязвимостей проводим повторное тестирование. Подтверждаем закрытие векторов атаки.

Ключевые преимущества

Внешний периметр

Веб-серверы, почта, VPN-шлюзы, DNS, публичные API — всё, что доступно из интернета. OSINT + разведка + эксплуатация уязвимостей как внешний злоумышленник

Внутренний периметр

Active Directory, файловые серверы, критичные системы, сегментация сети. Горизонтальное перемещение и повышение привилегий — модель инсайдера или постэксплуатации

Веб-приложения

OWASP Top 10: SQL-инъекции, XSS, CSRF, IDOR, небезопасные конфигурации, логические уязвимости бизнес-процессов, API security

Беспроводные сети

Wi-Fi: взлом WPA2-Enterprise, Evil Twin, перехват трафика, Bluetooth. Поиск несанкционированных точек доступа в периметре

Мобильные приложения

iOS и Android: анализ APK/IPA, reverse engineering, небезопасное хранение данных, обход SSL Pinning, уязвимости API

Что входит

  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • Тестирование беспроводных сетей и мобильных приложений
  • Пост-эксплуатация: горизонтальное перемещение, повышение привилегий
  • Детальный отчёт с доказательствами и рекомендациями
  • Повторное тестирование после устранения уязвимостей

Результаты работы

Отчёт о тестировании на проникновение с доказательствами эксплуатации
Перечень обнаруженных уязвимостей с оценкой критичности (CVSS)
Рекомендации по устранению с приоритизацией
Описание сценариев атак и потенциального ущерба
Отчёт о повторном тестировании после устранения
CREDOS:RED

Почему КРЕДО-С

Сертифицированные специалисты OSCP, CEH с опытом Red Team и практическими CTF

Методологии PTES, OWASP, NIST SP 800-115 — ручной анализ, не просто автосканер

Три сценария: снаружи как внешний хакер (Black Box), изнутри как инсайдер (Gray Box), с кодом (White Box)

Доказательства каждой атаки: скриншоты, логи, видеозапись цепочки — не просто список CVE

Лицензии ФСТЭК и ФСБ России — результаты принимают регуляторы

Проекты по этой услуге

Тестирование на проникновение в инфраструктуру аэрокосмического университета
Образование
NDA
2023

Тестирование на проникновение в инфраструктуру аэрокосмического университета

Пентест

Пентест методом «серого ящика» для выявления уязвимостей ИС национального аэрокосмического университета: четыре этапа тестирования, ранжирование уязвимостей по критичности, рекомендации по устранению.

  • Проверены все системы и цифровые сервисы на уязвимости
  • Определены «слабые места» ИТ-инфраструктуры университета
  • Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Подробнее о кейсе
Пентест ИТ-инфраструктуры международного аэропорта: 4 000+ АРМ и симуляция DoS
Транспорт
NDA
2023

Пентест ИТ-инфраструктуры международного аэропорта: 4 000+ АРМ и симуляция DoS

ПентестАнализ защищенности

Тестирование на проникновение ИТ-инфраструктуры международного аэропорта — объекта КИИ: проверено более 4 000 АРМ, симулирована DoS-атака, выявлены вредоносные программы на основе Petya и WannaCry.

  • Протестировано на уязвимости более 4 000 АРМ и сымитирована DoS-атака
  • В ОС Windows XP выявлены вредоносные программы на основе вирусов Petya и WannaCry
  • Сформирована модель угроз информационной безопасности с рекомендациями по устранению
Подробнее о кейсе
Пентест четырёх типов для компании онлайн-ритейла: периметр, веб, сеть, Wi-Fi
Электронная коммерция
NDA
2024

Пентест четырёх типов для компании онлайн-ритейла: периметр, веб, сеть, Wi-Fi

ПентестАнализ защищенности ИС

Комплексный пентест компании онлайн-ритейла: тестирование внешнего периметра, веб-приложений, внутренней сети и беспроводной сети с повторным тестом после устранения уязвимостей.

  • Проведён пентест четырёх типов: внешний периметр, веб-приложения, внутренняя сеть, беспроводная сеть
  • Выявлены и устранены слабые места в системе информационной безопасности
  • Выполнено повторное тестирование с учётом принятых мер — подтверждено закрытие критичных уязвимостей
Подробнее о кейсе

Другие услуги

Пентест и киберучения

Анализ защищённости

CREDOS:ASM

Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.

ФСТЭКГосСОПКА
  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • и ещё 4...
Подробнее
Пентест и киберучения

Киберучения и фишинг-тесты

CREDOS:CAMP

Контролируемая проверка: сколько сотрудников откроют фишинговое письмо и введут пароль. По итогам — обучение и повторный тест. Снижение уязвимости персонала в 3–5 раз.

Фишинг-тестRed/Blue Team
  • Разведка (OSINT) и сбор информации о сотрудниках
  • Разработка сценариев фишинговых атак под специфику организации
  • Проведение контролируемой фишинговой рассылки с отслеживанием
  • Анализ результатов по подразделениям и должностям
  • и ещё 4...
Подробнее
Мониторинг и SOC

Киберразведка (TI)

CREDOS:TI

Антивирус защищает от вчерашних угроз, SOC ловит сегодняшние — а Threat Intelligence предупреждает о завтрашних. КРЕДО-С собирает данные об угрозах, специфичных для вашей отрасли, и превращает их в действия: блокировки, правила корреляции, оповещения.

Проактивная защитаДаркнетAPTMITRE ATT&CK
  • Агрегация данных из коммерческих и открытых TI-фидов (F6, Kaspersky, BI.ZONE, MITRE)
  • Мониторинг даркнета и телеграм-каналов на предмет утечек и продажи доступов
  • Профилирование APT-группировок, актуальных для вашей отрасли (TTPs, инструменты)
  • Автоматическая доставка IoC в SIEM/СЗИ (IP, домены, хеши, URL)
  • и ещё 4...
Подробнее

Актуально для отраслей

Финансовый секторГосударственные учрежденияТорговля и ритейл

Часто задаваемые вопросы

Что такое пентест и чем он отличается от сканирования уязвимостей?
Пентест (тестирование на проникновение) — контролируемая имитация действий реального злоумышленника для оценки защищённости информационных систем. В отличие от сканирования уязвимостей, пентест предполагает активную эксплуатацию: специалисты не просто составляют список CVE, а проверяют реальную цепочку атаки — от первоначального доступа до захвата критичных данных. Автоматический сканер не найдёт уязвимость бизнес-логики и не проверит, можно ли из DMZ попасть в сегмент АСУ ТП. Пентест отвечает на вопрос «что злоумышленник реально сможет сделать», а не «какие CVE есть в базе».
Какие виды пентеста существуют?
Существуют три основных вида: Black Box — тестирование без информации об инфраструктуре (имитация внешнего злоумышленника), Gray Box — с частичной информацией (моделирование инсайдерской угрозы), White Box — с полным доступом к архитектуре и исходным кодам (максимально глубокая проверка).
Сколько времени занимает тестирование на проникновение?
Сроки зависят от масштаба и сложности инфраструктуры. Пентест внешнего периметра занимает от 1 до 3 недель, комплексное тестирование с внутренним периметром и веб-приложениями — от 3 до 6 недель. В сроки входит подготовка, тестирование и формирование отчёта.
Как часто нужно проводить пентест?
Рекомендуется проводить пентест не реже одного раза в год, а также после значительных изменений в инфраструктуре: запуска новых сервисов, миграции систем, обновления сетевой архитектуры. Для объектов КИИ и финансовых организаций периодичность может быть установлена регулятором.
Сколько стоит пентест?
Стоимость зависит от объёма: внешний периметр (до 50 IP) — от 150 000 ₽, веб-приложение (1 сервис) — от 100 000 ₽, комплексный пентест внутренней инфраструктуры — от 300 000 ₽. Точную оценку под вашу инфраструктуру получите в калькуляторе на сайте soc.credos.ru/calculator — займёт 2 минуты и учитывает масштаб, тип объектов и методологию. Итоговая стоимость фиксируется в договоре до начала работ.
Что входит в отчёт о пентесте?
Отчёт включает: Executive Summary для руководства (без технических деталей), технический отчёт с описанием каждой уязвимости (CVSS-оценка, шаги воспроизведения, скриншоты), план устранения с приоритетами и рекомендациями. Опционально — презентация для совета директоров.
Безопасен ли пентест для работающей инфраструктуры?
Да, пентест проводится в согласованном окне и по правилам, которые фиксируются в договоре. Критические системы (АСУ ТП, медицинское оборудование) тестируются в щадящем режиме или на тестовой копии. Команда согласовывает все деструктивные действия до выполнения.
Нужно ли уведомлять регуляторов перед пентестом?
Для субъектов КИИ пентест должен быть включён в план мероприятий по безопасности и согласован с ФСТЭК. Для финансовых организаций могут потребоваться уведомление ЦБ РФ. КРЕДО-С помогает с оформлением всей необходимой документации перед проведением работ.
Как обосновать руководству необходимость пентеста?
Три аргумента, которые работают на практике. Первый — регуляторный: Указ Президента №250, Приказы ФСТЭК №239 и №117, требования ЦБ РФ по ГОСТ Р 57580 прямо предусматривают оценку защищённости с привлечением лицензиатов ФСТЭК. Штраф за несоблюдение выше стоимости пентеста. Второй — экономический: средняя стоимость ликвидации последствий взлома для среднего бизнеса — 4–11 млн ₽ по данным ИБ-рынка. Пентест от 150 000 ₽ выявляет критические уязвимости до атаки. Третий — репутационный: один публичный инцидент обходится дороже любого аудита. КРЕДО-С готовит обоснование и презентацию для совета директоров в рамках проекта.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 10 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC