КРЕДО-С
CREDOS:RED/Пентест и киберучения

Тестирование на проникновение

Пентест внешнего и внутреннего периметра, веб-приложений и мобильных сервисов по методологии Black/Gray/White Box. Реальная эксплуатация уязвимостей с доказательствами и оценкой ущерба.

Для кого: Финансовый сектор, e-commerce, субъекты КИИ, компании перед аттестацией

OWASPRed TeamФСТЭК
1–3 недели
Внешний периметр
3–6 недель
Комплексный пентест
5 рабочих дней
Предварительные результаты
Услуга «Тестирование на проникновение» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Пентест внешнего и внутреннего периметра, веб-приложений и мобильных сервисов по методологии Black/Gray/White Box. Реальная эксплуатация уязвимостей с доказательствами и оценкой ущерба. Категория: Пентест и киберучения. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Вы думаете, что ваша инфраструктура защищена. Пентест проверяет, так ли это на самом деле — глазами реального злоумышленника.

В отличие от анализа защищённости, тестирование на проникновение предполагает активную эксплуатацию обнаруженных уязвимостей. Специалисты не просто составляют список слабых мест — они проходят через них до конца: захватывают учётные записи, перемещаются по сети, добираются до критичных данных. Клиент видит не теоретический риск, а реальную цепочку атаки с доказательствами.

Пентест входит в перечень мер защиты по приказам ФСТЭК 17/117 и 239, является требованием Указа Президента РФ № 250 от 01.05.2022 для ключевых предприятий. Результаты используются при расчёте показателя КЗИ по приказу ФСТЭК №117 и при оценке соответствия ГОСТ 57580 для финансовых организаций.

КРЕДО-С проводит тестирование по трём методологиям:

Black Box — без предварительной информации об инфраструктуре. Специалисты ведут разведку из открытых источников (OSINT), сканируют внешний периметр, ищут и эксплуатируют уязвимости в публичных сервисах — точно так же, как действует внешний злоумышленник.

Gray Box — с частичной информацией: учётными записями пользователей и доступом к внутренней сети. Моделируется инсайдерская угроза или сценарий после первичной компрометации. Оценивается горизонтальное перемещение, повышение привилегий, доступ к критичным ресурсам.

Наиболее приближён к реальным условиям взлома.

White Box — с полной информацией об архитектуре, исходными кодами и документацией. Обеспечивает максимальную глубину проверки: выявляет скрытые уязвимости и ошибки бизнес-логики, которые не видны снаружи.

Направления пентеста: внешний периметр (веб-серверы, почта, VPN-шлюзы), внутренний периметр (Active Directory, сетевая инфраструктура, критичные серверы), веб-приложения по OWASP Top 10 (SQL-инъекции, XSS, CSRF, небезопасные конфигурации), беспроводные сети (Wi-Fi, Bluetooth), мобильные приложения (iOS, Android, анализ API).

По итогам — детальный отчёт с доказательствами эксплуатации (скриншоты, логи, видеозаписи), оценкой критичности по CVSS и конкретными рекомендациями. После устранения критичных уязвимостей проводится повторное тестирование.

Специалисты КРЕДО-С имеют сертификации OSCP, CEH. Компания имеет лицензии ФСТЭК и ФСБ России.

Как проходит работа

1

Разведка и планирование

Определяем скоуп, модель нарушителя (Black/Gray/White Box), правила взаимодействия. Подписываем NDA и разрешение на тестирование.

2

Сбор информации

OSINT, перечисление поддоменов, сканирование портов, fingerprinting сервисов. Формируем карту атаки.

3

Поиск и эксплуатация уязвимостей

Тестируем найденные уязвимости: SQL-инъекции, RCE, SSRF, повышение привилегий. Фиксируем каждый шаг с доказательствами.

4

Продвижение по сети

Lateral movement: захват учётных данных, эскалация привилегий, доступ к критичным системам. Оцениваем реальный ущерб.

5

Отчёт и демонстрация

Детальный отчёт: каждая уязвимость с PoC, скриншотами, оценкой критичности по CVSS и рекомендациями по устранению.

6

Ретест

После устранения критичных уязвимостей проводим повторное тестирование. Подтверждаем закрытие векторов атаки.

Направления

Внешний периметр

Веб-серверы, почта, VPN-шлюзы, DNS, публичные API — всё, что доступно из интернета. OSINT + разведка + эксплуатация уязвимостей как внешний злоумышленник

Внутренний периметр

Active Directory, файловые серверы, критичные системы, сегментация сети. Горизонтальное перемещение и повышение привилегий — модель инсайдера или постэксплуатации

Веб-приложения

OWASP Top 10: SQL-инъекции, XSS, CSRF, IDOR, небезопасные конфигурации, логические уязвимости бизнес-процессов, API security

Беспроводные сети

Wi-Fi: взлом WPA2-Enterprise, Evil Twin, перехват трафика, Bluetooth. Поиск несанкционированных точек доступа в периметре

Мобильные приложения

iOS и Android: анализ APK/IPA, reverse engineering, небезопасное хранение данных, обход SSL Pinning, уязвимости API

Что входит

  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • Тестирование беспроводных сетей и мобильных приложений
  • Пост-эксплуатация: горизонтальное перемещение, повышение привилегий
  • Детальный отчёт с доказательствами и рекомендациями
  • Повторное тестирование после устранения уязвимостей

Результаты работы

Отчёт о тестировании на проникновение с доказательствами эксплуатации
Перечень обнаруженных уязвимостей с оценкой критичности (CVSS)
Рекомендации по устранению с приоритизацией
Описание сценариев атак и потенциального ущерба
Отчёт о повторном тестировании после устранения
CREDOS:RED

Почему КРЕДО-С

Сертифицированные специалисты OSCP, CEH с практикой CTF и Red Team

Методологии PTES, OWASP, NIST SP 800-115 — не просто сканер

Три сценария: снаружи (Black Box), изнутри (Gray Box), с кодом (White Box)

Доказательства каждой атаки: скриншоты, логи, видеозапись цепочки

Лицензии ФСТЭК и ФСБ России

Проекты по этой услуге

Тестирование на проникновение в инфраструктуру аэрокосмического университета
Образование
NDA
2023

Тестирование на проникновение в инфраструктуру аэрокосмического университета

Пентест

Пентест методом «серого ящика» для выявления уязвимостей информационных систем национального научно-исследовательского университета в сфере аэрокосмических технологий.

  • Проверены все системы и цифровые сервисы на уязвимости
  • Определены «слабые места» ИТ-инфраструктуры университета
  • Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Подробнее о кейсе
Пентест ИТ-инфраструктуры российского международного аэропорта
Транспорт
NDA
2023

Пентест ИТ-инфраструктуры российского международного аэропорта

ПентестАнализ защищенности

Тестирование на проникновение для выявления уязвимостей ИТ-инфраструктуры международного аэропорта — объекта критической информационной инфраструктуры.

  • Протестировано на уязвимости более 4 000 АРМ и сымитирована DoS-атака
  • В ОС Windows XP выявлены вредоносные программы на основе вирусов Petya и WannaCry
  • Сформирована модель угроз информационной безопасности с рекомендациями по устранению
Подробнее о кейсе
Пентест и анализ защищённости компании онлайн-ритейла
Электронная коммерция
NDA
2024

Пентест и анализ защищённости компании онлайн-ритейла

ПентестАнализ защищенности ИС

Тестирование на проникновение и анализ защищённости ИТ-инфраструктуры компании дистанционной торговли с десятками тысяч покупателей.

  • Проведён пентест четырёх типов: внешний периметр, веб-приложения, внутренняя сеть, беспроводная сеть
  • Выявлены и устранены слабые места в системе информационной безопасности
  • Выполнено повторное тестирование с учётом принятых мер защиты — подтверждено закрытие критичных уязвимостей
Подробнее о кейсе

Другие услуги

Пентест и киберучения

Анализ защищённости

Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.

ФСТЭКГосСОПКА
  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • и ещё 4...
Подробнее
Пентест и киберучения

Киберучения и фишинг-тесты

Контролируемая проверка: сколько сотрудников откроют фишинговое письмо и введут пароль. По итогам — обучение и повторный тест. Снижение уязвимости персонала в 3–5 раз.

Фишинг-тестRed/Blue Team
  • Разведка (OSINT) и сбор информации о сотрудниках
  • Разработка сценариев фишинговых атак под специфику организации
  • Проведение контролируемой фишинговой рассылки с отслеживанием
  • Анализ результатов по подразделениям и должностям
  • и ещё 4...
Подробнее
Мониторинг и SOC

Киберразведка (TI)

Антивирус защищает от вчерашних угроз, SOC ловит сегодняшние — а Threat Intelligence предупреждает о завтрашних. КРЕДО-С собирает данные об угрозах, специфичных для вашей отрасли, и превращает их в действия: блокировки, правила корреляции, оповещения.

Проактивная защитаДаркнетAPTMITRE ATT&CK
  • Агрегация данных из коммерческих и открытых TI-фидов (F6, Kaspersky, BI.ZONE, MITRE)
  • Мониторинг даркнета и телеграм-каналов на предмет утечек и продажи доступов
  • Профилирование APT-группировок, актуальных для вашей отрасли (TTPs, инструменты)
  • Автоматическая доставка IoC в SIEM/СЗИ (IP, домены, хеши, URL)
  • и ещё 4...
Подробнее

Актуально для отраслей

Финансовый секторГосударственные учрежденияТорговля и ритейл

Часто задаваемые вопросы

Что такое пентест?
Пентест (тестирование на проникновение) — это контролируемая имитация действий реального злоумышленника для оценки защищённости информационных систем. Специалисты ищут и активно эксплуатируют уязвимости, демонстрируя реальные риски и возможный ущерб.
Какие виды пентеста существуют?
Существуют три основных вида: Black Box — тестирование без информации об инфраструктуре (имитация внешнего злоумышленника), Gray Box — с частичной информацией (моделирование инсайдерской угрозы), White Box — с полным доступом к архитектуре и исходным кодам (максимально глубокая проверка).
Сколько времени занимает тестирование на проникновение?
Сроки зависят от масштаба и сложности инфраструктуры. Пентест внешнего периметра занимает от 1 до 3 недель, комплексное тестирование с внутренним периметром и веб-приложениями — от 3 до 6 недель. В сроки входит подготовка, тестирование и формирование отчёта.
Как часто нужно проводить пентест?
Рекомендуется проводить пентест не реже одного раза в год, а также после значительных изменений в инфраструктуре: запуска новых сервисов, миграции систем, обновления сетевой архитектуры. Для объектов КИИ и финансовых организаций периодичность может быть установлена регулятором.
Сколько стоит пентест?
Стоимость пентеста зависит от объёма: внешний периметр (до 50 IP) — от 150 000 ₽, веб-приложение (1 сервис) — от 100 000 ₽, комплексный пентест внутренней инфраструктуры — от 300 000 ₽. Точная стоимость рассчитывается после брифинга с заказчиком.
Что входит в отчёт о пентесте?
Отчёт включает: Executive Summary для руководства (без технических деталей), технический отчёт с описанием каждой уязвимости (CVSS-оценка, шаги воспроизведения, скриншоты), план устранения с приоритетами и рекомендациями. Опционально — презентация для совета директоров.
Безопасен ли пентест для работающей инфраструктуры?
Да, пентест проводится в согласованном окне и по правилам, которые фиксируются в договоре. Критические системы (АСУ ТП, медицинское оборудование) тестируются в щадящем режиме или на тестовой копии. Команда согласовывает все деструктивные действия до выполнения.
Нужно ли уведомлять регуляторов перед пентестом?
Для субъектов КИИ пентест должен быть включён в план мероприятий по безопасности и согласован с ФСТЭК. Для финансовых организаций могут потребоваться уведомление ЦБ РФ. КРЕДО-С помогает с оформлением всей необходимой документации перед проведением работ.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 15 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC