Оценка и аудит безопасности

Проверьте бесплатно за 10 минут, насколько ваше управление безопасностью соответствует ISO 27001, а также что и сколько времени вам нужно для достижения полного соответствия и сертификации.

Бесплатный скан

Автоматическая оценка безопасности веб-сайтов в режиме «чёрный ящик». Быстрый результат. Различные режимы сканирования, глубина и качество. Выберите бесплатное тестирование по требованию или недорогую подписку на непрерывный мониторинг. Узнайте больше.

Лицензионный скан *

Ручное сканирование уязвимостей веб-сайтов и сетей коммерческими сканерами Acunetix, BurpSuite Pro, Qualys, Nexpose. Ограниченная отчётность: резюме и необработанные отчёты сканеров. Минимальный заказ включает простой веб-сайт или сервис (до 20 страниц и 2 форм), либо 16 IP-адресов, занимает 2-3 дня и стоит 15 $ за IP-адрес при сканировании сетей (Qualys + Nexpose) или 180 $ за сайт или сервис (Acunetix + BurpSuite Pro). Подробнее.

Пентест и Red Team *

Ручная и автоматическая оценка безопасности веб-сайтов, сетей, приложений и т. д. Опционально: тесты DoS/DDoS, социальной инженерии, Red Team, обратная инженерия и исследования уязвимостей «нулевого дня», анализ безопасности исходного кода ПО. Оценка рисков, рекомендации по снижению рисков и отчётность. Помощь по устранению уязвимостей и повторная проверка после устранения. Экспресс-пентест от 150$ за IP-адрес или 1500$ за простой веб-сайт или сервис (до 20 страниц и 2 форм). Подробнее.

* Подпишитесь на 12 месяцев и получите 4 квартальных оценки безопасности со скидкой 10%.

Узнайте больше о процессе и результатах аудита или пентеста.

Сравнить подробности сервисов

Область охвата и параметры	Бесплатный скан	Лицензионный скан *	Экспресс пентест *	Полный пентест *
Анализ веб-сайтов / веб-приложений			20 страниц
Анализ сетей	-	мин. 16 хостов	16 хостов
Анализ настольных или мобильных приложений	-	-	-
Режим «чёрный ящик»
Режим «серый ящик»	-	-	ограниченный (1 роль пользователя)	опционально
Режим «белый ящик» (включая анализ кода)	-	-	-	опционально
Тесты OWASP top 10	частично	частично
Тесты SANS top 25	частично	частично	частично
Гарантии OWASP ASVS и SAMM	-	-	-	опционально
Инструменты с открытым исходным кодом	сканер H-X	по запросу
Коммерческие инструменты (Qualys, Acunetix, Nexpose, Burp Suite Pro и т. д.)	-
Модель злоумышленника кибер-хулиган / скрипт-кидди	-
Модель профессионального целенаправленного злоумышленника	-	-	-
Автоматический поиск
Ручной поиск	-	-	8 человеко-часов
Моделирование DoS/DDoS-атак	только DoS (non-volumetric)	только DoS (non-volumetric)	только DoS (non-volumetric)	опционально
Тесты социальной инженерии	-	-	-	опционально
Скрытые тесты, соревнования Red Team и Blue Team	-	-	-	опционально
Обратная инженерия и исследования уязвимостей «нулевого дня»	-	-	-	опционально
Верификация уязвимостей	-	-
Эксплуатация уязвимостей	-	-	ограниченная (публичные эксплоиты)
Планирование проекта	-	-	по шаблону	индивидуальное
Оценка рисков	стандартная	стандартная	по шаблону	индивидуальная
План снижения рисков	стандартный	стандартный	по шаблону	индивидуальный
Отчёт	по шаблону	по шаблону	по шаблону	индивидуальный
Соответствие нормам (PCI DSS, SOX, HIPAA и т.д.)
Помощь с устранением уязвимостей	по запросу	по запросу	по запросу	опционально
Ретест после устранения	по запросу	по запросу	по запросу	включен
Готовность начать	немедленно, круглосуточно	1-2 дня	2-4 дня	1 неделя
Длительность	Скан: 5 мин - 2+ ч. Монитор: постоянно	2-3 дня	6 дней	2-5 недель
Цена	Скан: бесплатно. Монитор: 54 $/месяц	15 USD за IP-адрес. 180 USD за простой веб-сайт	150 USD за IP-адрес. 1500 USD за веб-сайт	Индивидуально

* Подпишись на 12 месяцев и получи 4 квартальных оценки безопасности со скидкой 10%!

Как мы работаем, и что вы получаете

Рабочий процесс типового проекта аудита безопасности или пентеста следующий:

Конфиденциальность →

Мы подписываем ваше Соглашение о неразглашении, возлагая на себя обязательства о конфиденциальности.

Уточнение →

Вы отвечаете на наши вопросы об условиях и окружении, чтобы помочь нам определить ваши требования и ожидания.

Подготовка →

Мы анализируем ваши входные данные и разрабатываем Спецификацию (Rules of Engagement) и План проекта аудита.

Утверждение →

Мы направляем вам подробное Коммерческое предложение, включая Техническое задание, Спецификацию и План проекта. Эти документы подробно определяют параметры и условия пентеста. Вы принимаете предложение, утверждаете документы, и мы с вами подписываем Сервисное соглашение.

Работы «в поле» →

Пассивная фаза пентеста начинается с анализа открытых источников (Open-Source Intelligence, OSINT). Активная фаза включает собеседования с вашим персоналом, выявление, верификацию, эксплуатацию уязвимостей и сбор доказательств. Затем мы оцениваем риски по каждой найденной уязвимости и разрабатываем рекомендации по снижению рисков и постоянным улучшениям.

Отчёт

Отчёт об оценке безопасности описывает всё, что было найдено, и что должно быть сделано для улучшения вашей безопасности. Мы консультируем вас по устранению уязвимостей и выполняем повторный тест по запросу. Проект завершается.

Отчёт по оценке безопасности содержит все результаты выполнения проекта. Структура простого отчёта приведена ниже. В зависимости от требований, условий, ограничений и параметров аудита или пен-теста, отчёт может содержать дополнительные разделы.

Резюме.
Планирование и методология.
Результаты оценки безопасности:

Обнаруженные несоответствия стандартам и лучшим практикам безопасности.
Обнаруженные уязвимости и способы их эксплуатации.
Подробности и доказательства (журналы, дампы, снимки экрана и т. п.).
Оценка рисков.
Рекомендованные меры безопасности, сгруппированные и упорядоченные по приоритетам.

Нажмите кнопку ниже, чтобы заказать пентест, аудит безопасности, оценку безопасности организации, сети, сайта или приложения.

Перейти вверх, к выбору типа оценки безопасности.

Что такое тестирование на проникновение.

Кто мы, что делаем и что предлагаем.