Тестирование на проникновение

Это главный вопрос, который мы слышим от клиентов. Давайте еще раз четко разделим:

Аналогия с домом:

• Аудит — это обход дома с чек-листом: проверили замки, окна, сигнализацию, составили список, что надо починить.
• Пентест — это попытка реально проникнуть в дом, используя все найденные недостатки: отжал окно, отключил сигнализацию, вскрыл сейф.

Как они связаны: Аудит — это первичная диагностика. Он выявляет все потенциальные проблемы. Пентест — это боевая проверка, которая показывает, какие из этих проблем реально опасны и в какой комбинации они приводят к взлому.

Мы рекомендуем сначала провести аудит, устранить базовые проблемы, а затем заказать пентест для проверки эффективности защиты.

Это самый важный вопрос, и мы относимся к нему максимально серьезно. Риски есть, но мы управляем ими:

До пентеста (обязательные меры):

1. Подписываем договор и NDA — юридическая защита
2. Согласовываем границы — какие системы атакуем, какие не трогаем
3. Определяем время — можно ли работать в рабочее время или только ночью/в выходные
4. Согласовываем методы — разрешен ли DoS, социальная инженерия, физическое проникновение
5. Назначаем контактных лиц — кто имеет право экстренно остановить тестирование
6. Определяем правила эскалации — что делать, если мы случайно что-то сломали

Во время пентеста:

• Все действия документируются (логи, скриншоты)
• Мы не применяем разрушительные методы (если не согласовано отдельно)
• При обнаружении критической уязвимости — немедленно сообщаем

Если что-то пошло не так:

• У нас есть план восстановления
• Мы помогаем вернуть системы в рабочее состояние
• Фиксируем причину и корректируем подход

За 10+ лет проведения пентестов у нас были единичные случаи влияния на производительность, но никогда — полной остановки систем. Мы работаем аккуратно.

Да, мы используем те же инструменты, что и реальные злоумышленники. Но есть ключевое отличие — письменное разрешение от вас.

Законность обеспечивается:

1. Договором — в нем четко прописано, что вы даете нам право на тестирование
2. Техническим заданием — определены границы и методы
3. Актом-допуском — подписывается перед началом работ

Без этих документов использование хакерских инструментов было бы незаконным. С ними — это легальное тестирование на проникновение, разрешенное законодательством.

Какие инструменты мы используем:

• Metasploit, Cobalt Strike, Empire (фреймворки эксплуатации)
• Nmap, Masscan (сканирование)
• Burp Suite, OWASP ZAP (анализ веб-приложений)
• Mimikatz, Responder (кража учетных данных)
• Собственные разработки и эксплойты

Все инструменты лицензированы или находятся в открытом доступе. Мы не используем нелегальное ПО.

Социальная инженерия (включая фишинг) проводится только с вашего письменного согласия и при соблюдении жестких правил:

Что мы согласовываем до начала:

• Будем ли использовать фишинг вообще
• Какие легенды допустимы (например, “письмо от IT-поддержки”)
• Какие легенды НЕДОПУСТИМЫ (например, “письмо от гендиректора о срочном переводе денег” — слишком стрессово)
• В какие сроки проводим (чтобы не наложилось на авралы)
• Кто будет уведомлен о тестировании (обычно только руководство, сотрудники не знают)

Как мы минимизируем стресс:

• Не используем угрозы и запугивание
• Не требуем от сотрудников действий, которые могут навредить
• После тестирования проводим разбор полетов в обучающем, а не карающем ключе
• Никогда не передаем результаты “для наказания” — только для обучения

Цель фишинга — не поймать сотрудников, а понять реальный уровень осведомленности и необходимость обучения. Мы считаем количество переходов, но не называем имена “провинившихся” (если не было отдельной договоренности с безопасностью).

Сроки зависят от объема и сложности:

В эти сроки входит:

1. Подготовка и согласование (3-5 дней)
2. Сбор информации и разведка (3-7 дней)
3. Активная фаза (основное время)
4. Подготовка отчетов (5-7 дней)
5. Защита результатов (1 день)

Точные сроки определяем на этапе согласования технического задания.

Отчет по пентесту состоит из двух частей:

Часть 1: Для руководства — 2-3 страницы:

• Общая оценка защищенности (цветовая: зеленый/желтый/красный)
• Самые критичные находки (что позволяет полностью скомпрометировать компанию)
• Демонстрация последствий (что мы смогли украсть/сделать)
• Рекомендации по первоочередным мерам
• Бюджетная оценка необходимых вложений

Часть 2: Детальный технический отчет (для IT/ИБ-специалистов):

1. Методология — какие подходы использовали, по каким стандартам (MITRE ATT&CK, OWASP)

2. Хронология — когда что делали, временные метки

3. Найденные уязвимости — для каждой:

   • Название и описание
   • CVE/CWE (если есть)
   • CVSS-оценка (критичность)
   • Где найдено (IP, URL, сервер)
   • Доказательства (скриншоты, логи, видео)
   • Пошаговые инструкции по воспроизведению
   • Рекомендации по исправлению

4. Пути атак — как мы прошли от начальной точки до конечной цели (например, от фишингового письма до контроллера домена). Обычно в виде схемы.

5. Дорожная карта устранения с приоритетами:

   • Критические (0-30 дней)
   • Высокие (30-60 дней)
   • Средние (60-90 дней)
   • Низкие (по возможности)

Да, этого достаточно, чтобы ваши специалисты самостоятельно устранили проблемы. Если нужна помощь — мы можем взять устранение на себя.

Возможны три сценария:

Сценарий 1: Мы нашли уязвимости (99% случаев) Вы получаете отчет с описанием проблем и рекомендациями. Работа выполнена, оплата по договору.

Сценарий 2: Мы не нашли уязвимостей, но вы не идеальны (редко) Бывает, что автоматические сканеры ничего не показывают, ручной анализ тоже. Но мы всегда можем сказать: “Мы не нашли уязвимостей в рамках данного сценария и за выделенное время. Это не значит, что их нет — возможно, нужен другой сценарий или больше времени”. В этом случае мы предлагаем:

• Расширить границы тестирования
• Увеличить время
• Сменить фокус

Сценарий 3: Ваша защита действительно идеальна (крайне редко) Теоретически возможно, что мы не смогли проникнуть. Это тоже результат — подтверждение, что защита работает. В отчете будет описание всех попыток и вывод, что система устойчива к атакам данного уровня. Это ценный результат для подтверждения эффективности инвестиций в безопасность.

Важно: Мы всегда предупреждаем, что пентест не дает 100% гарантии отсутствия уязвимостей. Это снимок состояния на момент проверки в рамках согласованных сценариев.

Режим тестирования согласовывается до начала работ:

Варианты:

Что мы делаем, чтобы минимизировать влияние:

• Контролируем нагрузку (не запускаем 100 потоков там, где сервер и так еле дышит)
• Мониторим отклик систем
• Имеем “стоп-кнопку” — контактное лицо, которое может экстренно остановить тест
• Начинаем с малой интенсивности и постепенно увеличиваем

Если ваши системы критичны к нагрузке (например, процессинговый центр), мы можем проводить тестирование только на резервных копиях или в выходные дни.

Полноценный пентест может включать все векторы:

Технический пентест (обязательно):

• Внешний периметр
• Внутренняя сеть
• Веб-приложения
• Беспроводные сети

Социальная инженерия (по согласованию):

• Фишинг (email)
• Вишинг (звонки)
• Смишинг (SMS)
• Подброс носителей (флешки на парковке)

Физический пентест (по согласованию, требуется высокая степень доверия):

• Попытка проникновения в офис
• Проверка пропускной системы
• Доступ в серверную
• Кража макетов оборудования

Каждый дополнительный вектор согласуется отдельно, так как требует больше времени и несет дополнительные риски. Мы рекомендуем начинать с технического пентеста, а социальную инженерию и физику добавлять, когда базовая защита уже проверена.

Рекомендуемая периодичность:

Когда нужно проводить обязательно:

• Перед запуском нового публичного сервиса
• После смены подрядчика, отвечающего за безопасность
• При смене ключевого персонала (CISO, архитекторы)
• При выходе на новые рынки с жесткими требованиями

Важно: Пентест — это не разовая акция, а регулярная проверка “боевой готовности”. Как у спортсменов: между соревнованиями — тренировки, перед соревнованиями — контрольный забег.

Стоимость зависит от объема и сложности:

Факторы, влияющие на цену:

• Количество проверяемых объектов (IP, доменов, приложений)
• Сложность инфраструктуры (распределенная, филиалы, облака)
• Глубина проверки (поверхностный сканер или глубокий ручной анализ)
• Наличие специфических систем (SCADA, АСУ ТП, мобильные приложения)
• Векторы атак (только внешний или полный комплекс)

Примерные ориентиры:

Точную стоимость называем после первичного анализа и согласования технического задания. Мы не накручиваем цену за “громкие имена” — вы платите за реальную работу экспертов.

Ни одна компания в мире не может дать 100% гарантии, что взлом невозможен. Кибербезопасность — это гонка вооружений, и новые уязвимости появляются каждый день.

Что мы гарантируем:

1. Полноту проверки в рамках ТЗ — мы проверим всё, что заявлено в техническом задании, и не пропустим очевидных проблем в этих границах.

2. Качество методологии — мы используем признанные подходы (MITRE ATT&CK, OWASP, PTES) и не пропускаем известные векторы атак.

3. Честность — мы не скроем найденные проблемы и не преуменьшим их критичность.

4. Понятные рекомендации — вы получите дорожную карту, следуя которой сможете закрыть найденные нами пути проникновения.

Что мы советуем:

• Устраните все найденные критические уязвимости
• Проведите повторный пентест (через 3-6 месяцев) для проверки
• Встройте регулярные проверки в ваш цикл разработки и эксплуатации

Если вы выполните наши рекомендации, уровень защиты станет максимально высоким из возможного на сегодняшний день для вашей инфраструктуры.

Свои специалисты могут провести сканирование уязвимостей, но полноценный пентест требует:

1. Независимости. Внутренние специалисты могут не замечать проблем, к которым привыкли, или бояться указывать руководству на ошибки в своих же системах. Мы независимы и объективны.

2. Свежего взгляда. Мы видим то, что “замылилось” у внутренней команды. Часто находим проблемы, которые годами жили в системе, но их никто не замечал.

3. Специализации. Пентестер — это не универсальный IT-специалист, а отдельная профессия. Нужно знать не просто как настроить, а как взломать. Это другой образ мышления.

4. Инструментов. У нас есть доступ к дорогим коммерческим инструментам и собственным разработкам.

5. Опыта. Мы провели сотни пентестов в разных компаниях и знаем, как взламывают именно в вашей отрасли.

Лучший сценарий: внутренний IT отвечает за повседневную защиту, а внешний пентест раз в год дает объективную оценку “со стороны”. Это как спортивные сборы: команда тренируется сама, но перед соревнованиями приглашают спарринг-партнера.

Red Team — это продвинутая версия пентеста, приближенная к реальной атаке:

Red Team проверяет:

• Обнаружат ли атаку средства мониторинга (SIEM, SOC)
• Как быстро отреагируют аналитики
• Правильно ли сработают процедуры
• Где “слепые зоны” в мониторинге
• Как взаимодействуют подразделения при инциденте

Кому нужен: Крупным компаниям с собственным SOC, банкам, операторам КИИ — всем, у кого есть служба защиты, которую нужно проверить в деле.

Red Team — это высший пилотаж. Мы рекомендуем сначала провести обычный пентест, устранить проблемы, а затем, если есть своя служба мониторинга, заказать Red Team для проверки ее эффективности.

Мы работаем с любым программным обеспечением и оборудованием:

Отечественные решения:

• Операционные системы: Astra Linux, РЕД ОС, ALT Linux
• Средства защиты: Kaspersky, Positive Technologies, UserGate, Ideco, InfoWatch
• СУБД: Postgres Pro, Ред База Данных
• Офисное ПО: Р7-Офис, МойОфис

Зарубежные решения:

• ОС: Windows, Linux (CentOS, Ubuntu, Debian), FreeBSD
• Средства защиты: Cisco, Check Point, Palo Alto, Fortinet
• СУБД: Oracle, Microsoft SQL, MySQL, PostgreSQL
• Облака: AWS, Azure, GCP

Промышленные системы:

• Siemens, Schneider Electric, Allen-Bradley
• Отечественные АСУ ТП

Мы не привязаны к конкретным вендорам и подбираем методы атак исходя из того, что реально стоит у вас. Если у вас стоит задача импортозамещения — мы поможем проверить безопасность новых российских решений. Если вы работаете на зарубежном ПО — проверим его.

Да, мы предлагаем несколько вариантов пост-пентестной поддержки:

Вариант 1: Самостоятельное устранение Вы получаете детальный отчет и дорожную карту. Ваши специалисты устраняют проблемы самостоятельно, следуя нашим рекомендациям. Мы доступны для консультаций (в рамках абонемента или почасовой оплаты).

Вариант 2: Контроль устранения (ретест) Вы устраняете проблемы, мы через 1-3 месяца проводим повторное тестирование, чтобы убедиться, что уязвимости действительно закрыты. Рекомендуем всем клиентам.

Вариант 3: Помощь в устранении Наши специалисты помогают вашей команде:

• Консультируют по сложным вопросам
• Проверяют корректность настроек
• Помогают с внедрением обновлений
• Обучают, как не допустить повторения

Вариант 4: Полное устранение под ключ Мы берем устранение найденных проблем на себя (в рамках отдельного проекта). Особенно актуально, если у вас нет своих специалистов нужной квалификации.

Вариант 5: Абонентское обслуживание Мы берем на себя не только устранение, но и дальнейший мониторинг, регулярные проверки и поддержку. Ваша безопасность становится нашей ежедневной задачей.

Выбирайте вариант, который подходит именно вам. Мы не бросаем клиентов после сдачи отчета.

Результаты пентеста — это, по сути, “карта уязвимостей” вашей компании. Их раскрытие может быть катастрофичным. Мы это понимаем и обеспечиваем максимальную защиту:

Юридические меры:

• Договор с пунктами о конфиденциальности
• Отдельное NDA (соглашение о неразглашении) по вашему запросу
• Обязательства о неразглашении от каждого сотрудника

Организационные меры:

• Доступ к результатам только у ограниченного круга специалистов
• Передача отчетов только уполномоченным лицам (список согласовывается)
• Уничтожение черновиков и временных файлов после завершения

Технические меры:

• Хранение данных в зашифрованном виде
• Передача по защищенным каналам
• Использование одноразовых паролей для доступа к нашим системам
• Отчеты с водяными знаками (чтобы идентифицировать утечку)

Дополнительно:

• Вы можете потребовать уничтожения всех материалов после приемки
• Можем подписать дополнительное соглашение с вашими особыми требованиями
• Проведем пентест без фиксации некоторых данных, если вы боитесь утечек

Конфиденциальность — основа нашей работы. Без нее мы не сможем существовать как бизнес.

Да, мы проводим как комплексные, так и точечные пентесты:

Точечные пентесты (одна цель):

• Отдельное веб-приложение (например, интернет-магазин)
• Мобильное приложение (iOS или Android)
• API (REST, GraphQL, SOAP)
• Отдельный сервер или сегмент сети
• Удаленный доступ (VPN, Citrix)

Комплексные пентесты (несколько целей):

• Внешний периметр (все, что видно из интернета)
• Внутренняя инфраструктура
• Полный цикл (от внешнего до внутреннего)

Преимущества точечного пентеста:

• Дешевле
• Быстрее
• Можно сфокусироваться на критичном активе

Недостатки:

• Не видно полной картины (атаки часто комбинируют разные цели)
• Можно пропустить путь через другую систему

Мы рекомендуем начинать с точечного пентеста самых критичных систем, а затем, если нужно, расширять периметр. Либо сразу заказывать комплексную проверку, чтобы увидеть все возможные пути атак.