Ми думаємо як зловмисники, щоб знайти те, що пропускають захисники. Структурована імітація атак на вашу мережу, застосунки та людей — зі звітом, що каже, що виправляти, а не лише що зламано.
Автоматизовані сканери знаходять відомі CVE. Тест на проникнення знаходить недоліки бізнес-логіки, неправильно налаштовані дозволи, ланцюжки вразливостей, які сканер вважає нешкідливими окремо, і розрив між написаною політикою безпеки та реальним станом безпеки. Саме це й експлуатується.
Зовнішня поверхня атаки: публічні IP, вебзастосунки, відкриті сервіси. Внутрішня мережа: потенціал бічного переміщення, неправильні конфігурації Active Directory, шляхи підвищення привілеїв. Соціальна інженерія: імітація фішингу, претекстові дзвінки. Хмара: неправильно налаштовані S3-бакети, надмірно привілейовані IAM-ролі, публічно доступне сховище.
Ми дотримуємося PTES (стандарт виконання тестів на проникнення) і прив'язуємо знахідки до матриці MITRE ATT&CK. Кожне залучення починається зі скопування — узгодження того, що входить і виходить за межі, та правил взаємодії, що захищають безперервність бізнесу під час тестування.
Виконавче резюме (для керівництва) + технічний звіт (для команди безпеки). Кожна знахідка включає: оцінку серйозності (CVSS), proof of concept, бізнес-ризик і конкретні кроки усунення — не розмиті рекомендації. Ми також проводимо повторний тест після закінчення вікна усунення.
Кожне залучення підлаштовується під вашу ситуацію, часові рамки та толерантність до ризику.
Зловмисник із законним внутрішнім доступом. Бічне переміщення, підвищення привілеїв, зловживання Active Directory.
Детальніше →Повна зовнішня поверхня атаки: веб, пошта, VPN, DNS. Чи може зловмисник потрапити з інтернету?
Детальніше →Починається лише з назви компанії. OSINT + використання вразливостей. Найреалістичніша симуляція зловмисника.
Детальніше →Обмежений у часі, сфокусований на найвищих ризиках. Ідеально, коли потрібна швидка впевненість.
Детальніше →Зв'яжіться з нами — ми визначимо обсяг і відповімо протягом одного робочого дня.
