Abstract dark technology background

Открийте слабите места преди нападателите.

Водено от инженери тестване за проникване — ИИ ускорява откриването, но всяка находка се проверява от експерт и се оценява спрямо реалния ви риск.

В какво се състои

Тестовете за проникване са нашата практика по техническа проверка — офанзивна оценка на сигурността ви в конкретен момент. Докато управляваните ни услуги защитават и оперират средата ви непрекъснато, техническата проверка я атакува по предварителен график — със същите инструменти, тактики и техники, срещу които се защитаваме в MDR практиката си, приложени от гледната точка на нападател. Всяка находка се валидира, оценява спрямо реалната ви среда и идва с приоритизирани препоръки за отстраняване, по които можете да действате.

Видове тестове

Осем вида тестове, всеки с отделен обхват. Ангажиментите често комбинират няколко — типична програма, водена от изисквания за съответствие, е външен + вътрешен + уеб приложение, с повторен тест.

Външен тест за проникване

Откриваме и експлоатираме уязвимости в системите, приложенията и точките за отдалечен достъп, изложени в интернет — преди да го направи нападател.

Вътрешен тест за проникване

Симулираме злонамерен вътрешен човек или вече проникнал нападател — странично движение, повишаване на права и реалния обхват на една компрометация.

Оценка на уеб приложение

OWASP Top 10, логика на удостоверяване и оторизация, бизнес логика и поддържащия API на конкретно уеб приложение.

Оценка на мобилно приложение

iOS и Android приложения и техните бекенди, тествани спрямо OWASP MASVS — съхранение, криптография, удостоверяване и устойчивост.

Тест за проникване на безжични мрежи

Криптиране, удостоверяване, сегментация и риск от неоторизирани устройства в безжичните ви мрежи и кабелните мрежи, до които водят.

Тест за проникване в облак

Грешни конфигурации, прекомерни права и слаб контрол на идентичността в Azure, AWS и GCP — съобразено с базовите изисквания на доставчиците и CIS Benchmarks.

Социално инженерство

Оторизирани кампании за фишинг и събиране на идентификационни данни — а при договорен обхват и гласови (vishing) и физически вектори — за да проверим как реагират хората ви.

Сканиране за уязвимости и доклад

Удостоверено или неудостоверено сканиране с ръчно валидирани, приоритизирани доклади — включително пълен преглед на конфигурацията с администраторски достъп.

Подход и стандарти

Водено от човек, по утвърдени методологии.

Автоматизираното сканиране се използва за покритие, но експлоатацията, тестването на бизнес логиката и валидирането на критичността се извършват от тестера. Всеки ангажимент протича с подписано разрешение и съгласувани правила — black, grey или white box; удостоверено или неудостоверено; дистанционно или на място; в или извън работно време.

  • PTES
  • OSSTMM
  • NIST SP 800-115
  • OWASP WSTG
  • OWASP Top 10
  • OWASP API Top 10
  • OWASP MASVS
  • CIS Benchmarks
  • MITRE ATT&CK

Какво получавате

  • Резюме за ръководството

    Обобщение на рисковата картина и ключовите находки, на разбираем бизнес език — за висшето ръководство.

  • Технически доклад

    Всяка находка с достатъчно детайли за възпроизвеждане, доказателства и засегнати активи.

  • Анализ на риска според контекста

    Критичността е оценена спрямо реалната ви среда, а не само по необработените резултати от скенер.

  • Приоритизирани препоръки за отстраняване

    Приложими препоръки — за незабавни поправки и за дългосрочни подобрения.

  • Повторен тест за потвърждение

    Проверка, че намерените проблеми са отстранени — често изисквана като доказателство за съответствие.

Съответствие

Тестване, което подкрепя задълженията ви.

Често срещаните рамки очакват редовни тестове за проникване като доказателство за ефективна сигурност. Таблицата по-долу е отправна точка за обхват — не становище за съответствие. Потвърдете точното изискване и честота с вашия одитор, QSA или регулатор.

Рамка Подкрепя се от Типична честота
PCI DSS v4.0.1 Външен, вътрешен, уеб приложение, сканиране за уязвимости Годишно и след значима промяна
ISO 27001:2022 Външен, вътрешен, уеб приложение, облак Годишно / при значима промяна
SOC 2 Външен, вътрешен, уеб приложение, облак Годишно (зависи от одитора)
DORA Подкрепя по-широката програма за тестване; TLPT е с корпоративен обхват На програмен принцип; TLPT периодично
NIS2 Външен, вътрешен, уеб приложение, облак, сканиране за уязвимости Базирано на риска, периодично
GDPR и киберзастраховане Всеки подходящ вид; социално инженерство за човешкия фактор Редовно / обикновено годишно

Защо Сънуел

Тестваме така, както защитаваме.

Тестерите ни използват същите тактики, техники и процедури, срещу които се защитаваме всеки ден в MDR практиката си, и притежават признати офанзивни сертификати (OSCP, CEH, PNPT) — затова находките отразяват как реално действат нападателите, а не списък за отметки.

Критичност спрямо контекста, не изход от скенер.

Тестването е водено от човек, с помощта на инструменти. Всяка находка се валидира ръчно и се преоценява спрямо реалната ви среда, за да действате по реалния бизнес риск — а не по сурова CVSS оценка.

Създадено за отстраняване.

Ясни, приоритизирани препоръки и повторен тест за потвърждаване на поправките — а при нужда и инженерните екипи, които да ви помогнат да затворите пропуските, не само да ги докладваме.

Готови ли сте да започнем?

Независимо дали имате конкретен проект, или искате да разберете как можем да помогнем — започваме с честен разговор.

Свържете се с нас