МегаФон
Все сервисы
Пентест и аудит информационной безопасности
Пентест

Анализ защищённости ИТ‑инфраструктуры

Оценим реальный уровень защищённости информационных систем и соответствие требованиям регуляторов

от 100 000 ₽ за одну проверку
Высококвалифицированная команда специалистов
Профессионально выявляет и устраняет уязвимости в любой инфраструктуре
Соответствие требованиям регуляторов
Проверяем вместе с оценкой уязвимостей
Безопасность всех этапов разработки ПО, ERP, CRM, ДБО
Полная проверка жизненного цикла программных решений и бизнес‑систем
Проверка мобильных приложений, Wi‑Fi, сотрудников
Оценка уязвимости в безопасности программ на устройствах, защищённости беспроводной связи и рисков, связанных с человеческим фактором

Какие задачи решает услуга

Внешнее тестирование на проникновение в режиме чёрного ящика или серого ящика

Этапы работ:

  • Сбор информации об ИТ‑инфраструктуре.
  • Определение открытых TCP‑ или UDP‑портов, используемых технологий и ПО.
  • Тестирование служебных сервисов — почты, базы данных, хранилища, удалённого доступа и т.п.
  • Определение сервисов и версий ПО.
  • Поиск компонентов с известными уязвимостями.
  • Проверка возможности определения существующих учётных записей.
  • Проверка паролей по умолчанию.
  • Ручной и автоматизированный анализ сервисов и внешних корпоративных веб‑приложений.
  • Верификация уязвимостей, оценка рисков, возможных при эксплуатации уязвимостей нарушителями.
  • Реализация возможных векторов атак.

Оставить заявку

Почему это важно

1,8 млрд
кибератак зафиксировано в 2024 году
36 %
рост ущерба от киберпреступлений по сравнению с 2023 годом
200 млрд ₽
общая сумма ущерба в 2024 году

Цели тестирования

Соответствие требованиям регуляторов, таких как положения Банка России № 683-П, 684-П, 382-П и других нормативных актов.
Понимание векторов атак и выявление наиболее вероятных путей, по которым киберпреступники могут осуществить проникновение
Внешняя и внутренняя проверка, оценка защищённости ИТ‑инфраструктуры и анализ эффективности применяемых механизмов кибербезопасности

Security Assessment

Тестирование на проникновение

Методика поиска критических уязвимостей сети и оценка, насколько текущий уровень защищённости выдержит попытку проникновения потенциального злоумышленника, а также выявление возможной глубины продвижения в системы, приложения.

  • Рекомендуется проводить: не реже двух раз в год. Обязательно после изменений в инфраструктуре.

Анализ веб-защищённости

Проведение внутреннего аудита общего уровня защищённости инфраструктуры и поиск максимального количества уязвимостей, через которые может быть совершено вторжение злоумышленника без продвижения вглубь системы.

  • Рекомендуется проводить: для важных веб‑приложений и API — ежеквартально. После каждого крупного обновления — внепланово.

Социотехническое тестирование

Мониторинг осведомлённости сотрудников компании в вопросах веб‑безопасности при работе в сети, в стационарном программном обеспечении, в мобильных приложениях. Тестирование на проникновение через фишинговые рассылки, рассылки с вложениями, манипуляции с паролями, звонки с целью получить конфиденциальную информацию — чтобы выяснить, могут ли сотрудники быть потенциальной точкой входа в инфраструктуру компании.

  • Рекомендуется проводить: раз в 3‑6 месяцев.

Услуга Red Teaming

Методика по имитации реальных кибератак на сеть с целью анализа работы технической защиты и команды ИБ, оценить скорость и эффективность реагирования на различные угрозы.

  • Рекомендуется проводить: раз в 1‑2 года.

Аудит As Is — To Be

Проведение внутреннего аудита текущего уровня ИБ и процессов управления ИТ‑инфраструктурой компании. Это — метод оценки текущих процессов, выявление и описание проблемных зон, рекомендации по их устранению. Разработка целевого состояния с формированием перечня инициатив, предоставлением дорожной карты и бюджетной оценки модернизации СУИБ и системы управления ИТ‑процессами.

  • Рекомендуется проводить: раз в 2‑3 года.

Реагирование на инциденты ИБ

Услуги по оперативному реагированию на инциденты ИБ или анализ уже случившихся. С пакетом предоплаченных сервисов вы сможете по звонку подключить команду для устранения действующих кибератак на сеть. А также консультироваться, получать дополнительные часы на форензику и перераспределять предоплаченные часы реагирования на другие услуги.

  • Рекомендуется проводить: по факту инцидента.

Аудит и построение процессов SSDLC

Комплекс услуг по реализации процессов безопасной разработки SSDLC. Проведение анализа текущего конвейера разработки, адаптация методологий и процессов для трансформации и перехода к безопасной разработке программного обеспечения.

  • Рекомендуется проводить: перед внедрением ПО.

Compliance

Комплекс услуг по безопасности КИИ

Проведение полного комплекса услуг по обеспечению информационной безопасности объектов КИИ в соответствии с ФЗ № 187 и другими правовыми актами России.

Защита персональных данных

Оценка соответствия внутренних процессов и технических мер предприятия требованиям ФЗ № 152 и другого законодательства России в сфере работы с персональными данными.

Аттестация ГИС

Обследование, проведение анализа защищённости и аттестация государственных информационных систем.

Подкаст о кибербезопасности от МегаФона

Смотреть
Подкаст о кибербезопасности

Больше о кибербезопасности

Защищаем всё — от сети до приложений и данных

Центр кибербезопасности МегаФон SOC

Security Operational Center — центр круглосуточного мониторинга информационной безопасности и управления инцидентами для защиты вашего бизнеса

Подробнее

Остались вопросы по защите ИТ‑инфраструктуры?

Оставьте заявку на внутренний аудит информационной безопасности — наши эксперты расскажут, сколько стоит безопасность, и помогут вам подобрать актуальное решение для тестирования. А пока можете ознакомиться с презентацией

Больше услуг для вашего бизнеса

Защита от DDoS‑атак
Заблокируем вредоносный трафик и в вебе, и в приложениях, но оставим сайт доступным для пользователей
image
Подробнее
Межсетевой экран
Защита сетевых ресурсов от кибератак и вирусов, ограничение доступа к нежелательным сайтам
image
Подробнее
МегаФон WAF
Услуга обнаруживает кибератаки и защищает от них в режиме реального времени
image
Подробнее
Криптозащита
Для безопасной передачи информации в корпоративной сети
image
Подробнее
МегаФон SOC
Security Operations Center — центр круглосуточного мониторинга информационной безопасности и управления инцидентами
image
Подробнее

Вопросы и ответы

Что входит в услугу аудита информационной безопасности и пентест (pentest)?

В рамках услуги проводится комплексный аудит системы обеспечения информационной безопасности компании, включающий:

  1. Внешнее тестирование — проверка уязвимостей корпоративной сети и систем с внешней стороны.
  2. Внутреннее тестирование на проникновение — оценка защищенности инфраструктуры изнутри, проверка внутренних сетей и прав доступа.
  3. Оценку защищенности беспроводных сетей — проверка Wi‑Fi, Bluetooth и других беспроводных каналов на наличие уязвимостей и рисков несанкционированного доступа.
  4. Тестирование приложений на проникновение — анализ веб-приложений и сервисов на предмет возможных атак.
  5. Пентест‑аудит IT‑инфраструктуры — оценка конфигураций, сетевых устройств, серверов и политик безопасности.
  6. Оценку рисков и рекомендации по устранению уязвимостей — подготовка отчета с конкретными мерами по повышению безопасности.

Как заказать проведение пентест-тестирования на проникновение и безопасность для компании в России?

Чтобы заказать услугу, достаточно оставить заявку на пентест и аудит безопасности информационных систем через контакт‑форму МегаФона. Специалисты предложат подходящее решение, исходя из масштаба инфраструктуры и задач.

Сколько стоит пентест, аудит безопасности информационной инфраструктуры и тестирование на проникновение?

Цена зависит от масштаба компании, объёма систем, типа тестирования и глубины проверки. Минимальная стоимость — от 100 000 ₽ за одну проверку.

Как проводится пентест?

Методика тестирования на проникновение утверждается заказчиком. В работе используются современные средства тестирования, а проверку выполняет квалифицированный специалист.

В рамках услуги выполняется не только внешнее и внутреннее тестирование, но и внутренний аудит информационной безопасности для проверки настроек, политик доступа и архитектуры систем.

Можно ли использовать услугу для постоянного мониторинга и защиты безопасности ИТ‑инфраструктуры, а не только одноразово?

Да, МегаФон предлагает комплексные услуги: периодический анализ безопасности, регулярное тестирование информационных систем и сетей на проникновение, мониторинг IT‑инфраструктуры, реагирование на инциденты и сопровождение безопасности. Это позволяет поддерживать защиту на постоянной основе.