Пентест с оплатой за результат

Пентест с оплатой за результат

Тест на проникновение — или пентест — показывает, как будет действовать потенциальный злоумышленник во время кибератаки на организацию. Знание векторов атак даёт возможность подготовиться к ним и снизить негативные последствия по принципу «Предупреждён, значит вооружён».

Чем отличаются пентест, аудит ИБ и анализ защищённости.

Компании, предлагающие проведение пентестов, часто работают по принципу «Вы нам сначала заплатите, а мы у вас потом может что-нибудь найдём». Мы считаем такую позицию нечестной по отношению к заказчику, особенно когда предлагается небольшой объём работ за большие деньги.

hacktopay.png

Чтобы исправить эту ситуацию, «Перспективный мониторинг» предлагает услугу тестирования на проникновение с оплатой по факту достижения цели.

Определяем цели пентеста

Пентест — это всегда попытка исследователей достичь поставленной цели. Факт достижения цели определяется выполнением различных критериев.

Принцип «оплата за результат» пока работает только для пяти простых и понятных целей.

Цель Критерии достижения Ограничения и условия
Сайт
180 т. р.
Получение доступа к панели администрирования сайта и/или выполнениестороннего кода в контексте сайта. Наличие и доступность панели администрирования сайта с любых ip-адресов.
Использование скриптовых языков для генерации содержимого сайта.
Длительность — не более 5 рабочих дней.
Корпоративная сеть
480 т. р.
Доступ к контроллеру домена корпоративной сети. Корпоративная сеть построена на базе каталога Active Directory.
Удалённый доступ к рабочей станции вкорпоративной сети.
Длительность — не более 10 рабочих дней.
Периметр корпоративной сети
360 т. р.
Выполнение стороннего кода на одном изхостов внешнего периметра. Наличие не менее 10 активных хостов,предоставляющих сервисы, на внешнем периметре.
Тестирование внешнего периметра методом чёрного ящика до 256 хостов.
Включает тестирование обхода межсетевых экранов, систем обнаружения вторжений, а также идентификацию сервисов и тестирование каждого найденного сервиса на уязвимости (SQL,FTP, SSH,SMTP, административные web-сервисы межсетевых экранов, принтеров ит.д.) за исключением сервисов собственной разработки и доработанных сервисов.
Длительность — не более 10 рабочих дней.
Веб-приложение
180 т. р.
Эксплуатация критической уязвимости веб-приложения. Анализ одного веб-приложения методом чёрного ящика без предоставления доступа к пользовательской или административной части.
Длительность — 5 рабочих дней.
Проверка осведомлённости
240 т. р.
Открытие сообщения с вредоносной ссылкой или вложением. Длительность — 30 календарных дней.

Если необходимо более полное исследование, то мы предлагаем провести:

Заключаем договор

В договоре будут указаны все существенные условия нашего соглашения с заказчиком:

  • Цели тестирования.
  • Критерии достижения результата.
  • Порядок приёмки работ.
  • Порядок оплаты наших услуг в зависимости от достижения или недостижения результата.

Получаем разрешение на проведение работ

Чтобы избежать возможных претензий со стороны правоохранительных органов и третьих лиц, перед началом работ мы должны оформить разрешение, в котором будут указаны конкретные объекты и время проведения тестирования.

Аккуратно атакуем

Аккуратно — значит так, чтобы не страдали пользователи сервисов и всегда были доступны «соседние» информационные ресурсы. Любые действия, которые могут нарушить доступность сервисов, совершаются только после согласования с заказчиком и с готовым планом восстановления.

Предоставляем результаты тестирования

В отчёте о тестировании на проникновение (который заказчик получит независимо от того, удалось нам «взломать» объект пентеста или нет) будут указаны:

  • перечень выявленных уязвимостей с оценкой по методике Common Vulnerability Scoring System (CVSS);
  • резюме для руководства, в котором мы простым и понятным языком опишем, к чему может привести эксплуатация обнаруженных уязвимостей;
  • техническое описание способов эксплуатации уязвимостей со скриншотами, подтверждающими получение доступа к атакуемым системам;
  • описание применённых техник социнженерии с результатами проверки;
  • перечень программно-аппаратных средств и организационных мер, которые мы рекомендуем применить для устранения уязвимостей.

И что, действительно можно не платить?

Можно, но только в том случае, если мы не смогли выполнить критерии достижения цели пентеста из таблицы выше.


Реализованные проекты
Пентест веб-ресурсов Автоторгбанка
Цель данного исследования — симулировать атаки потенциального нарушителя на веб-ресурсы банка, оценить уровень их защищённости, обнаружить уязвимости, разработать рекомендации по их устранению.
Пентест сайта rightech.io
ПМ протестировал на проникновение веб-ресурс «rightech.io», посвящённый облачной платформе разработки и интеграции приложений для Интернета вещей.
Пентест с элементами социальной инженерии
Заказчик — компания «ПРАЙМ ГРУП». Наши исследователи провели комплексный пентест информационной системы.
Проверка офиса на наличие неавторизованных Wi-Fi точек доступа
Заказчик — крупная IT-компания. С помощью программно-аппаратной связки ноутбука, Wi-Fi-антенны и специального ПО мы последовательно обошли все помещения офиса заказчика, построили карту распределения сигнала и выявили все его источники.
Пентест компании в режиме «чёрного ящика»
Мы провели фишинг-атаку на заказчика и отправили сотрудникам 2 «новостных» письма, содержащих ссылки на скрипт, который перехватывает аутентификационные данные пользователей соответствующих машин. Более половины сотрудников перешли хотя бы по одной ссылке. Никто из них не сообщил об инциденте в службу ИБ. В результате мы получили полный доступ к IT-инфраструктуре заказчика. Протокол действий службы ИБ заказчика был включён в состав отчёта.