МегаФон
Все сервисы
Пентест и аудит информационной безопасности

Пентест

Анализ защищённости ИТ‑инфраструктуры с оценкой реального уровня безопасности и соответствия требованиям регуляторов

Команда профессионалов
Многократные победители Standoff, с сертификатами OSCP, OSEP, OSWE, OSWA, OSWP, CEH, CISSP, CRTE, CND, OSEP и другими. Упор на ручной анализ
Соответствие требованиям регуляторов
Проверяем вместе с оценкой уязвимостей. Есть лицензии ФСТЭК и сертификаты ISO
Безопасность всех этапов разработки ПО, ERP, CRM, ДБО
Полная проверка жизненного цикла программных решений и бизнес‑систем
Проверка мобильных приложений, сайтов, Wi‑Fi и действий персонала
Оценка уязвимости в безопасности программ на устройствах, защищённости беспроводной связи и рисков, связанных с человеческим фактором
Регулярные победы в Standoff
Независимое подтверждение квалификации наших специалистов и эффективности применяемых нами инструментов пентеста

Какие задачи решает услуга

Внешнее тестирование на проникновение в режиме чёрного ящика или серого ящика

Этапы работ:

  • Сбор информации об ИТ‑инфраструктуре.
  • Определение открытых TCP‑ или UDP‑портов, используемых технологий и ПО.
  • Тестирование служебных сервисов — почты, базы данных, хранилища, удалённого доступа и т.п.
  • Определение сервисов и версий ПО.
  • Поиск компонентов с известными уязвимостями.
  • Проверка возможности определения существующих учётных записей.
  • Проверка паролей по умолчанию.
  • Ручной и автоматизированный анализ сервисов и внешних корпоративных веб‑приложений.
  • Верификация уязвимостей, оценка рисков, возможных при эксплуатации уязвимостей нарушителями.
  • Реализация возможных векторов атак.

Почему это важно

>1,5 трлн ₽
Ущерб от киберпреступлений в России за 2025 год
>50%
Компаний стали целями для атаки в 2025 году
43%
Рост кибератак в финансовой сфере по сравнению с 2024 годом

Цели тестирования

Соответствие требованиям регуляторов, таких как положения Банка России № 683-П, 684-П, 382-П и других нормативных актов.
Понимание векторов атак и выявление наиболее вероятных путей, по которым киберпреступники могут осуществить проникновение
Внешняя и внутренняя проверка, оценка защищённости ИТ‑инфраструктуры и анализ эффективности применяемых механизмов кибербезопасности

Почему нас выбирают

Подтверждённый опыт в ключевых отраслях

Реализовано более 120 проектов в разных отраслях: энергетика, логистика, ИТ, нефтяная промышленность, финансы, сельское хозяйство, производство, научные учреждения, государственный сектор и другие

Подтверждённый опыт в ключевых отраслях

Моделирование реальных сценариев атак

Моделируем реальные сценарии взлома инфраструктуры и демонстрируем, к каким системам и данным могут получить доступ злоумышленники

Моделирование реальных сценариев атак

Оценка ущерба и бизнес-рисков

Оцениваем потенциальный ущерб для компании: финансовые потери, простой бизнес-процессов, репутационные риски и возможные штрафы за нарушения требований регуляторов. Помогаем определить критичные уязвимости с точки зрения влияния на бизнес

Оценка ущерба и бизнес-рисков

Международные стандарты и собственная методология

Наша методология базируется на комбинации международных практик и стандартов — PCI DSS, OWASP, OSSTMM, PTES — и рекомендаций EC-Council и WASC. А также учитывает требования и рекомендации регуляторов: Центробанка и ФСТЭК

Международные стандарты и собственная методология

Security Assessment

Тестирование на проникновение

Методика поиска критических уязвимостей сети и оценка, насколько текущий уровень защищённости выдержит попытку проникновения потенциального злоумышленника, а также выявление возможной глубины продвижения в системы, приложения.

  • Рекомендуется проводить: не реже двух раз в год. Обязательно после изменений в инфраструктуре.

Анализ веб-защищённости

Проведение внутреннего аудита общего уровня защищённости инфраструктуры и поиск максимального количества уязвимостей, через которые может быть совершено вторжение злоумышленника без продвижения вглубь системы.

  • Рекомендуется проводить: для важных веб‑приложений и API — ежеквартально. После каждого крупного обновления — внепланово.

Социотехническое тестирование

Мониторинг осведомлённости сотрудников компании в вопросах веб‑безопасности при работе в сети, в стационарном программном обеспечении, в мобильных приложениях. Тестирование на проникновение через фишинговые рассылки, рассылки с вложениями, манипуляции с паролями, звонки с целью получить конфиденциальную информацию — чтобы выяснить, могут ли сотрудники быть потенциальной точкой входа в инфраструктуру компании.

  • Рекомендуется проводить: раз в 3‑6 месяцев.

Услуга Red Teaming

Методика по имитации реальных кибератак на сеть с целью анализа работы технической защиты и команды ИБ, оценить скорость и эффективность реагирования на различные угрозы.

  • Рекомендуется проводить: раз в 1‑2 года.

Аудит As Is — To Be

Проведение внутреннего аудита текущего уровня ИБ и процессов управления ИТ‑инфраструктурой компании. Это — метод оценки текущих процессов, выявление и описание проблемных зон, рекомендации по их устранению. Разработка целевого состояния с формированием перечня инициатив, предоставлением дорожной карты и бюджетной оценки модернизации СУИБ и системы управления ИТ‑процессами.

  • Рекомендуется проводить: раз в 2‑3 года.

Реагирование на инциденты ИБ

Услуги по оперативному реагированию на инциденты ИБ или анализ уже случившихся. С пакетом предоплаченных сервисов вы сможете по звонку подключить команду для устранения действующих кибератак на сеть. А также консультироваться, получать дополнительные часы на форензику и перераспределять предоплаченные часы реагирования на другие услуги.

  • Рекомендуется проводить: по факту инцидента.

Аудит и построение процессов SSDLC

Комплекс услуг по реализации процессов безопасной разработки SSDLC. Проведение анализа текущего конвейера разработки, адаптация методологий и процессов для трансформации и перехода к безопасной разработке программного обеспечения.

  • Рекомендуется проводить: перед внедрением ПО.

Примеры наших работ

Была задача найти технические уязвимости и недостатки в сервисах и системах клиента. А также провести тестирование методом социальной инженерии с целью проверки осведомлённости сотрудников в вопросах информационной безопасности.

В результате работ нам удалось:

  1. Проникнуть во внутреннюю корпоративную инфраструктуру и получить в ней максимальные привилегии. Мы выявили ряд альтернативных сценариев атак как с использованием работ по социальной инженерии, так и без них.
  2. Скомпрометировать более 450 учётных записей сотрудников, и с их помощью получили доступ как минимум к 8 различным внешним сервисам и системам клиента: к корпоративной почте, CRM, базе данных, облачному хранилищу, сервису поддержки и другим.
  3. Получить доступ к конфиденциальным данным, циркулирующим в вышеуказанных сервисах и системах: списки контрагентов, списки заказов, информация о заявках пользователей в поддержке, корпоративным документам в почте и другое.

Compliance

Комплекс услуг по безопасности КИИ

Проведение полного комплекса услуг по обеспечению информационной безопасности объектов КИИ в соответствии с ФЗ № 187 и другими правовыми актами России.

Защита персональных данных

Оценка соответствия внутренних процессов и технических мер предприятия требованиям ФЗ № 152 и другого законодательства России в сфере работы с персональными данными.

Аттестация ГИС

Обследование, проведение анализа защищённости и аттестация государственных информационных систем.

Подкаст о кибербезопасности от МегаФона

Смотреть
Подкаст о кибербезопасности

Больше о кибербезопасности

Защищаем всё — от сети до приложений и данных

Центр кибербезопасности МегаФон SOC

Security Operational Center — центр круглосуточного мониторинга информационной безопасности и управления инцидентами для защиты вашего бизнеса

Подробнее

Остались вопросы по защите ИТ‑инфраструктуры?

Оставьте заявку на внутренний аудит информационной безопасности — наши эксперты расскажут, сколько стоит безопасность, и помогут вам подобрать актуальное решение для тестирования. А пока можете ознакомиться с презентацией

Больше услуг для вашего бизнеса

Защита от DDoS‑атак
Заблокируем вредоносный трафик и в вебе, и в приложениях, но оставим сайт доступным для пользователей
image
Подробнее
Межсетевой экран
Защита сетевых ресурсов от кибератак и вирусов, ограничение доступа к нежелательным сайтам
image
Подробнее
МегаФон WAF
Услуга обнаруживает кибератаки и защищает от них в режиме реального времени
image
Подробнее
Криптозащита
Для безопасной передачи информации в корпоративной сети
image
Подробнее
МегаФон SOC
Security Operations Center — центр круглосуточного мониторинга информационной безопасности и управления инцидентами
image
Подробнее

Вопросы и ответы

Что входит в услугу аудита информационной безопасности и пентест (pentest)?

В рамках услуги проводится комплексный аудит системы обеспечения информационной безопасности компании, включающий:

  1. Внешнее тестирование — проверка уязвимостей корпоративной сети и систем с внешней стороны.
  2. Внутреннее тестирование на проникновение — оценка защищенности инфраструктуры изнутри, проверка внутренних сетей и прав доступа.
  3. Оценку защищенности беспроводных сетей — проверка Wi‑Fi, Bluetooth и других беспроводных каналов на наличие уязвимостей и рисков несанкционированного доступа.
  4. Тестирование приложений на проникновение — анализ веб-приложений и сервисов на предмет возможных атак.
  5. Пентест‑аудит IT‑инфраструктуры — оценка конфигураций, сетевых устройств, серверов и политик безопасности.
  6. Оценку рисков и рекомендации по устранению уязвимостей — подготовка отчета с конкретными мерами по повышению безопасности.

Как заказать проведение пентест-тестирования на проникновение и безопасность для компании в России?

Чтобы заказать услугу, достаточно оставить заявку на пентест и аудит безопасности информационных систем через контакт‑форму МегаФона. Специалисты предложат подходящее решение, исходя из масштаба инфраструктуры и задач.

Сколько стоит пентест, аудит безопасности информационной инфраструктуры и тестирование на проникновение?

Цена зависит от масштаба компании, объёма систем, типа тестирования и глубины проверки. Минимальная стоимость — от 100 000 ₽ за одну проверку.

Как проводится пентест?

Методика тестирования на проникновение утверждается заказчиком. В работе используются современные средства тестирования, а проверку выполняет квалифицированный специалист.

В рамках услуги выполняется не только внешнее и внутреннее тестирование, но и внутренний аудит информационной безопасности для проверки настроек, политик доступа и архитектуры систем.

Можно ли использовать услугу для постоянного мониторинга и защиты безопасности ИТ‑инфраструктуры, а не только одноразово?

Да, МегаФон предлагает комплексные услуги: периодический анализ безопасности, регулярное тестирование информационных систем и сетей на проникновение, мониторинг IT‑инфраструктуры, реагирование на инциденты и сопровождение безопасности. Это позволяет поддерживать защиту на постоянной основе.