ENDERU

Послуги інформаційної безпеки

Cервіси GRC: аудити та впровадження ISO 27001, VDA, TISAX, GDPR, тощо; PCI DSS compliance; унікальні тренінги з безпеки; віддаленний менеджер безпеки, розширення команди безпеки та інші послуги.

Сервіси ІТ та ІТ-безпеки: сканування вразливостей, пентести; безперервний захист веб-сайтів; безпека розробки ПЗ; Експрес-SOC Security DevOps; аналіз безпеки вихідного коду ПЗ; software development; розробка та аудит смарт-контрактів; розслідування інцидентів безпеки.

Виберіть популярні сервіси або почніть з Оцінки Безпеки:

Автоматическое сканирование

Безкош­тов­ний скан

Автоматична оцінка безпеки веб-сайтів у режимі «чорний ящик». Швидкий результат. Різні режими сканування, глибина та якість. Виберіть безкоштовне тестування на вимогу або дешеву підписку на безперервний моніторинг. Дізнайтесь більше.
Ліцензійний скан

Ліцензійний скан *

Ручне сканування вразливостей комерційними сканерами Acunetix, BurpSuite Pro, Qualys, Nexpose. Обмежена звітність: резюме та необроблені звіти сканерів. Мінімальне замовлення включає простий веб-сайт або сервіс (до 20 сторінок і 2 форм), або 16 IP-адрес, займає 2-3 дні та коштує 15 $ за IP-адресу при скануванні мереж (Qualys + Nexpose) або 180 $ за сайт або сервіс (Acunetix + BurpSuite Pro). Детальніше.
Pentest

Пентест *

Ручна та автоматична оцінка безпеки веб-сайтів, мереж, додатків, тощо. Опціонально тести DoS/DDoS, соціальної інженерії, зворотня інженерія та дослідження вразливостей «нульового дня». Верифікація та експлуатація вразливостей. Планування проекту, оцінка ризиків, рекомендації щодо зниження ризиків та звітність. Допомога з усунення вразливостей та повторна перевірка після усунення. Експрес-пентест від 150 $ за IP-адресу або 1500 $ за простий веб-сайт або сервіс (до 20 сторінок і 2 форм). Детальніше.

* Підпишіться на 12 місяців і отримаєте 4 квартальних оцінки безпеки зі знижкою 10%.

Що далі? Порівняйте склад послуг. Складіть ваш запит. Дізнайтесь більше про процес і результати пентесту.

 

Порівняти подробиці сервісів


Обсяг охоп­лен­ня та па­ра­мет­ри Безкош­тов­ний скан Ліцен­зій­ний скан * Експрес пен­тест * Повний пен­тест *
Аналіз веб-сайтів / веб-до­дат­ків yes yes 20 сторі­нок yes 20 сторі­нок yes
Ана­ліз ме­реж - yes 16 хос­тів yes 16 хос­тів yes
Аналіз на­стіль­них або мо­біль­них до­дат­ків - - - yes
Режим «чор­ний ящик» yes yes yes yes
Режим «сі­рий ящик» - - yes об­ме­же­ний (1 роль ко­рис­ту­ва­ча) yes опціо­наль­но
Режим «білий ящик» (вклю­ча­ю­чи аналіз коду) - - - yes опціо­наль­но
Тести OWASP top 10 част­ко­во част­ко­во yes yes
Тести SANS top 25 - част­ко­во част­ко­во yes
Гарантії OWASP ASVS і SAMM - - - yes опціо­наль­но
Інстру­мен­ти з від­кри­тим ви­хід­ним ко­дом yes за запи­том yes yes
Комер­цій­ні інстру­мен­ти (Qualys, Acu­netix, Nexpose, Burp Suite Pro, тощо) yes ска­нер H-X yes yes yes
Модель зло­вмис­ни­ка кі­бер-ху­лі­ган / скрипт-кід­ді - yes yes yes
Модель про­фе­сій­но­го ціле­спря­мо­ва­но­го зло­вмис­ни­ка - - - yes
Автома­тич­ний по­шук yes yes yes yes
Ручний по­шук - - yes 8 лю­ди­но-го­дин yes
Моделю­ван­ня DoS/DDoS-атак тільки DoS (non-volu­met­ric) тільки DoS (non-volu­met­ric) тільки DoS (non-volu­met­ric) yes опціо­наль­но
Тести соці­аль­ної ін­же­не­рії - - - yes опціо­наль­но
При­хо­ва­ні тес­ти, зма­ган­ня Red Team та Blue Team - - - yes опціо­наль­но
Зворот­ня ін­же­не­рія та до­слід­жен­ня враз­ли­вос­тей «ну­льо­во­го дня» - - - yes опціо­наль­но
Верифі­ка­ція враз­ли­вос­тей - - yes yes
Екс­плу­а­та­ція враз­ли­вос­тей - - обмеже­на (пуб­ліч­ні екс­плої­ти) yes
Плануван­ня проекту - - yes за шаб­ло­ном yes інди­ві­ду­аль­не
Оцінка ри­зи­ків - yes стан­дарт­на yes за шаб­ло­ном yes інди­ві­ду­аль­на
План зни­жен­ня ри­зи­ків - yes стан­дарт­ний yes за шабло­ном yes інди­ві­ду­аль­ний
Звіт yes за шаб­ло­ном yes за шаб­ло­ном yes за шаб­ло­ном yes інди­ві­ду­аль­ний
Відпо­від­ність нор­мам (PCI DSS, SOX, HIPAA, тощо) yes yes yes yes
Допомо­га з усу­нен­ням враз­ли­вос­тей - за запи­том за запи­том yes опці­о­наль­но
Ретест після усу­нен­ня за запи­том за запи­том за запи­том yes вклю­че­ний
Готов­ність поча­ти негайно, ціло­до­бо­во 1-2 дні 2-4 дні 1 тиждень
Трива­лість Скан: 5 хв - 2+ г.
Монітор: постій­но 		2-3 дні 6 днів 2-5 тиж­нів
Ціна Скан: без­кош­тов­но.
Монітор: 54 $/мі­сяць 		15 USD за IP-адре­су.
180 USD за веб-сайт 		150 USD за IP-адре­су.
1500 USD за веб-сайт 		Індивіду­аль­но

* Підпишісь на 12 місяців і отримай 4 квартальних оцінки безпеки зі знижкою 10%!

 

Налаштування сервісу

Комбінуйте популярні запити, щоб визначити ваші потреби:

  Пентест зовнішньої або внутрішньої дротової або бездротової мережі, або інфраструктури.
  Оцінка безпеки в режимі «білий ящик» або аналіз безпеки вихідних кодів веб-сайту, веб-додатку, чи додатку Unix/Linux, Windows, iOS, Android.
  Пентест персоналу (методи соціальної інженерії).
  Безперервний захист веб-сайтів. Моніторинг, реагування на інциденти безпеки, розслідування.
  Розробка програмного забезпечення, розробка або аудит смарт-контрактів.
  Безпека прикладних програм, Security DevOps, Express SOC.
  Впровадження або управління відповідністю ISO 27001, VDA, TISAX, PCI DSS, HIPAA, GDPR, тощо. «Віддалений менеджер безпеки».
  Тренінг, воркшоп з розробки безпечного програмного забезпечення, захисту від соціальної інженерії та ін.
  Інша консультація, оцінка або впровадження інформаційної безпеки.

 

Як ми працюємо, та що ви отримуєте

Робочий процес типового проекту пентесту є наступним:

Формальності →
Ми підписуємо угоду про нерозголошення, покладаючи на себе зобов'язання про конфіденційність.
Уточнення →
Ви відповідаєте на наші питання про умови та оточення, щоб допомогти нам визначити ваші вимоги та очікування.
Підготовка →
Ми аналізуємо ваші вхідні дані та розробляємо Специфікацію (Rules of Engagement) та проект пентесту.
Затвердження →
Ми направляємо вам комерційну пропозицію, специфікацію та план проекту. Ці документи визначають докладні параметри та умови пентесту. Ви приймаєте пропозицію, стверджуєте документи, та ми з вами підписуємо Сервісну угоду.
Роботи «в полі» →
Пасивна фаза пентесту начінвается з аналізу відкритих джерел (Open-Source Intelligence, OSINT). Активна фаза включає виявлення, верифікацію, експлуатацію вразливостей та збір доказів. Потім ми оцінюємо ризики кожної знайденої вразливості та розробляємо рекомендації щодо зниження ризиків і постійного вдосконалення.
Звіт
Звіт з оцінки безпеки описує все, що було знайдено, та що повинно бути зроблено для поліпшення вашої безпеки. Ми консультуємо вас з усунення вразливостей та виконуємо повторний тест на вимогу. Проект завершується.
 
 
Report Sample

Звіт з оцінки безпеки містить усі результати виконання проекту. Структура простого звіту наведена нижче. Залежно від вимог, умов, обмежень та параметрів пентесту, звіт може містити додаткові розділи.

  1. Резюме.
  2. Планування та методологія.
  3. Результати оцінки безпеки:

Перейти вгору, до вибору типу пентесту та замовлення.



Хто ми, що робимо та яке партнерство пропонуємо.


Що таке тестування на проникнення.