Вацлав Довнар

Что мы делаем

Мы систематически атакуем ваши веб-приложения, используя те же методы, что и злоумышленники. Тестирование охватывает всю поверхность атаки: аутентификацию, авторизацию, ошибки внедрения, нарушения управления сеансами, небезопасную обработку данных, уязвимости API и обход деловой логики. Мы не только находим проблемы — мы демонстрируем работающие эксплойты, чтобы вы понимали реальный риск.

Для кого

SaaS компании, платёжные технологии, любые организации с клиентскими или внутренними веб-приложениями. Особенно критично перед запуском или перед обработкой чувствительных данных.

Результаты работы

• Подробная оценка уязвимостей с доказательством концепции эксплойтов
• CVSS-оценка и отображение деловых рисков для каждого выявленного вопроса
• Краткое резюме для руководства с приоритизацией исправлений
• Техническое руководство по исправлению для команд разработки
• Повторное тестирование после исправлений для подтверждения решения

Сроки

4–8 недель в зависимости от объёма и сложности приложения

Что мы делаем

Мы осуществляем целевые фишинг-кампании, социальную инженерию, тесты физической безопасности и другие векторы атак против вашей организации. Цель — измерить, насколько эффективно ваша команда обнаруживает и сообщает об угрозах, и где ваш процесс ломается, когда злоумышленник эксплуатирует человеческое доверие.

Для кого

Все организации. Социальная инженерия — точка входа в 70%+ взломов. Критично для регулируемых отраслей (финансы, здравоохранение) и организаций, защищающих высокоценные активы.

Результаты работы

• Результаты пользовательской фишинг-кампании с метриками взаимодействия
• Отчёт об оценке физической безопасности (если применимо)
• Результаты тестирования социальной инженерии, показывающие устойчивость и уязвимости
• Анализ пробелов в обучении сотрудников вопросам безопасности
• План исправления с метриками отслеживания улучшений
• Базовый уровень для будущих повторных оценок

Сроки

4–6 недель, включая выполнение кампании, сбор данных и анализ

Что мы делаем

Мы сканируем и анализируем всё, открытое в интернет: брандмауэры, VPN, почтовые серверы, веб-серверы, DNS, облачную инфраструктуру и любые системы, видимые извне. Мы выявляем устаревшие версии, отсутствующие исправления, слабые конфигурации и утечку учётных данных — легкую мишень, которую злоумышленники сканируют автоматически.

Для кого

Любая организация с подключённой к интернету инфраструктурой. Особенно важно для компаний, которые не проводили такую оценку более 12 месяцев или после значительных изменений инфраструктуры.

Результаты работы

• Полный перечень активов, видимых из интернета
• Результаты сканирования уязвимостей с оценками серьёзности
• Анализ слабостей конфигурации (слабые шифры, устаревшие протоколы)
• Рекомендации по управлению исправлениями
• Список быстрых побед по исправлениям (устранение 80% риска с 20% усилий)
• Повторное тестирование после первоначального исправления

Сроки

2–4 недели в зависимости от размера и сложности инфраструктуры

Что мы делаем

Мы проводим комплексный сбор открытой разведки для поиска учётных данных, ключей API, внутренней документации, фрагментов исходного кода и чувствительных данных, открытых через GitHub, Docker Hub, S3-бакеты, архивы, социальные сети сотрудников и другие общедоступные источники. Мы определяем, что злоумышленники уже знают о вашей инфраструктуре.

Для кого

Все организации, особенно те, которые используют облачные сервисы, хранилища с открытым исходным кодом или работают с высокой скоростью разработки. Необходимо, прежде чем вы обнаружите свои данные сложным путём.

Результаты работы

• Полный перечень открытых чувствительных данных по источникам
• Оценка масштаба и времени открытости доступа
• Найденные учётные данные и проверка их действительности
• Рекомендуемые исправления (ротация ключей, закрытие репозиториев, обновление политик)
• Улучшения процесса для предотвращения будущих утечек
• Опция ежеквартального мониторинга

Сроки

2–3 недели для первоначальной комплексной оценки

Что мы делаем

Мы устанавливаем опору на вашей внутренней сети и систематически пытаемся получить доступ к высокоценным целям: контроллерам домена, базам данных, чувствительным общим папкам и критически важным системам. Это проверяет вашу сегментацию, возможности обнаружения и может ли вы остановить злоумышленника, который уже находится внутри вашего периметра.

Для кого

Организации со сложными внутренними сетями, хранилищами чувствительных данных или высокоценной интеллектуальной собственностью. Необходимо, если вы сохраняете архитектуру 'доверять всему внутри сети'.

Результаты работы

• Отображение сетевой сегментации и выявленных возможностей обхода
• Перечисление высокоценных целей и путей повышения привилегий
• Доказательство доступа к критически важным системам
• Доказательства обнаружения (или его отсутствия) при мониторинге безопасности
• Подробный сценарий латерального движения, показывающий прогрессию атаки
• Рекомендации по улучшению сегментации и обнаружения

Сроки

3–6 недель в зависимости от сложности сети и уровня предоставленного доступа

Что мы делаем

Наши инженеры безопасности проверяют ваш исходный код на ошибки логики, небезопасную криптографию, уязвимости внедрения и намеренные бэкдоры. Мы анализируем цепочки зависимостей на предмет известных уязвимостей и пакетов высокого риска. Это ловит то, что пропускают автоматизированные сканеры и что могут внедрить злоумышленники или скомпрометированные зависимости.

Для кого

Поставщики программного обеспечения, компании, обрабатывающие чувствительные данные, финансовые системы, приложения для здравоохранения и организации, обеспокоенные рисками цепочки поставок или инсайдерскими угрозами.

Результаты работы

• Комплексный аудит уязвимостей с примерами кода
• Анализ зависимостей высокого риска с путями исправления
• Выявление небезопасных паттернов (крипто, обработка данных, аутентификация)
• Рекомендации по безопасному кодированию по модулям/компонентам
• Временная шкала исправления по серьёзности
• Рекомендации по процессу безопасного просмотра кода

Сроки

4–12 недель в зависимости от размера и сложности кодовой базы

Что мы делаем

Мы проверяем умные контракты на ошибки reentrancy, переполнения целых чисел, обходы управления доступом и логические ошибки, которые могут привести к потере средств или компрометации протокола. Мы оцениваем безопасность механизмов токенов, интеграции оракулов и кросс-чейн-мостов. Это специализированная область — не каждый тестировщик проникновения имеет опыт в блокчейне.

Для кого

DeFi-протоколы, NFT-проекты, поставщики блокчейн-инфраструктуры и организации, интегрирующие крипто-функциональность. Любой, кто развертывает умные контракты в production.

Результаты работы

• Аудит кода умного контракта с отображением уязвимостей
• Обзор оптимизации и эффективности газа
• Оценка модели управления доступом и привилегий
• Анализ риска оракулов и внешних зависимостей
• Анализ экономической безопасности механики токенов
• Проверка в testnet и рекомендации для развёртывания в production

Сроки

3–8 недель в зависимости от сложности контракта и общего количества строк кода

Что мы делаем

Это многоэтапное взаимодействие, где мы работаем как постоянный злоумышленник: разведка, первоначальный доступ, установление постоянного присутствия, латеральное движение, экспортация данных и сохранение доступа на недели или месяцы. Мы проверяем ваши возможности обнаружения, реагирования и восстановления против реальной, продолжительной угрозы — не двухнедельного теста проникновения.

Для кого

Крупные предприятия, операторы критической инфраструктуры, организации со зрелыми программами безопасности и те, которые 'прошли' традиционные тесты проникновения, но хотят проверить реальную операционную безопасность. Требует одобрения уровня совета и координации руководства.

Результаты работы

• Повествование о многомесячной атаке со всеми использованными методами
• Анализ покрытия обнаружения (что вы поймали, что пропустили)
• Оценка эффективности реагирования на инциденты
• Доказательство сбора, показывающее оставшиеся артефакты судебной экспертизы
• Пробелы в возможностях команды безопасности в области обнаружения и реагирования
• Стратегические рекомендации по улучшению обнаружения/реагирования

Сроки

8–16 недель для значимого операционного Red Team взаимодействия

Что мы делаем

Мы помогаем вам разработать и внедрить средства контроля, чтобы соответствовать требованиям сертификации, подготовить документацию, которую ожидают аудиторы, и структурировать сбор доказательств. Мы управляли сертификацией в масштабе — это не теория. Мы гарантируем, что вы строите средства контроля, которые действительно работают, а не просто театр для аудиторов.

Для кого

Организации, стремящиеся к сертификации ISO 27001, PCI DSS, SOX или другим сертификациям. Включает руководство по подготовке, имитационные аудиты и планирование исправлений.

Результаты работы

• Оценка разрыва в соответствии со стандартом сертификации
• Рекомендации по разработке средств контроля и руководство по внедрению
• Шаблоны документации, выровненные по ожиданиям аудиторов
• Стратегия сбора и организации доказательств
• Имитационный аудит для выявления оставшихся пробелов
• Стратегия взаимодействия с аудиторами и планирование исправлений

Сроки

6–12 месяцев в зависимости от текущего состояния и объёма сертификации

Что мы делаем

Мы оцениваем вашу практику обработки данных в соответствии с требованиями GDPR, разработаем оценки влияния защиты данных, устанавливаем процедуры уведомления о нарушениях и обеспечиваем надлежащие механизмы согласия. Это охватывает нормативную реальность: применение GDPR имеет зубы, и штрафы отражают вашу халатность.

Для кого

Любая организация, обрабатывающая данные жителей ЕС. Особенно компании, которые не провели оценку GDPR или чьи практики конфиденциальности устарели.

Результаты работы

• Оценка соответствия GDPR и анализ разрыва
• Инвентаризация данных и отображение обработки
• Фреймворк оценки влияния на защиту данных (DPIA)
• Проверка и переделизайн политики конфиденциальности и механизмов согласия
• Процедуры уведомления о нарушениях и реагирования на инциденты
• Контракты с поставщиками/процессорами и соглашения о данных
• Процедуры выполнения прав субъектов данных

Сроки

3–6 месяцев для комплексного проектирования и внедрения программы

Что мы делаем

Мы проверяем ваши процессы безопасности, изучая то, что люди действительно делают, в сравнении с тем, что говорят ваши политики. Мы проверяем утверждение запросов доступа, применение контроля изменений, выполнение реагирования на инциденты и генерирует ли мониторинг действенную разведку. Письменные средства контроля ничего не значат, если они не соблюдаются.

Для кого

Организации с программами безопасности, которые не доставляют ожидаемых результатов, или те, которые обязаны продемонстрировать эффективное исполнение контроля для аудиторов/регуляторов.

Результаты работы

• Оценка всех ключевых процессов и процедур безопасности
• Доказательства фактического исполнения контроля (или отклонения от политики)
• Пробелы в эффективности обнаружения, реагирования и восстановления
• Метрики, показывающие производительность контроля во времени
• Рекомендации по улучшению процесса и автоматизации
• Информационная панель отслеживания для текущего мониторинга соответствия

Сроки

6–8 недель в зависимости от количества процессов и размера организации

Что мы делаем

Мы оцениваем ваши системы обнаружения мошенничества, финансовые средства контроля, рабочие процессы утверждения транзакций и целостность журнала аудита. Это вопрос о том, может ли ваша платёжная система, бухгалтерия и цепочки утверждений противостоять манипуляции инсайдеров или систематическим схемам мошенничества.

Для кого

Финансовые учреждения, обработчики платежей, организации с высокообъёмными транзакциями и компании, обеспокоенные инсайдерскими угрозами или платёжным мошенничеством.

Результаты работы

• Анализ целостности журнала аудита и неотказуемости
• Оценка разделения обязанностей (утверждение, исполнение, согласование)
• Эффективность мониторинга транзакций и обнаружения аномалий
• Средства контроля, предотвращающие дублирующиеся/несанкционированные транзакции
• Проверка процедур согласования и тестирование
• Тепловая карта риска мошенничества с рекомендациями по смягчению

Сроки

4–8 недель в зависимости от сложности системы и объёма транзакций

Что мы делаем

Мы консультируем руководство и советы директоров по стратегии безопасности, выровненной с деловыми целями, а не с театром безопасности. Это включает определение аппетита к риску, приоритизацию инвестиций в безопасность, готовность к реагированию на инциденты и построение грамотности совета директоров по вопросам безопасности. Мы переводим между технической реальностью безопасности и принятием деловых решений.

Для кого

CISOs, CFOs, CEOs и советы директоров, стремящиеся принимать обоснованные решения по безопасности. Организации, корректирующие аппетит к риску после инцидента или входящие на новый рынок.

Результаты работы

• Стратегия безопасности, выровненная с деловыми целями и аппетитом к риску
• Многолетняя дорожная карта инвестиций в безопасность с фреймворком ROI
• Фреймворк отчётности уровня совета директоров и метрики
• Планирование реагирования на инциденты и кризисные коммуникации
• Оценка нормативного риска и стратегия смягчения
• Брифинги для руководства и планирование сценариев

Сроки

Текущее консультирование; типичные первоначальные проекты 8–12 недель

Что мы делаем

Мы проверяем вашу общую архитектуру системы на предмет свойств безопасности: сетевую сегментацию, контроль потока данных, реализацию криптографии, управление идентификацией и доступом и устойчивость к сбоям. Плохая архитектура означает, что ни одно количество тактических исправлений не сработает. Мы выявляем архитектурные недостатки рано, когда они ещё исправимы.

Для кого

Организации, планирующие крупные переделизайны систем, растущие быстро или работающие с системами, где архитектурные решения ограничивают безопасность (миграции в облако, модернизация наследия).

Результаты работы

• Оценка архитектуры текущего состояния и отображение безопасности
• Модель угроз, выявляющая пути атак и архитектурные слабостей
• Рекомендации по архитектуре сегментации и управления доступом
• Проектирование архитектуры криптографии и управления ключами
• Архитектура управления идентификацией и привилегиями
• Опорная архитектура для будущих систем

Сроки

6–10 недель для комплексной оценки архитектуры

Что мы делаем

Мы оцениваем структуру организации безопасности, потребности в найме, пробелы в навыках и эффективность. Это включает оценку того, строит ли ваш CISO (если он у вас есть) правильные возможности и задаёт реалистичное направление безопасности. Мы предоставляем честную оценку, а не просто лесть.

Для кого

Компании без руководства безопасности или неуверенные, эффективен ли их CISO. Организации, масштабирующие безопасность от нескольких человек к отделу. Компании, которые вопрошают, доставляет ли инвестиция в безопасность результаты.

Результаты работы

• Оценка организации безопасности и оценка эффективности
• Анализ разрыва в возможностях и дорожная карта найма
• Оценка эффективности CISO (если применимо)
• Разработка структуры и ответственности команды безопасности
• Стратегия найма и описания должностей
• Фреймворк метрик для измерения производительности команды безопасности

Сроки

4–8 недель, включая интервью и оценки

Что мы делаем

Перед тем как вы покупаете у поставщика или интегрируете их сервис, мы оцениваем, не будет ли это создавать неприемлемый риск. Это включает проверку кода для сторонних библиотек, анкеты безопасности, которые действительно важны, оценку практик поставщика и оценку риска цепочки поставок.

Для кого

Организации, оценивающие критических поставщиков (SaaS-платформы, библиотеки разработки, облачные сервисы, обработчики платежей). Необходимо перед интеграцией зависимостей или подписанием крупных контрактов с поставщиками.

Результаты работы

• Оценка анкеты безопасности и оценка ответов поставщика
• Оценка безопасности кода/компонентов третьих сторон
• Проверка практик безопасности поставщика и истории инцидентов
• Анализ риска безопасности интеграции
• Требования безопасности контракта с поставщиком и язык ответственности
• Рейтинг риска и рекомендация

Сроки

2–4 недели за оценку одного поставщика

Что мы делаем

Иногда вам нужен внешний эксперт для проверки того, обоснована ли внутренняя позиция по безопасности, разрешения разногласий между заинтересованными сторонами или оспаривания предположений. Мы предоставляем честную оценку безопасности без политики.

Для кого

CISOs и лидеры безопасности, стремящиеся к проверке или свежему взгляду. Организации, где внутренняя безопасность и деловые заинтересованные стороны не согласны с приоритетами. Советы директоров, желающие внешнего подтверждения направления безопасности.

Результаты работы

• Оценка предложенного решения или стратегии безопасности
• Анализ риска и рекомендация
• Альтернативные подходы с компромиссами
• Рассмотрение внедрения и временная шкала
• Проверка или вызовы внутренней позиции

Сроки

1–3 недели в зависимости от сложности

Что мы делаем

Мы помогаем вам построить защиту от инсайдеров: управление привилегированными учётными записями, обнаружение экспортации данных, мониторинг деятельности с надлежащим балансом конфиденциальности и процедуры реагирования. Это не о наблюдении — это об обнаружении, когда доверенные люди делают вредоносные вещи.

Для кого

Организации, обрабатывающие чувствительные данные, коммерческие тайны или секретную информацию. Финансовые учреждения и оборонные подрядчики. Компании, пережившие инсайдерские инциденты.

Результаты работы

• Оценка риска инсайдерских угроз и моделирование угроз
• Разработка программы управления привилегированным доступом
• Стратегия аналитики поведения пользователя и сущности (UEBA)
• Средства контроля обнаружения экспортации данных
• Фреймворк мониторинга и оповещения (с гарантиями конфиденциальности/юридическими)
• Процедуры расследования и реагирования
• Дорожная карта внедрения мониторинга, учитывающего конфиденциальность

Сроки

8–12 недель для комплексного проектирования программы

Что мы делаем

Мы помогаем вам встроить безопасность в разработку: моделирование угроз перед кодированием, статический/динамический анализ в конвейере, практики безопасного просмотра кода, безопасное управление зависимостями и безопасность развёртывания. Это предотвращает уязвимости от достижения production вместо их обнаружения во время тестов проникновения.

Для кого

Организации разработки программного обеспечения, команды продуктов и компании, где уязвимости безопасности в продуктах создают ответственность. Любая команда, желающая сдвинуть безопасность влево.

Результаты работы

• Шаблоны моделирования угроз и руководство по процессу
• Стандарты безопасного кодирования и процесс просмотра кода
• Оценка цепочки инструментов и руководство по внедрению SAST/DAST
• Сканирование зависимостей и управление риском цепочки поставок
• Автоматизация тестирования безопасности в конвейере CI/CD
• Метрики безопасности и отслеживание скорости
• Программа обучения разработчиков по вопросам безопасности

Сроки

6–10 недель для разработки процесса и интеграции инструментов

Что мы делаем

Мы разрабатываем и внедряем мониторинг безопасности периметра: анализ сетевого потока, обнаружение вторжения, агрегирование логов брандмауэра и оповещение о сигнатурах атак. Это охватывает разведку злоумышленников на ранних этапах, попытки эксплуатации и коммуникацию вредоноса.

Для кого

Организации с инфраструктурой, подключённой к интернету, желающие обнаружить атаки, прежде чем они проникнут глубже. Компании, у которых отсутствует видимость того, на что пытаются атаковать злоумышленники.

Результаты работы

• Инфраструктура захвата и анализа сетевого потока
• Конфигурация IDS/IPS для вашей сетевой среды
• Сбор и анализ логов брандмауэра
• Процедуры обнаружения и реагирования на DDoS
• Настройка оповещений для балансирования обнаружения и ложных срабатываний
• Интеграция разведки об угрозах
• Процедуры команды SOC для интерпретации мониторинга

Сроки

4–8 недель для внедрения и настройки