Мы проектируем фишинговые кампании вокруг вашей реальной организации — ваших людей, процессов и инструментов — чтобы измерить, как ваша команда реагирует на реалистичную целевую атаку, а не на общий шаблон, который они заметят за секунду.
Нам доверяют
Тренинги провели, плакаты развесили — но вы никогда не измеряли, что происходит, когда убедительное, адаптированное сообщение действительно доходит. Вы лишь догадываетесь о своём самом большом риске.
Массовое письмо «обновите пароль», которое все проигнорировали, ничего не доказывает. Настоящие злоумышленники сначала исследуют вашу компанию — тест, который этого не делает, не проверяет угрозу, с которой вы реально сталкиваетесь.
Настоящее фишинговое письмо прошло. Вам нужно понять, как это удалось, кто под риском и дойдёт ли следующее — подкреплено независимой оценкой, а не внутренними догадками.
SOC 2, ISO 27001 или отраслевой регулятор теперь ожидают доказательств тестирования устойчивости к фишингу. Вам нужна задокументированная независимая кампания и отчёт, удовлетворяющие требованию.
Как их поставщик, вы имеете доступ к их среде или данным. Их команда безопасности хочет доказательств, что ваши сотрудники устойчивы к целевому фишингу — прежде чем доверить это вам.
Клик — это половина картины. Важный вопрос — поднимет ли кто-то тревогу достаточно быстро, чтобы ваш SOC успел отреагировать — а вы это никогда не проверяли.
68%
взломов вовлекают человеческий фактор — фишинг остаётся самым распространённым путём в организацию, в любой отрасли и размере.
Under 60 sec
медианное время, за которое пользователь кликает фишинговую ссылку и отдаёт учётные данные, как только доходит убедительное, вовремя посланное сообщение.
1 reply
достаточно. Достаточно одного человека, одного адаптированного сообщения, одних учётных данных — и крепость ваших файрволов перестаёт иметь значение.
Целевые кампании, построенные вокруг того, как на самом деле работают ваши люди — чтобы измерить и кто поддаётся, и кто сообщает.
Сообщения, созданные для конкретных людей или команд с реальным контекстом — имена, инструменты, проекты и время, которые злоумышленник бы исследовал — чтобы проверить устойчивость к правдоподобной персонализированной атаке.
Полноценные сценарии, отражающие ваши реальные процессы (согласование счёта, ИТ-миграция, запрос от HR или поставщика), чтобы проверить, обходит ли правдоподобная бизнес-история подозрение.
Большинство фишинговых тестов останавливаются на показателе кликов. Для нас это лишь отправная точка.
Senior-пентестер (а не менеджер по продажам) вернётся к вам с честной оценкой того, что действительно стоит тестировать.
Несколько проектов, показывающих, как выглядит работа с нами — в масштабе, годами, в разных отраслях.
Blackbox- и Greybox-тестирование нескольких ИТ-сервисов — гарантируем высокую защиту потребителей, сотрудников, подрядчиков и акционеров, удовлетворяя требования compliance на уровне группы.
Читать кейсBlackbox- и Greybox-тестирование по OWASP — с повторным тестированием после устранения и финальным отчётом, подтвердившим уровень безопасности для аудита ISO 27001.
Читать кейсПять артефактов — рассчитанных на тех, кто действительно ими пользуется: ваши инженеры, ваш C-level, аудиторы и Enterprise-клиенты.
Реальная структура, реальные находки, реальный формат. Те самые документы, которые увидит ваша команда и аудиторы.
Найдём Critical — узнаете в тот же день.
Если в процессе работы мы обнаружим уязвимость уровня Critical, требующую немедленных действий, вы получите оповещение с шагами воспроизведения и рекомендациями. Мы продолжаем тестировать, вы параллельно начинаете устранять. Без ожидания финального отчёта.
Приоритизированные находки, по которым инженеры могут начать работу в тот же день.
Каждая уязвимость с шагами воспроизведения, PoC-эксплуатацией, оценкой бизнес-импакта и приоритизированной дорожной картой устранения. Без false-positive. Без воды. Сделано так, чтобы ваши разработчики точно знали, что и в каком порядке чинить.
То, что действительно нужно знать совету и инвесторам.
Отчёт на бизнес-языке: security-postur вашего продукта, выявленные риски, их потенциальный бизнес-импакт и путь устранения. Написан для CEO, советов, инвесторов и Enterprise-закупок — не для инженеров.
Проверенные доказательства того, что исправления работают.
После того как ваша команда устранит находки, мы повторно тестируем каждую и подтверждаем, что фикс выдерживает ту же эксплуатацию. Обновлённый отчёт — ваше доказательство, что уязвимости действительно закрыты, а не «закрыты» на бумаге.
Публичный артефакт, который можно показать клиентам и потенциальным заказчикам.
После устранения и повторного тестирования мы выдаём официальный сертификат, подтверждающий, что продукт прошёл глубокий ручной пентест. Используйте его на сайте, в анкетах безопасности, в переговорах с Enterprise — это тот документ, который хотят видеть ваши потенциальные клиенты и их закупки.
Отраслевые стандарты, выполненные senior-инженерами.
Сканеры — только базовая линия. Каждая находка собрана и подтверждена senior-инженером — эксплуатируется и связывается в цепочки вручную, с учётом контекста вашей платформы.
Каждая находка — основа для следующей. Новый доступ раскрывает новую поверхность. Мы возвращаемся, копаем глубже и выстраиваем цепочки — пока не достигнем максимального ущерба, который позволяет ваша архитектура.
Список CVE не говорит вам, что атакующий реально сделает с бизнесом. Мы переводим каждую находку в сценарий из реального мира — что компрометируется, кто что теряет и как разворачивается цепочка.
Никаких джунов, обучающихся на вашем продукте, никакого аутсорса для подстраховки, никакой замены инженеров посередине проекта. Каждый проект ведут senior-инженеры наступательной безопасности с глубоким опытом в B2B SaaS.
Мы не конвейер, оптимизированный под пропускную способность. Берём меньше проектов одновременно и глубоко погружаемся в каждый — это сознательный выбор.
Все тесты идут по подписанному Rules of Engagement. Действия с высоким риском в продакшене заранее согласуются с вами. Critical-находки вызывают немедленное оповещение — никаких сюрпризов, никаких сломанных окружений.
Каждая находка проверена, приоритизирована и описана с шагами воспроизведения и рекомендациями по устранению. Ваши инженеры точно знают, что чинить первым — и не теряют день на шум.
Прямой доступ к нашим инженерам на протяжении всего проекта. Никаких посредников из продаж, никаких project-менеджеров, фильтрующих техдетали.
Мы нанимаем инженеров, которые хакают в свободное время — для ресерча, для CTF, ради самого ремесла. Наша команда воспринимает каждый проект как задачу, которую надо решить, а не тикет, который надо закрыть.
Структурированный проект, построенный вокруг вашей команды: senior-инженеры, прямая коммуникация, ноль сюрпризов.
Топовые рейтинги на отраслевых платформах
Сертификации наших инженеров
XRAY CyberSecurity предоставили комплексный, хорошо структурированный отчёт с практическими рекомендациями по укреплению безопасности нашего приложения. Мы получили два отчёта — детальный Технический и отдельный для руководства — что позволило быстро представить результаты топ-менеджменту и составить план действий. Готовность напрямую общаться с нашими подрядчиками значительно ускорила устранение.
XRAY CyberSecurity провели пентест наших продуктов, построенных на разных технологиях. Мы выявили уязвимости, устранили их и получили подтверждение через повторное тестирование, что они закрыты. Общение с их командой ощущалось скорее как работа с коллегами, чем со внешним подрядчиком — профессионалы, эксперты, дали ценные советы.
XRAY CyberSecurity провели grey-box пентест по методологии OWASP. Их тщательный ручной анализ выявил уязвимости, заслуживающие внимания, а детальные технический и executive-отчёты — с последующим повторным тестированием, подтвердившим устранение — позволили нам пройти сертификацию по ISO 27001.
XRAY CyberSecurity провели тщательную оценку наших веб-приложений и облачных сред, моделируя сценарии реальных атак. Подробные отчёты содержали понятные применимые выводы, которые существенно улучшили нашу security-postur, а способность доносить сложные находки в простой форме была неоценима для нашей команды.
Работа была выполнена быстро и профессионально. Специалисты XRAY CyberSecurity указали на наши уязвимые места, что позволило улучшить качество ПО. Мы получили отчёт с детальными сценариями проникновения и как техническими, так и организационными рекомендациями по устранению и предотвращению.
Готовые инструменты массово рассылают шаблонные письма; настоящий злоумышленник сначала исследует вашу компанию. Мы строим кампании вокруг ваших реальных людей, инструментов и процессов — так, как это сделал бы мотивированный противник — так что результат отражает угрозу, с которой вы сталкиваетесь, а не тест, который каждый бы заметил.
Нет — этот проект по замыслу только о фишинге. Мы сосредотачиваемся на том, чтобы качественно сделать целевую социальную инженерию через email, а не распыляться по векторам. Если вам нужен более широкий скоуп red-team, это отдельный разговор.
Нет. Цель — измерить устойчивость организации, а не публично стыдить. Результаты подаются как агрегированные метрики и паттерны; с индивидуальными данными обращаемся деликатно и в соответствии с тем, что согласуем заранее. Результат — более сильная команда, а не список виновных.
Подписанный NDA и договор с полной корпоративной ответственностью, плюс письменная авторизация кампании до того, как что-либо будет отправлено. Любые учётные данные или данные, собранные во время тестирования, хранятся в зашифрованном виде, доступны только назначенным инженерам и удаляются после проекта в соответствии с вашим договором. У нас есть страхование профессиональной ответственности.
Обычно не цели — предупреждение сводит тест на нет. Но мы всегда координируемся с небольшой согласованной группой с вашей стороны (и, если уместно, вашим SOC), чтобы проект был авторизован и контролируем. Вы решаете, кто в курсе, прежде чем мы начнём.
Больше, чем показатель кликов. Мы измеряем, кто кликнул, кто ввёл учётные данные, кто подтвердил запрос MFA — и, что критично, кто сообщил об этом и как быстро отреагировали ваша команда и SOC. Сообщение и реакция не менее важны, чем клик, и мы отчитываемся по обоим.
Это сильный результат — и показательный. Вы всё равно получаете полный набор артефактов, документирующих проведённые кампании, использованные предлоги, цели и метрики реагирования — доказательство устойчивости, которое примут ваши аудиторы и клиенты.
Настройка сосредоточена в начале — согласование скоупа, целей, предлогов и авторизации на kick-off. Во время кампании ваше участие минимально, кроме координационной группы. После передачи ценность в том, чтобы действовать по находкам, в чём мы помогаем чёткими, приоритизированными рекомендациями.
Цена в предложении фиксированная и прописана в договоре под согласованный скоуп. Последующую кампанию для измерения улучшений после работы по осведомлённости можно включить или определить отдельно — согласовано заранее, а не выставлено неожиданно. Единственное, что меняет цену — это расширение скоупа с вашей стороны, согласованное письменно заранее.