Evilginx3
GoPhish
Burp Suite
sqlmap
OWASP ZAP
Nmap
Metasploit
Impacket
Mimikatz
Wireshark
Responder
John the RipperМислим като нападател.Действаме като партньор.Тестваме защитата випреди истинската заплаха.
Какво включва услугата
- Реалистични phishing атаки
- Тестове за уеб уязвимости (XSS, SQL Injection, Broken Auth и др.)
- Сканиране и енумерация на мрежи
- Red Team симулации — пълна атака от външен и вътрешен нападател
- Анализ на Active Directory и вътрешни системи
- Доклад с видео доказателства и приоритетни препоръки
За кого е подходящо
Размерът няма значение.
Уязвимостите — да.
В момента, в който четете това, автоматизирани инструменти сканират интернет и търсят открити врати. Не търсят конкретна компания. Търсят всяка уязвима точка — и я намират.
Нямате нужда да сте голяма мишена, за да бъдете ударени. Нямате нужда да сте направили нещо нередно. Достатъчно е да имате нещо ценно — данни, пари, достъп — и да не знаете как влизат.
Единственото, което разграничава бизнесите, е дали знаят за слабостите си — преди някой друг да ги открие вместо тях.
Малък бизнес
По-малко ресурси за защита не означава по-малко атаки. Означава по-лесна мишена. Банковите данни и клиентските записи имат същата стойност независимо от размера на фирмата.
Среден и голям бизнес
Повече служители = по-голяма attack surface. Един компрометиран имейл акаунт може да даде достъп до цялата вътрешна мрежа за минути.
Корпорации и enterprise
Сложността е враг на сигурността. Legacy системи, мисконфигурации и забравени достъпи стоят отворени с години — невидими за вътрешния екип.
Всеки, обработващ клиентски данни
GDPR, NIS2 и застрахователите вече изискват доказана проверка — не само политика на хартия. Пробивът носи глоби, дела и изгубено доверие.
Обхват на услугите
Четири вектора. Един резултат.
Изберете конкретна услуга или комбинирайте всички в пълен Red Team ангажимент.
Phishing & Социално инженерство
Симулираме реални phishing кампании срещу вашия екип — email, SMS, vishing. Измерваме кой би разкрил credentials или изпълнил нареждане от нападател. Резултатът: точна картина на уязвимостта на хората, не само на системите.
- Email phishing с bypass на 2FA чрез adversary-in-the-middle техники
- Spear phishing срещу ключови лица (CEO, CFO, IT)
- Vishing — телефонни атаки и социален натиск
- SMS Phishing (Smishing) — реалистични кампании към мобилни устройства
- OSINT профилиране на целите за максимална реалистичност
- Статистики: кликнали, въвели данни, докладвали инцидента
- 01Дефиниране на обхват и целеви лица
- 02Изграждане на инфраструктура и шаблони
- 03Провеждане на кампанията
- 04Анализ и доклад с препоръки
Тестване на уеб приложения
Провеждаме задълбочен анализ на вашите уеб приложения за уязвимости от OWASP Top 10 и отвъд. Тестваме автентикация, оторизация, API, бизнес логика и всичко, до което може да достигне атакуващ отвън.
- XSS (Stored, Reflected, DOM-based)
- SQL Injection, NoSQL Injection, Command Injection
- Broken Authentication & Session Management
- Insecure Direct Object References (IDOR)
- API security — REST, GraphQL, WebSocket
- Business logic flaws и privilege escalation
- 01Reconnaissance и картографиране на приложението
- 02Ръчно и автоматизирано тестване
- 03Верификация и proof-of-concept за всяка находка
- 04Доклад с CVSS score и стъпки за отстраняване
Мрежова и инфраструктурна сигурност
Тестваме вътрешната и външната мрежова инфраструктура — рутери, суичове, VPN, firewall, Active Directory и безжични мрежи. Симулираме как атакуващ с вътрешен достъп би компрометирал цялата среда.
- Външно мрежово сканиране и enumeration
- WiFi атаки — WPA2 crack, Evil Twin, PMKID
- Active Directory — Kerberoasting, Pass-the-Hash, DCSync
- Lateral movement и privilege escalation
- VPN / firewall мисконфигурации
- Вътрешно тестване (Black/Grey/White Box)
- 01Мрежово картографиране и OSINT
- 02Идентифициране на attack surface
- 03Експлоатация и lateral movement
- 04Доклад с chain-of-attack и препоръки
Red Team — пълна симулация на атака
Комплексна, многоетапна симулация на реална APT атака. Комбинираме технически експлойти, социално инженерство и физически вектори — без ограничения на вектора, с единствена цел: да достигнем до критичните данни.
- Неограничени атачни вектори и техники
- Физическо проникване и badge cloning
- C2 инфраструктура и persistence механизми
- OSINT профилиране на организацията и ключовите лица
- Многоетапна атачна верига (kill chain)
- Презентация пред ръководството с видео доказателства
- 01Scoping и дефиниране на цели (Crown Jewels)
- 02Разузнаване и планиране
- 03Изпълнение — до 4 седмици активна фаза
- 04Дебрифинг и пълен доклад с препоръки
Методология
Как протича всеки ангажимент
Обхват и правила
Първо определяме точно кои системи, приложения, мрежи и хора влизат в обхвата на тестването. Подписваме договор, NDA и Rules of Engagement, за да няма никакви изненади и всичко да е законно и ясно.
Разузнаване
Събираме информация за вашата организация, служителите и инфраструктурата — точно както би направил реален нападател. Използваме както публични източници, така и активни техники за разузнаване.
Изпълнение
Провеждаме контролирано тестване в безопасна среда. Ако открием критична уязвимост, веднага ви уведомяваме. Всички действия се документират в реално време с доказателства.
Верификация и анализ
Всяка открита уязвимост се проверява ръчно. Класифицираме я според тежестта (Critical, High, Medium, Low) и оценяваме реалното въздействие върху вашия бизнес. Премахваме фалшивите позитиви.
Доклад и дебрифинг
В края получавате подробен технически доклад + Executive Summary за ръководството. Включваме видео доказателства, точни стъпки за отстраняване и приоритетен план за действие. При желание — live презентация и повторно тестване след корекции.
Краен резултат
Какво получавате след всеки ангажимент
Не общ доклад с готови препоръки. Конкретни находки, доказателства и стъпки — точно за вашата среда.
Технически доклад
Пълен списък на находките с proof-of-concept, скрийншоти и точни стъпки за репродукция.
Executive Summary
Версия за ръководители без технически жаргон — рискове, приоритети и бизнес въздействие.
Видео доказателства
Запис на критичните атаки в реално време — неоспоримо доказателство за всяка находка.
CVSS класификация
Всяка уязвимост е оценена по индустриалния стандарт: Critical / High / Medium / Low.
План за отстраняване
Конкретни стъпки за всяка находка — не общи препоръки, а действия за вашата среда.
30-дневна поддръжка
След доклада сме на линия — отговаряме на въпроси и верифицираме корекциите без доплащане.
Защо да ни се доверите
Работим с реална отговорност.
Дискретността, прозрачността и контролът не са опции — те са основата, без която тази работа не може да съществува.
Пълна дискретност
NDA по подразбиране — не по молба. Резултатите, докладите и комуникацията не напускат вас и нас. Никога. Никой трети.
Прозрачен процес
Знаете точно кога, как и какво тестваме. При критична находка — незабавно ви уведомяваме. Не чакате края на доклада, за да научите.
Контролирана среда
Никакви реални щети. Всеки тест е координиран, документиран и обратим. Работим само в договорения обхват — нито стъпка извън него.
Защо Zynex Digital
Подход, основан на
реална заплаха
Киберсигурността не е checkbox. Тя е процес — и ние го подхождаме с методологията на реален нападател, не с автоматизирани скенери и шаблонни доклади.
Мислим като нападател
Автоматизираните скенери пропускат повечето реални уязвимости. Ние тестваме ръчно — следваме логиката на атакуващия, не само инструментите.
Доклад, написан за хора
Технически детайл за IT екипа, бизнес рискове за ръководството — в един документ. Конкретни находки и точни стъпки за отстраняване.
Прозрачен ангажимент
Обхватът, сроковете и цената се фиксират предварително. Нищо не се добавя по средата без ваше изрично съгласие.
Поддръжка след доклада
30 дни сме на линия след приключване — за въпроси при отстраняване и верификация на корекциите без доплащане.