Технический аудит

Все виды технического аудита проводятся на основе собственных и международных методологий (OWASP, OSSTMM, PTES, PCI DSS). При составлении отчёта большое внимание уделяется применимости его выводов и рекомендаций в реальной системе, для чего наши специалисты погружаются в бизнес-логику работы приложения и контекст его функционирования. Наши работы всегда основаны на моделировании риск-сценариев и приоритезации угроз и уязвимостей информационной безопасности, а не на абстрактном перечеслении типовых уязвимостей, найденных автоматическим сканированием.

Тестирование на проникновение

Наши специалисты, имитируя действия злоумышленника, осуществляют инструментальный и ручной поиск уязвимостей в системе, с последующей реализацией наиболее критичных из них для достижения заранее определённых целей (как правило проверки механизмов защиты или получения доступа к критичным активам). На основе собранной информации мы готовим подробный отчет по обнаруженным уязвимостям с рекомендациями по исправлению и по необходимости консультируем ИТ и ИБ специалистов Заказчика для коррекции процессов управления и избегания аналогичных уязвимостей в будущем.

Цель

Получение доступа к критичным активам.

Особенности

• Пентест не нацелен на поиск наибольшего кол-ва уязвимостей. Для достижения целей пентеста достаточно выявление короткой серии уязвимостей для компрометации системы. Все обнаруженные уязвимости в ходе пентеста включаются в отчёт;

• Подходит для организаций с выстроенными механизмами информационной безопасности. Если ранее в организации

не проводился пентест или анализ защищённости, приоритет стоит отдать анализу защищённости;

• Подходит для периодической (раз в год) проверки киберустойчивости организации к внешним и внутренним информационным угрозам;

• Подходит для соблюдения регуляторных требований по ПДн, ЦБ, PCI DSS, SWIFT и т.д.

Анализ защищенности

Наши специалисты всесторонне оценивают безопасность и уязвимость ИТ-системы, выявляя ее слабые места и уязвимости.

На основе собранной информации мы готовим подробный отчет по обнаруженным уязвимостям, их приоритености с рекомендациями по исправлению.

Цель

Поиск наибольшего количества уязвимостей.

Особенности

• Подходит для получения общей, комплексной картины по состоянию технической защищенности компании;

• Подходит для соблюдения регуляторных требований по ПДн, ЦБ, но является значительно более дорогой и продолжительной по времени услугой, нежели пентест.

Анализ уязвимостей ПО

Наши специалисты проведут комплексный анализ программного обеспечения, которое вклкцючает в себя: автоматический и ручной анализ исходного кода, анализ и разработку документации согласно семейству стандартов ИСО/МЭК 15408 - ОУД 4 (при необходимости), тестирование на проникновение развёрнутого ПО, разработку отчёта с результами исследования, включающего в себя все обнаруженные уязвимости и рекомендации по их исправлению, а также рекомендации по изменениям в процесс разработки ПО (например, внедрению Secure SDLC).

Цель

Выявление скрытых уязвимостей ПО, недостатков в процессе разработки, соблюдение регуляторных требований.

Особенности

• Значительно увеличивает уровень защищённости разрабатываемого ПО, как отдельного релиза, так и процесса работы команды разработчиков в целом;

• Подходит для кредитных и некредитных финансовых организаций для соблюдения требований, положений ЦБ РФ в части ОУД4.