Технический аудит
Все виды технического аудита проводятся на основе собственных и международных методологий (OWASP, OSSTMM, PTES, PCI DSS). При составлении отчёта большое внимание уделяется применимости его выводов и рекомендаций в реальной системе, для чего наши специалисты погружаются в бизнес-логику работы приложения и контекст его функционирования. Наши работы всегда основаны на моделировании риск-сценариев и приоритезации угроз и уязвимостей информационной безопасности, а не на абстрактном перечеслении типовых уязвимостей, найденных автоматическим сканированием.
Тестирование на проникновение
Наши специалисты, имитируя действия злоумышленника, осуществляют инструментальный и ручной поиск уязвимостей в системе, с последующей реализацией наиболее критичных из них для достижения заранее определённых целей (как правило проверки механизмов защиты или получения доступа к критичным активам). На основе собранной информации мы готовим подробный отчет по обнаруженным уязвимостям с рекомендациями по исправлению и по необходимости консультируем ИТ и ИБ специалистов Заказчика для коррекции процессов управления и избегания аналогичных уязвимостей в будущем.
Цель
Получение доступа к критичным активам.
Особенности
• Пентест не нацелен на поиск наибольшего кол-ва уязвимостей. Для достижения целей пентеста достаточно выявление короткой серии уязвимостей для компрометации системы. Все обнаруженные уязвимости в ходе пентеста включаются в отчёт;
• Подходит для организаций с выстроенными механизмами информационной безопасности. Если ранее в организации
не проводился пентест или анализ защищённости, приоритет стоит отдать анализу защищённости;
• Подходит для периодической (раз в год) проверки киберустойчивости организации к внешним и внутренним информационным угрозам;
• Подходит для соблюдения регуляторных требований по ПДн, ЦБ, PCI DSS, SWIFT и т.д.
Анализ защищенности
Наши специалисты всесторонне оценивают безопасность и уязвимость ИТ-системы, выявляя ее слабые места и уязвимости.
На основе собранной информации мы готовим подробный отчет по обнаруженным уязвимостям, их приоритености с рекомендациями по исправлению.
Цель
Поиск наибольшего количества уязвимостей.
Особенности
• Подходит для получения общей, комплексной картины по состоянию технической защищенности компании;
• Подходит для соблюдения регуляторных требований по ПДн, ЦБ, но является значительно более дорогой и продолжительной по времени услугой, нежели пентест.
Анализ уязвимостей ПО
Наши специалисты проведут комплексный анализ программного обеспечения, которое вклкцючает в себя: автоматический и ручной анализ исходного кода, анализ и разработку документации согласно семейству стандартов ИСО/МЭК 15408 - ОУД 4 (при необходимости), тестирование на проникновение развёрнутого ПО, разработку отчёта с результами исследования, включающего в себя все обнаруженные уязвимости и рекомендации по их исправлению, а также рекомендации по изменениям в процесс разработки ПО (например, внедрению Secure SDLC).
Цель
Выявление скрытых уязвимостей ПО, недостатков в процессе разработки, соблюдение регуляторных требований.
Особенности
• Значительно увеличивает уровень защищённости разрабатываемого ПО, как отдельного релиза, так и процесса работы команды разработчиков в целом;
• Подходит для кредитных и некредитных финансовых организаций для соблюдения требований, положений ЦБ РФ в части ОУД4.