• Главная <
  • Галерея
  • Карта сайта
  • Наши контакты
  • Обратная связь

послуги

  1. Оцінка рівня захищеності
  2. аналіз захищеності
  3. Аналіз захищеності додатків
  4. Тестування на проникнення
  5. Аналіз вихідного коду
  6. Тестування на проникнення -сompliance

Навіщо витрачати гроші компанії на інформаційну безпеку

"Навіщо витрачати гроші компанії на інформаційну безпеку?"
Як визначити, чи виправдані витрати на інформаційну безпеку, і якщо так, то які і на що конкретно?

У загальному випадку, щоб правильно відповісти на ці питання, можна застосувати різні методики. Існують, однак, добре відомі окремі випадки, в яких результат застосування таких методик відомий заздалегідь: відповідь "витрати необхідні" з обґрунтуванням "краще витратити трохи зараз, щоб не втратити набагато більше потім".

Компанія SolidLab пропонує свою допомогу саме в таких ситуаціях.

SolidLab пропонує всі види послуг з аналізу захищеності. Об'єктами аналізу можуть бути корпоративні додатки (ERP, документообіг, Інтернет-додатки і сервіси), мобільні додатки (в т.ч. рішення класу MDM), мережева інфраструктура (в т.ч. WiFi), інфраструктура віртуалізації, інфраструктура ActiveDirectory, системні та прикладні компоненти, сегмент бухгалтерії і роботи з Інтернет-банками (корпоративне казначейство) тощо

Для комплексного аналізу захищеності компанії можуть використовуватися всі сучасні методики:

- аналіз захищеності через моделювання дій потенційного порушника (зовнішнього, внутрішнього, партнера, підрядника) - тест на проникнення;

- "бойові навчання" з метою перевірки ефективності реагування персоналу у відділах ІТ / ІБ - формат "redteam";

- аналіз захищеності в режимі білого ящика: ручний аналіз коду прикладних компонент, аналіз конфігурації серверів і мережевих пристроїв, аналіз на надмірність привілеїв користувачів в корпоративних системах і т.п.

За підсумками аналізу захищеності замовник отримує не тільки перелік виявлених недоліків з оцінкою критичності і рекомендаціями щодо усунення, а й аналітичні висновки, що вказують на системні недоліки в процесах управління інформаційною безпекою в компанії, а також пропозицію по короткострокових, середньострокових та довгострокових заходів, пропонованих до впровадження в контексті зроблених висновків.

Підсумковий звіт є важливим інструментом для прийняття управлінських рішень як в області планування розвитку ІТ в компанії, так і розвитку сервісів по забезпеченню інформаційної безпеки.

Оцінка рівня захищеності

Мета: визначити security baseline (базовий рівень ІБ).

В ході робіт стоїть мета виявити очевидні проблеми, зібрати "low hanging fruits", які з найбільшою ймовірністю знайде потенційний зловмисник в перші дні своєї роботи. На основі виявлених недоліків на вибірці IT-ресурсів Замовника нами дається оцінка і прогноз загальному рівню захищеності всієї IT-інфраструктури Замовника. Перелік IT-ресурсів, необхідних для забезпечення репрезентативності вибірки, визначається нами на основі нашого досвіду.

Методи досягнення мети: сканування автоматизованими засобами, тестування вручну без облікових записів (метод чорного ящика) або експрес-аналіз вихідного коду, якщо мова йде про перевірку продукту з доступним вихідним кодом.

Для реалізації даної послуги ніякої спеціальної інформації від Замовника звичайно не потрібно.

аналіз захищеності

Мета: знайти якомога більше вразливостей.

Проводиться комплексний аналіз захищеності IT-ресурсів Замовника. Об'єктами аналізу в даному випадку можуть бути як додатки, так і мережева і системна інфраструктура Замовника, в т.ч. бездротові мережі, домени Windows AD, АСУ ТП та ін.

Методи досягнення мети: аналіз вихідного коду / аналіз методом «чорного ящика», комплексний технічний аудит, експлуатація вразливостей і т.п.

Залежно від моделі загроз, прийнятої перед початком робіт, може знадобитися в тому числі аналіз вихідного коду бізнес-додатків (наприклад, для визначення закладок в критичних додатки класу SAP або 1C) або аналіз конфігураційних файлів мережевих пристроїв.

Для точної оцінки вартості необхідні дані по об'єктах аналізу і моделі порушника.

Аналіз захищеності додатків

Аналіз захищеності додатків методом чорного ящика здійснюється без доступу до коду додатка, але з використанням облікових записів з різними правами (звичайні користувачі, супервізори, адміністратори). В ході робіт крім перевірки наявності поширених вразливостей з OWASP TOP 10, здійснюється також аналіз коректності реалізації моделі авторизації і контролю доступу, а також виявлення вразливостей бізнес-логіки.

Перед проведенням робіт Замовником повинні бути надані тестові облікові записи з різними ролями. Для точної оцінки вартості робіт потрібна інформація щодо кількості різних веб-і інших багатокористувацьких додатків, захищеність яких потрібно проаналізувати.

Тестування на проникнення

Мета: досягнення поставленого завдання.

Проект закінчується як тільки поставлена ​​задача буде досягнута (наприклад, отримання адміністративних прав або порушення працездатності сервісу).

Методи досягнення мети: використовуються всі доступні методи і засоби, що задовольняють обмеженням, поставленим Замовником (в т.ч. соціальна інженерія, Переборні атаки тощо).

Іншими словами, проводиться оцінка ефективності заходів ІБ. Мета визначається замовником, критерій успіху - досягнення мети. Питання повноти виявлених вразливостей не варто.

Аналіз вихідного коду

Мета: пошук вразливостей і недокументованих можливостей у вихідному коді.

Методи досягнення мети:

Тестування на проникнення -сompliance

Мета: перевірка на відповідність вимогам регулятора або проведення періодичних робіт, необхідних регулятором. PCI DSS є найбільш популярним варіантом замовлення даної послуги.

Методи досягнення мети: автоматичне і напівавтоматичне сканування і перевірка по контрольним списками.


Аналіз захищеності або Тестування на проникнення? В чому різниця?

Аналіз захищеностіПентест

Мета: знайти якомога більше вразливостей.

Мета: досягнення поставленого завдання. При цьому питання повноти виявлених вразливостей не варто.

Проводиться комплексний аналіз захищеності IT-ресурсів Замовника.

Проект закінчується як тільки поставлена ​​задача буде досягнута.

Приклади завдань:

  • несанкціоноване отримання інформації про клієнтів, їх засобах та інших даних;
  • несанкціоноване управління коштами клієнтів;
  • порушення доступності системи.

Ми пропонуємо спеціалізовані послуги з аналізу безпеки Web, LAN, VoIP телефонії, SCADA і т.п. Серед них:

Як визначити, чи виправдані витрати на інформаційну безпеку, і якщо так, то які і на що конкретно?
Аналіз захищеності або Тестування на проникнення?
В чому різниця?
Новости