послуги
- Оцінка рівня захищеності
- аналіз захищеності
- Аналіз захищеності додатків
- Тестування на проникнення
- Аналіз вихідного коду
- Тестування на проникнення -сompliance
"Навіщо витрачати гроші компанії на інформаційну безпеку?"
Як визначити, чи виправдані витрати на інформаційну безпеку, і якщо так, то які і на що конкретно?
У загальному випадку, щоб правильно відповісти на ці питання, можна застосувати різні методики. Існують, однак, добре відомі окремі випадки, в яких результат застосування таких методик відомий заздалегідь: відповідь "витрати необхідні" з обґрунтуванням "краще витратити трохи зараз, щоб не втратити набагато більше потім".
Компанія SolidLab пропонує свою допомогу саме в таких ситуаціях.
SolidLab пропонує всі види послуг з аналізу захищеності. Об'єктами аналізу можуть бути корпоративні додатки (ERP, документообіг, Інтернет-додатки і сервіси), мобільні додатки (в т.ч. рішення класу MDM), мережева інфраструктура (в т.ч. WiFi), інфраструктура віртуалізації, інфраструктура ActiveDirectory, системні та прикладні компоненти, сегмент бухгалтерії і роботи з Інтернет-банками (корпоративне казначейство) тощо
Для комплексного аналізу захищеності компанії можуть використовуватися всі сучасні методики:
- аналіз захищеності через моделювання дій потенційного порушника (зовнішнього, внутрішнього, партнера, підрядника) - тест на проникнення;
- "бойові навчання" з метою перевірки ефективності реагування персоналу у відділах ІТ / ІБ - формат "redteam";
- аналіз захищеності в режимі білого ящика: ручний аналіз коду прикладних компонент, аналіз конфігурації серверів і мережевих пристроїв, аналіз на надмірність привілеїв користувачів в корпоративних системах і т.п.
За підсумками аналізу захищеності замовник отримує не тільки перелік виявлених недоліків з оцінкою критичності і рекомендаціями щодо усунення, а й аналітичні висновки, що вказують на системні недоліки в процесах управління інформаційною безпекою в компанії, а також пропозицію по короткострокових, середньострокових та довгострокових заходів, пропонованих до впровадження в контексті зроблених висновків.
Підсумковий звіт є важливим інструментом для прийняття управлінських рішень як в області планування розвитку ІТ в компанії, так і розвитку сервісів по забезпеченню інформаційної безпеки.
Оцінка рівня захищеності
Мета: визначити security baseline (базовий рівень ІБ).
В ході робіт стоїть мета виявити очевидні проблеми, зібрати "low hanging fruits", які з найбільшою ймовірністю знайде потенційний зловмисник в перші дні своєї роботи. На основі виявлених недоліків на вибірці IT-ресурсів Замовника нами дається оцінка і прогноз загальному рівню захищеності всієї IT-інфраструктури Замовника. Перелік IT-ресурсів, необхідних для забезпечення репрезентативності вибірки, визначається нами на основі нашого досвіду.
Методи досягнення мети: сканування автоматизованими засобами, тестування вручну без облікових записів (метод чорного ящика) або експрес-аналіз вихідного коду, якщо мова йде про перевірку продукту з доступним вихідним кодом.
Для реалізації даної послуги ніякої спеціальної інформації від Замовника звичайно не потрібно.
аналіз захищеності
Мета: знайти якомога більше вразливостей.
Проводиться комплексний аналіз захищеності IT-ресурсів Замовника. Об'єктами аналізу в даному випадку можуть бути як додатки, так і мережева і системна інфраструктура Замовника, в т.ч. бездротові мережі, домени Windows AD, АСУ ТП та ін.
Методи досягнення мети: аналіз вихідного коду / аналіз методом «чорного ящика», комплексний технічний аудит, експлуатація вразливостей і т.п.
Залежно від моделі загроз, прийнятої перед початком робіт, може знадобитися в тому числі аналіз вихідного коду бізнес-додатків (наприклад, для визначення закладок в критичних додатки класу SAP або 1C) або аналіз конфігураційних файлів мережевих пристроїв.
Для точної оцінки вартості необхідні дані по об'єктах аналізу і моделі порушника.
Аналіз захищеності додатків
Аналіз захищеності додатків методом чорного ящика здійснюється без доступу до коду додатка, але з використанням облікових записів з різними правами (звичайні користувачі, супервізори, адміністратори). В ході робіт крім перевірки наявності поширених вразливостей з OWASP TOP 10, здійснюється також аналіз коректності реалізації моделі авторизації і контролю доступу, а також виявлення вразливостей бізнес-логіки.
Перед проведенням робіт Замовником повинні бути надані тестові облікові записи з різними ролями. Для точної оцінки вартості робіт потрібна інформація щодо кількості різних веб-і інших багатокористувацьких додатків, захищеність яких потрібно проаналізувати.
Тестування на проникнення
Мета: досягнення поставленого завдання.
Проект закінчується як тільки поставлена задача буде досягнута (наприклад, отримання адміністративних прав або порушення працездатності сервісу).
Методи досягнення мети: використовуються всі доступні методи і засоби, що задовольняють обмеженням, поставленим Замовником (в т.ч. соціальна інженерія, Переборні атаки тощо).
Іншими словами, проводиться оцінка ефективності заходів ІБ. Мета визначається замовником, критерій успіху - досягнення мети. Питання повноти виявлених вразливостей не варто.
Аналіз вихідного коду
Мета: пошук вразливостей і недокументованих можливостей у вихідному коді.
Методи досягнення мети:
- автоматичний аналіз - обробка системи інструментальними засобами, які налаштовуються під конкретну задачу, збірка консолідованого звіту. Дозволяє швидше і більш ефективно за часом обробляти код, проте можливо велику кількість так званих «помилкових спрацьовувань» в порівнянні з напівавтоматичним аналізом.
- напівавтоматичний аналіз - обробка системи інструментальними засобами, збірка консолідованого звіту, аналіз отриманого звіту фахівцем, вироблення рекомендацій щодо усунення вразливостей.
Тестування на проникнення -сompliance
Мета: перевірка на відповідність вимогам регулятора або проведення періодичних робіт, необхідних регулятором. PCI DSS є найбільш популярним варіантом замовлення даної послуги.
Методи досягнення мети: автоматичне і напівавтоматичне сканування і перевірка по контрольним списками.
Аналіз захищеності або Тестування на проникнення? В чому різниця?
Аналіз захищеностіПентест
Мета: знайти якомога більше вразливостей.
Мета: досягнення поставленого завдання. При цьому питання повноти виявлених вразливостей не варто.
Проводиться комплексний аналіз захищеності IT-ресурсів Замовника.
Проект закінчується як тільки поставлена задача буде досягнута.
Приклади завдань:
- несанкціоноване отримання інформації про клієнтів, їх засобах та інших даних;
- несанкціоноване управління коштами клієнтів;
- порушення доступності системи.
Ми пропонуємо спеціалізовані послуги з аналізу безпеки Web, LAN, VoIP телефонії, SCADA і т.п. Серед них:
Як визначити, чи виправдані витрати на інформаційну безпеку, і якщо так, то які і на що конкретно?Аналіз захищеності або Тестування на проникнення?
В чому різниця?