Технический анализ защищенности

Тестирование на проникновение (pentest)

Пентест, тест на проникновение — технический анализ защищённости инфраструктуры, который предполагает санкционированную попытку взлома компьютерной сети (сегмента сети) Компании с целью выявления уязвимостей в программном обеспечении и компьютерной инфраструктуре.

Такой подход позволяет получить независимую оценку состояния системы информационной безопасности Заказчика и впоследствии устранения выявленных недостатков позволяет существенно повысить уровень защищённости информационной инфраструктуры Компании.

Помимо практической пользы в проведении пентестов существует определённый спектр требований по обязательному прохождению подобного рода тестирований. Так, рядом Положений Банка России устанавливается обязательность ежегодного проведения анализа защищённости инфраструктуры (согласно Положениям Банка России 719-П, 683-П, 684-П и 747-П).

Мы оказываем содействие клиентам в решении стоящих перед ними задач путём:

комплексного тестирования существующих систем защиты от несанкционированного доступа к инфраструктуре;
разработки и проведения процедур тестирования безопасности Интернет-сайта;
применения подхода к тестированию по стратегиям «чёрного ящика», «серого ящика» и «белого ящика»;
подготовки рекомендаций для устранению выявленных уязвимых мест в ходе тестирования.

Аудит программного кода

В отличие от тестирования на проникновение, при котором достаточно обнаружить одну уязвимость, чтобы скомпрометировать всю организацию, аудит программного кода подразумевает поиск всех ошибок в отдельно взятом программном продукте. Также аудит программного кода позволяет проверить возможность эксплуатации обнаруженных ошибок и направить ресурсы на устранение наиболее критичных ошибок в первую очередь.

Аудит безопасности web-сервиса или сайта

Мы проводим аудит безопасности приложений любой сложности, включая системы дистанционного банковского обслуживания (ДБО). Проверки приложений необходимы, потому что зачастую они обрабатывают критически важную информацию компаний и клиентов, что создаёт риски для репутации и бизнеса. Часто проникновение в инфраструктуру компании начинается со взлома одного из доступных через Интернет web-сервисов (сайт организации, система ДБО, личный кабинет клиента и т.п.). Систематический анализ защищённости web-приложений позволит минимизировать данные риски.

Мониторинг защищенности IT-инфраструктуры

Мониторинг защищённости — постоянная проверка и контроль систем защиты IT-инфраструктуры, включает в себя регулярные пентесты, поиски уязвимостей, контроль программного обеспечения и его обновлений.

ИТ-ландшафт любой организации постоянно изменяется в соответствии с потребностями бизнеса. В таких условиях, новые уязвимости в защите организации появляются систематически, что ставит под угрозу деятельность организации. Проведение систематического тестирования на проникновение позволяет своевременно выявлять вновь появившиеся недостатки защиты и устранять их до того, как ими воспользуются злоумышленники.