Главная | secware

Анализ защищенности программных продуктов и решений

Анализ защищенности инфраструктуры организации

Тестирование на проникновение

О компании

Наша компания “Безопасные Программные Решения” специализируется на поиске и устранении уязвимостей в программных продуктах, анализе и усилении защищенности инфраструктуры предприятий, форензике.

Цель компании обезопасить клиентов от внешних и внутренних угроз в ИТ инфраструктуре. Предоставить рекомендации по устранению найденных уязвимостей. Сделать все возможное, чтобы клиент был уверен в своей защищенности и смог сконцентрировать свои ресурсы на развитии компании, а не на устранении возможных последствий от проникновения в свой бизнес.

Услуги

Анализ защищенности программных продуктов и решений

Целью проверки является поиск уязвимостей, которые могут оказаться критическими при возможных атаках злоумышленников в разрабатываемых и используемых мобильных, веб-приложениях, сайтах и web-порталах, специализированном ПО. По найденным недостаткам будут предложены конкретные решения для улучшения уровня защищенности исследованных объектов.

Анализ защищенности ПО включает несколько этапов:

Экспертно-документальный метод заключается в анализе известных уязвимостей в подобных приложениях;
Поиск наиболее часто встречающихся уязвимостей по различным стандартам, в том числе OWASP TOP 10;
Статистический анализ исходного кода приложений на наличие уязвимостей (если исходный код предоставляется заказчиком);
Динамический анализ - исследование уязвимостей на работающем ПО. Исследование утечки памяти, вредоносного поведения ПО (наличия вирусов);
Фаззинг тестирование. Подразумевает проверку приложения на устойчивость от ввода больших объемов несвязанных данных;
Проведение пентеста;
Выработка рекомендаций;
Подготовка отчетов.

Анализ защищенности ИТ инфраструктуры

Направлен на выявление уязвимостей в составляющих ее аппаратно-программных компонентах (сервера, компьютеры, оргтехника, операционные системы, приложения для мониторинга производительности и тп). А также нахождения узких мест во взаимосвязях компонентов в процессе их эксплуатации.

Анализ защищенности инфраструктуры - это комплексное решение, которое включает в себя несколько этапов:

Определение допустимых границ аудита;
Сбор данных по имеющемуся оборудованию и ПО;
Описание общей структуры корпоративной сети;
Планирование возможных угроз, формирование их моделей;
Оценка надежности текущих механизмов безопасности;
Сканирование защищенности внешнего периметра, внутренней инфраструктуры, бизнес-приложений;
Выработка рекомендаций;
Подготовка отчетов.

Тестирование на проникновение (пентест)

Услуга, которая проверяет способность выстроенных механизмов защиты информации противостоять рискам, связанным с осуществлением угроз безопасности, нарушающих такие свойства информации, как конфиденциальность, целостность и доступность.

Пентест состоит из следующих этапов:

Предварительный сбор информации;
Определение возможных векторов для проведения атак;
Выполнение самих атак;
Закрепление в информационной системе, за счет повышения привилегий пользователя;
Сокрытие действий и присутствия;
Возможный вариант атаки для отказа информационной системы в обслуживании;
Выработка рекомендаций;
Подготовка отчетов.