Главная
Оценка защищенности

Оценка защищенности

Моделирование действий злоумышленников — это комплекс мероприятий для выявления уязвимостей и недостатков в инфраструктуре и информационных системах с целью их раннего устранения

Подробнее

Услуги

Этапы работ

Почему это важно

Комплекс мероприятий по моделированию действий хакеров позволяет выявить и исправить уязвимости до того, как ими могут воспользоваться злоумышленники

42%

компаний имеют низкий уровень защищенности, что делает их потенциальными жертвами базовых атак

94%

внутренних пентестов заканчивается получением контроля над доменной инфраструктурой

>22%

обнаруженных уязвимостей и недостатков относятся к высокому и критическому уровню риска

106

уязвимостей было выявлено в ходе одного из анализов защищенности в одной информационной системе

Услуги

Анализ защищенности

Выявление максимального числа уязвимостей и недостатков в конкретном приложении или информационной системе. Проводим анализ защищенности мобильных приложений, веб-приложений, информационных систем и беспроводных сетей Wi-Fi

Тестирование на проникновение внешнего периметра

Поиск критичных уязвимостей в системах, веб-приложениях и сервисах, доступных из сети интернет. Позволяет оценить возможность проникновения злоумышленника во внутреннюю сеть или достижения иных согласованных целей и задач

Тестирование на проникновение внутреннего периметра

Поиск критичных уязвимостей в системах, веб-приложениях и сервисах, доступных во внутренней сети. Позволяет оценить возможность злоумышленника развить привилегии во внутренней сети, получить доступ к защищаемым сегментам или достижения иных согласованных целей и задач. Также может проводиться в формате «предполагаемого нарушения», при котором моделируется ситуация, когда у злоумышленников имеется первичный доступ к инфраструктуре. Включает анализ возможных последствий, путей повышения привилегий и распространения атаки

Red Teaming и Purple Teaming

Комплексное тестирование защищенности, при котором группа специалистов (Red Team), используя сложные методы и тактики, близкие к методам реальных киберпреступников, скрытно проводит атаки и оценивает защищенность инфраструктуры и готовность рядовых сотрудников службы информационной безопасности заказчика к целенаправленным атакам на организацию.

Работы можно провести в формате полного сокрытия атак (Red Teaming) или в формате взаимодействия (Purple Teaming)

Анализ защищенности корпоративных ИИ-систем

Комплексная оценка защищенности корпоративных ИИ-систем — от инфраструктуры до механизмов защиты данных. Проверка устойчивости моделей к утечкам и генерации запрещенного контента, а также анализ рисков эксплуатации ИИ с приведением процессов и архитектуры в соответствие с требованиями Приказа ФСТЭК России №117

Анализ защищенности программно-аппаратных комплексов (Hardware Hacking)

Комплексное тестирование устройств Интернета вещей (IoT), промышленных систем (IIoT/OT) и электроники на наличие уязвимостей и недостатков. Оценка защищенности аппаратной части и встроенного ПО путем моделирования реальных сценариев атак

Тестирование методами социальной инженерии

Оценка уровня осведомленности работников в вопросах ИБ. В рамках работ моделируются реалистичные сценарии атак (фишинг, вишинг, попытки физического проникновения) и анализируется поведение сотрудников

Оценка рисков

Репутационные риски

Потенциальный ущерб для имиджа организации, потеря клиентской базы и ухудшение отношений с контрагентами

Ответственность

Административная, уголовная или гражданско-правовая ответственность за допущение утечки защищаемой информации

Несоответствие требованиям

Согласно требованиям положений ЦБ (372-П, 683-П, 719-П, 757-П, ГОСТ 57580), организации, подпадающие под данные положения, обязаны проводить тестирование на проникновение с ежегодной периодичностью

Финансовые потери

Оборотные штрафы за утечки, которые можно было бы предотвратить с помощью раннего выявления и устранения уязвимостей и недостатков

Преимущества

Практическая польза: от обнаружения угроз к их устранению

Расставляем приоритеты: классифицируем найденные уязвимости по уровню риска, чтобы вы знали, что исправить в первую очередь

Предоставляем понятные емкие рекомендации и поддержку по внедрению защитных мер

Мы работаем открыто и предсказуемо, чтобы вы всегда контролировали процесс

Перед началом проекта готовим подробный план с описанием этапов, сроков и ожидаемых результатов

Глубокая экспертиза в кибербезопасности

Наша команда постоянно обновляет свои знания и повышает экспертизу.

Профессиональные сертификаты в области этичного хакинга (CEH) и пентестинга (OSCP, OSEP, OSWE, CRTE, CRTP)
Входим в топ-7 исследователей ПО в рейтинге БДУ ФСТЭК
Улучшаем навыки, участвуя в различных программах Bug Bounty
Актуальные знания: регулярно выступаем и обмениваемся опытом на ведущих конференциях по информационной безопасности — DEFCON, PHDays, VolgaCTF, OffZone

Не используем шаблонные решения

Учитываем отрасль: финансы, медицина, e-commerce или промышленность — подстраиваем методологии под специфику отрасли

Предлагаем необходимую глубину проверки: от анализа защищенности критичных систем до комплексного анализа всей инфраструктуры

Адаптируем формат отчетов: от технических документов для ИТ-специалистов до бизнес-рекомендаций для менеджмента

Справочный раздел

Поможем выбрать услугу, которая решает задачу вашего бизнеса

Услуга подходит для компаний любого масштаба и отрасли, т. к. злоумышленники могут атаковать любую организацию

Результатом проекта является подробный отчет, включающий в себя несколько ключевых разделов:

краткие результаты проекта для руководства;
описание поставленных и выполненных задач и целей;
оценка общего уровня защищенности;
детальный анализ выявленных уязвимостей с общим и техническим описанием;
рекомендации по устранению выявленных уязвимостей

Компетенции наших специалистов подтверждаются сертификатами:

CEH
ESCA
MCSE
MCSA
OSCP
OSCE
OSEP
OSWP
OSWE
CRTE
CRTP
ISC и др.

Анализ защищенности — мероприятия, нацеленные на выявление максимального количества недостатков и уязвимостей всех уровней критичности в конкретном приложении или информационной системе.
Пентест — мероприятия, нацеленные на выявление критичных уязвимостей и недостатков на всем периметре заказчика с целью оценки возможности проникновения во внутреннюю сеть или достижения иных согласованных целей и задач

Анализ защищенности подойдет тем, кто хочет оценить конкретное приложение или конкретную часть инфраструктуры и выявить там максимальное количество уязвимостей и недостатков.

Тестирование на проникновение больше подойдет для общей оценки защищенности инфраструктуры и средств защиты от потенциального воздействия злоумышленников, а также оценки возможности получения доступа к критичным системам, проникновения во внутреннюю сеть или защищаемый сегмент сети

Длительность работ зависит от типа самих работ, от поставленных задач и сценариев (чем их больше, тем дольше) и от объема приложения/инфраструктуры.

Средняя длительность для различных типов работ, приблизительно такая:

пентест внешней инфраструктуры — 10–15 рабочих дней
пентест внутренней инфраструктуры — 10–15 рабочих дней
анализ защищенности веб/мобильного приложения без сложной ролевой модели — 5–10 рабочих дней
анализ защищенности веб/мобильного приложения со сложной ролевой модели — 15–20 рабочих дней
Red Teaming — от 30 рабочих дней
Purple Teaming — от 20 рабочих дней

Работы стоит проводить при крупных изменениях в инфраструктуре (пентест) или в приложении (анализ защищенности). Крупные зарубежные и российские регуляторы рекомендуют чаще всего такую частоту:

пентест внешний и внутренний — не менее 1 раза в год, рекомендуемая частота — 2 раза в год;
анализ защищенности (особенно критичных приложений) — не менее 1 раза в год, рекомендуемая частота — 2 раза в год или при крупных обновлениях

Этапы и результаты

1 этап

Определение задачи и целей

Описание

Снимаем потребность и задачу каждого заказчика. Предлагаем различные варианты решения конкретной задачи под бюджет. Предоставляем анкету о технологиях и архитектуре, проводим анализ информации для выявления рисков. Оцениваем трудозатраты и готовим коммерческое предложение со сроками и стоимостью, оформляем договор с NDA

2 этап

Проведение оценки защищенности

Описание

Проводим оценку защищенности объектов с установленными ограничениями для решения поставленной задачи, применяя многоуровневый подход: от автоматизированного сканирования до глубокого анализа. Моделируем реальные атаки и проводим эксплуатацию уязвимостей, соблюдая принцип «не навреди». Предоставляем промежуточные отчеты о ходе работ и выявленных недостатках

3 этап

Подробный отчет и рекомендации

Описание

После тестирования вы получаете структурированный отчет с присвоением уровней критичности выявленным уязвимостям, наглядную демонстрацию векторов атак с описанием и пошаговыми действиями для эксплуатации уязвимостей, скриншоты с полученными данными или доступами, а также приоритизированные рекомендации с планом мероприятий по повышению защищенности

4 этап

Помощь в повышении защищенности

Описание

Готовы помочь с устранением выявленных уязвимостей и реализацией плана мероприятий по повышению защищенности, внедрением и настройкой средств защиты информации с учетом специфики бизнеса, выявленных векторов атак и недостатков

Заказать услугу