Услуги

code2

"Зачем тратить деньги компании на информационную безопасность?"
Как определить, оправданы ли затраты на информационную безопасность, и если да, то какие и на что конкретно?

В общем случае, чтобы правильно ответить на эти вопросы, можно применить различные методики. Существуют, однако, хорошо известные частные случаи, в которых результат применения таких методик известен заранее: ответ "расходы необходимы" с обоснованием "лучше потратить немного сейчас, чтобы не потерять намного больше потом".

Компания SolidLab предлагает свою помощь именно в таких ситуациях.

SolidLab предлагает все виды услуг по анализу защищенности. Объектами анализа могут быть корпоративные приложения (ERP, документооборот, Интернет-приложения и сервисы), мобильные приложения (в т.ч. решения класса MDM), сетевая инфраструктура (в т.ч. WiFi), инфраструктура виртуализации, инфраструктура ActiveDirectory, системные и прикладные компоненты, сегмент бухгалтерии и работы с Интернет-банками (корпоративное казначейство) и т.п.

Для комплексного анализа защищенности компании могут использоваться все современные методики:

- анализ защищенности через моделирование действий потенциального нарушителя (внешнего, внутреннего, партнера, подрядчика) - тест на проникновение;

- "боевые учения" с целью проверки эффективности реагирования персонала в отделах ИТ/ИБ - формат "redteam";

- анализ защищенности в режиме белого ящика: ручной анализ кода прикладных компонент, анализ конфигурации серверов и сетевых устройств, анализ на избыточность привилегий пользователей в корпоративных системах и т.п.

По итогам анализа защищенности заказчик получает не только перечень обнаруженных недостатков с оценкой критичности и рекомендациями по устранению, но и аналитические выводы, указывающие на системные недочеты в процессах управления информационной безопасностью в компании, а также предложение по краткосрочным, среднесрочным и долгосрочным мерам, предлагаемым ко внедрению в контексте сделанных выводов.

Итоговый отчет является важным инструментом для принятия управленческих решений как в области планирования развития ИТ в компании, так и развития сервисов по обеспечению информационной безопасности.

Оценка уровня защищенности

Цель: определить security baseline (базовый уровень ИБ).

В ходе работ стоит цель выявить очевидные проблемы, собрать "low hanging fruits", которые с наибольшей вероятностью найдёт потенциальный злоумышленник в первые дни своей работы. На основе найденных недостатков на выборке IT-ресурсов Заказчика нами дается оценка и прогноз общему уровню защищенности всей IT-инфраструктуры Заказчика. Перечень IT-ресурсов, необходимых для обеспечения репрезентативности выборки, определяется нами на основе нашего опыта.

Методы достижения цели: сканирование автоматизированными средствами, тестирование вручную без учётных записей (метод черного ящика) или экспресс-анализ исходного кода, если речь идет о проверке продукта с доступным исходным кодом.

Для реализации данной услуги никакой специальной информации от Заказчика обычно не требуется.

Анализ защищенности

Цель: найти максимальное количество уязвимостей.

Проводится комплексный анализ защищенности IT-ресурсов Заказчика. Объектами анализа в данном случае могут быть как приложения, так и сетевая и системная инфраструктура Заказчика, в т.ч. беспроводные сети, домены Windows AD, АСУ ТП и пр.

Методы достижения цели: анализ исходного кода/анализ методом «черного ящика», комплексный технический аудит, эксплуатация уязвимостей и т.п.

В зависимости от модели угроз, принятой перед началом работ, может потребоваться в том числе анализ исходного кода бизнес-приложений (например, для определения закладок в критичных приложения класса SAP или 1C) или анализ конфигурационных файлов сетевых устройств.

Для точной оценки стоимости необходимы данные по объектам анализа и модели нарушителя.

Анализ защищенности приложений

Анализ защищенности приложений методом черного ящика осуществляется без доступа к коду приложения, но с использованием учётных записей с разными правами (обычные пользователи, супервизоры, администраторы). В ходе работ помимо проверки наличия распространённых уязвимостей из OWASP TOP 10, осуществляется также анализ корректности реализации модели авторизации и контроля доступа, а также выявление уязвимостей бизнес-логики.

Перед проведением работ Заказчиком должны быть предоставлены тестовые учётные записи с различными ролями. Для точной оценки стоимости работ нужна информация по количеству различных веб- и прочих многопользовательских приложений, защищенность которых требуется проанализировать.

Тестирование на проникновение

Цель: достижение поставленной задачи.

Проект заканчивается как только поставленная задача будет достигнута (например, получение административных прав или нарушение работоспособности сервиса).

Методы достижения цели: используются все доступные методы и средства, удовлетворяющие ограничениям, поставленным Заказчиком (в т.ч. социальная инженерия, переборные атаки и пр).

Иными словами, проводится оценка эффективности мер ИБ. Цель определяется заказчиком, критерий успеха - достижение цели. Вопрос полноты обнаруженных уязвимостей не стоит.

Анализ исходного кода

Цель: поиск уязвимостей и недокументированных возможностей в исходном коде.

Методы достижения цели:

  • автоматический анализ – обработка системы инструментальными средствами, которые настраиваются под конкретную задачу, сборка консолидированного отчета. Позволяет быстрее и более эффективно по времени обрабатывать код, однако возможно большое количество так называемых «ложных срабатываний» по сравнению с полуавтоматическим анализом.
  • полуавтоматический анализ – обработка системы инструментальными средствами, сборка консолидированного отчета, анализ полученного отчета специалистом, выработка рекомендаций по устранению уязвимостей.

Тестирование на проникновение -сompliance

Цель: проверка на соответствие требованиям регулятора или проведение периодических работ, требуемых регулятором. PCI DSS является наиболее популярным вариантом заказа данной услуги.

Методы достижения цели: автоматическое и полуавтоматическое сканирование и проверка по контрольным спискам.


Анализ защищенности или Тестирование на проникновение? В чём отличие?

Анализ защищенности Пентест

Цель: найти максимальное количество уязвимостей.

Цель: достижение поставленной задачи. При этом вопрос полноты обнаруженных уязвимостей не стоит.

Проводится комплексный анализ защищенности IT-ресурсов Заказчика.

Проект заканчивается как только поставленная задача будет достигнута.

Примеры задач:

  • несанкционированное получение информации о клиентах, их средствах и других данных;
  • несанкционированное управление средствами клиентов;
  • нарушение доступности системы.

Мы предлагаем специализированные услуги по анализу безопасности Web, LAN, VoIP телефонии, SCADA и т.п. Среди них: