Аудит безпеки IT систем та електронно-обчислювальних ресурсів. Оцінка захищеності.
Ми пропонуємо комплексний аудит інформаційної та кібернетичної безпеки, який включає комплексну перевірку та максимально глибокий аналіз вразливостей.
БЕЗПЕКА ВЕБ-САЙТІВ
БЕЗПЕКА WORDPRESS
БЕЗПЕКА СЕРВЕРІВ
ПЕНТЕСТ
ЛІКУВАННЯ САЙТІВ
Незалежна та експертна оцінка
Усі види аудиту безпеки
Аудит безпеки - це набір технік, правил, методик і стандартів для визначення поточного стану захищеності інформаційної системи або електронного ресурсую
АУДИТ БЕЗПЕКИ САЙТІВ
Аудит веб-сайтів: ручний, DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing) Сканування вразливостей (Analysis Vulnerabilities), перевірка безпеки CMS-систем (WordPress, Joomla, Drupal і ін.).
АУДИТ БЕЗПЕКИ СЕРВЕРІВ
Аудит безпеки VPS/VDS, поштових, файлових серверів, баз даних. Аналіз захищеності ОС Linux / Windows. Перевірка програмних засобів, компонентів, додатків.
АУДИТ БЕЗПЕКИ IT-ІНФРАСТРУКТУРИ
Аудит корпоративної інфраструктури: комп’ютери, робочі місця, офіси, робочі станції. Перевірка стану безпекових технологічних сервісів та процесів. Інвентаризація програмних і апаратних засобів.
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Аудит контролю доступу, засобів електронного зв’язку, політик і правил безпеки, захищеності операцій і бізнес-процесів. Аналіз програмного забезпечення. OSINT-аналіз, виявлення репутаційних ризиків і витоків даних, перевірка контрагентів, профайлінг.
АУДИТ БЕЗПЕКИ МЕРЕЖ
Аудит мережевої інфраструктури (комутатори, маршрутизатори, модеми і т.д.). Перевірка мережевих сервісів та інтерфейсів (DHCP, DNS, NTP, Syslog, SNMP, TCP/UDP, IP, DNS і т.д.). Аналіз захищеності корпоративних, локальних Ethernet, бездротових Wi-Fi мереж. Налагодження VPN/TOR/P2P.
АУДИТ БЕЗПЕКИ КОДУ
Аудит безпеки вихідного коду із застосуванням моделі SAST (Static Application Security Testing). Reverse-аналіз коду програм, додатків, веб-застосунків.
АУДИТ БЕЗПЕКИ МОБІЛЬНИХ
Аудит захищеності мобільних пристроїв і операційних систем (Android/iOS), додатків по методології OWASP Mobile Testing Guide. Реверс-інженерія та пошук шкідливого коду, сканування вразливостей.
АУДИТ БЕЗПЕКИ IOT-ПРИСТРОЇВ
Аналіз безпеки цифрових пристроїв і комп’ютеризованого обладнання (IoT, Hardware). Сертифікація, тестування на відповідність вимогам безпеки: ISO, ДСТУ та ін.
АУДИТ ВІДПОВІДНОСТІ ISO 27001
Аудит на відповідність міжнародному стандарту безпеки ISO 27001. Забезпечує комплексну ІТ-безпеку компанії.
АУДИТ ВІДПОВІДНОСТІ PCI-DSS
Аудит на відповідність міжнародному стандарту безпеки PCI-DSS, який забезпечує безпеку платіжних даних і фінансових операцій.
АУДИТ ВІДПОВІДНОСТІ HIPAA
Аудит на відповідність міжнародному стандату безпеки HIPAA (The Health Insurance Portability and Accountability Act), який забезпечує цифровий добробут і здоров’я користувача.
АУДИТ БЕЗПЕКИ OWASP TOP 10
Аудит безпеки по ТОП-10 списку вразливостей, складених всесвітньовідомою організацією OWASP.
Як це працює?
Етапи проведення аудиту безпеки
Етап 1
Ініціювання аудиту
Ми приймаємо вашу заявку. Уточнюються цілі і задачі аудиту. Визначаються та узгоджуються межі, критерії, план і модель аудиту безпеки, а також терміни проведення. Власник надає необхідні права і дозволи на проведення аудиту. Підписується NDA-договір про нерозголошення інформації. Формується технічне завдання для аудитора.
Етап 2
Збір інформації
Аудитор збирає вичерпні відомості про усі технічні вузли електронного ресурсу чи інфраструктури. Відбувається комплексне сканування системи на вразливості. Проводиться пасивний збір інформації по IP/DNS/TCP. Визначається серверне середовище, версії програмних засобів і компонентів.
Етап 3
Аналіз даних
Зібрані дані ретельно фільтруються, сортуються, проходять автоматизовану та ручну обробку. Виявлені вразливості класифікуються по базі CVE та оцінюються за шкалою CVSS.
Етап 4
Підготовка звіту
Звіт є результатом усіх етапів проведення аудиту. Він містить чіткий опис досліджуваного об'єкту, застосованих інструментів та методик, задокументований перебіг аудиту, список знайдений вразливостей і рекомендації по їх усуненню.
Приклад звіту з аудиту безпеки
Методології і стандарти аудиту безпеки
Ми базуємося на кращих міжнародних стандартах кібербезпеки, які визнані світовими експертами і гарантують вчасне виявлення вразливостей та їх усунення.
CIS
Містить кращі практичні рішення, методики, техніки, які допомагають виявляти вразливості і запроваджують захист від поширених кіберзагроз.
NIST
Cистема опрацювання інцидентів безпеки (National Institute of Standards and Technology, NIST), яка містить кращі практики з інформаційної та кібернетичної безпеки (NIST SP 800-53, SP 800-61), запроваджує рівні відповідальності.
GDPR
Постанови із захисту персональних даних (The General Data Protection Regulation). Регламент щодо захисту персональних даних, дотримання приватності і анонімності.
PCI-DSS
Широко відомий стандарт із захисту платіжних операцій на сайтах і веб-додатках, в ІТ-системах. Містить основні принципи, вимоги та засади інформаційної безпеки.
ISO/IEC
Серія стандартів інформаційної безпеки: 15408, 19011, 27001, 9001. Застосовується практично у всіх галузях. Містить методи захисту та рекомендації щодо побудови систем захисту та управління безпекою.
ITIL
Бібліотека інфраструктури інформаційних технологій (Information Technology Infrastructure Library, ITIL). Містить політики, процеси, процедури та інструкції організації ІБ.
COBIT
Стандарт корпоративного управління ІТ, розроблений ISACA. Він надає методологію, за допомогою якої перевіряється рівень зрілості заходів контролю в галузі ІТ.
PRINCE2
PRINCE2 наголошує на розподілі проєктів на керовані та контрольовані етапи. Стандарт прийнятий у багатьох країнах світу, включаючи Великобританію, країни Західної Європи та Австралію.
🛡️Навіщо потрібен аудит безпеки?
check Дозволяє отримати актуальну інформацію про поточний стан ресурсу/системи
check Виявляє ризики, канали витоку інформації, шляхи несанкціонованого доступу, точки зламу і компрометації, вразливості і прогалини системи безпеки
check Контролює ефективність політик безпеки і засобів захисту інформації
check Допомагає розробити концепцію інформаційної безпеки та стратегію кіберзахисту
check Здійснює оцінку відповідності міжнародним вимогам і державним стандартам, регуляторам
check Локалізує "вузькі" і проблемні місця, критичні баги, помилки, дефекти
check Запобігає втратам, викраденню, підробці даних
⚡Які типи кіберзагроз найбільш поширені?
check Розголошення персональних, конфіденційних, службових даних
check Помилки та непрацездатність комп'ютеризованого обладнання
check Неправильна конфігурація мережевих пристроїв і систем
check Перехоплення даних (сніфінг) і підміна отримувача (спуфінг)
check Відмова в обслуговування (DoS/DDoS)
check Несанкціонований доступ до системи, ескалація привілеїв
check Соціальна інженерія, шпигунство
check Цілеспрямована усталена загроза (APT)
check Помилки і збої в програмного забезпеченні
check Злам бази даних MySQL
check Атаки нульового дня (O-Day)
check Прихована передаресація
check Викрадення платіжних даних
check Шифрування цінних даних
check Розсилка спаму
