Аудит безпеки IT систем та електронно-обчислювальних ресурсів. Оцінка захищеності.
Ми пропонуємо комплексний аудит інформаційної та кібернетичної безпеки, який включає комплексну перевірку та максимально глибокий аналіз вразливостей.
Ми пропонуємо комплексний аудит інформаційної та кібернетичної безпеки, який включає комплексну перевірку та максимально глибокий аналіз вразливостей.
Аудит веб-сайтів: ручний, DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing) Сканування вразливостей (Analysis Vulnerabilities), перевірка безпеки CMS-систем (WordPress, Joomla, Drupal і ін.).
Аудит безпеки VPS/VDS, поштових, файлових серверів, баз даних. Аналіз захищеності ОС Linux / Windows. Перевірка програмних засобів, компонентів, додатків.
Аудит корпоративної інфраструктури: комп’ютери, робочі місця, офіси, робочі станції. Перевірка стану безпекових технологічних сервісів та процесів. Інвентаризація програмних і апаратних засобів.
Аудит контролю доступу, засобів електронного зв’язку, політик і правил безпеки, захищеності операцій і бізнес-процесів. Аналіз програмного забезпечення. OSINT-аналіз, виявлення репутаційних ризиків і витоків даних, перевірка контрагентів, профайлінг.
Аудит мережевої інфраструктури (комутатори, маршрутизатори, модеми і т.д.). Перевірка мережевих сервісів та інтерфейсів (DHCP, DNS, NTP, Syslog, SNMP, TCP/UDP, IP, DNS і т.д.). Аналіз захищеності корпоративних, локальних Ethernet, бездротових Wi-Fi мереж. Налагодження VPN/TOR/P2P.
Аудит безпеки вихідного коду із застосуванням моделі SAST (Static Application Security Testing). Reverse-аналіз коду програм, додатків, веб-застосунків.
Аудит захищеності мобільних пристроїв і операційних систем (Android/iOS), додатків по методології OWASP Mobile Testing Guide. Реверс-інженерія та пошук шкідливого коду, сканування вразливостей.
Аналіз безпеки цифрових пристроїв і комп’ютеризованого обладнання (IoT, Hardware). Сертифікація, тестування на відповідність вимогам безпеки: ISO, ДСТУ та ін.
Аудит на відповідність міжнародному стандарту безпеки ISO 27001. Забезпечує комплексну ІТ-безпеку компанії.
Аудит на відповідність міжнародному стандарту безпеки PCI-DSS, який забезпечує безпеку платіжних даних і фінансових операцій.
Аудит на відповідність міжнародному стандату безпеки HIPAA (The Health Insurance Portability and Accountability Act), який забезпечує цифровий добробут і здоров’я користувача.
Аудит безпеки по ТОП-10 списку вразливостей, складених всесвітньовідомою організацією OWASP.
Ми приймаємо вашу заявку. Уточнюються цілі і задачі аудиту. Визначаються та узгоджуються межі, критерії, план і модель аудиту безпеки, а також терміни проведення. Власник надає необхідні права і дозволи на проведення аудиту. Підписується NDA-договір про нерозголошення інформації. Формується технічне завдання для аудитора.
Аудитор збирає вичерпні відомості про усі технічні вузли електронного ресурсу чи інфраструктури. Відбувається комплексне сканування системи на вразливості. Проводиться пасивний збір інформації по IP/DNS/TCP. Визначається серверне середовище, версії програмних засобів і компонентів.
Зібрані дані ретельно фільтруються, сортуються, проходять автоматизовану та ручну обробку. Виявлені вразливості класифікуються по базі CVE та оцінюються за шкалою CVSS.
Звіт є результатом усіх етапів проведення аудиту. Він містить чіткий опис досліджуваного об'єкту, застосованих інструментів та методик, задокументований перебіг аудиту, список знайдений вразливостей і рекомендації по їх усуненню.
Ми базуємося на кращих міжнародних стандартах кібербезпеки, які визнані світовими експертами і гарантують вчасне виявлення вразливостей та їх усунення.
Містить кращі практичні рішення, методики, техніки, які допомагають виявляти вразливості і запроваджують захист від поширених кіберзагроз.
Cистема опрацювання інцидентів безпеки (National Institute of Standards and Technology, NIST), яка містить кращі практики з інформаційної та кібернетичної безпеки (NIST SP 800-53, SP 800-61), запроваджує рівні відповідальності.
Постанови із захисту персональних даних (The General Data Protection Regulation). Регламент щодо захисту персональних даних, дотримання приватності і анонімності.
Широко відомий стандарт із захисту платіжних операцій на сайтах і веб-додатках, в ІТ-системах. Містить основні принципи, вимоги та засади інформаційної безпеки.
Серія стандартів інформаційної безпеки: 15408, 19011, 27001, 9001. Застосовується практично у всіх галузях. Містить методи захисту та рекомендації щодо побудови систем захисту та управління безпекою.
Бібліотека інфраструктури інформаційних технологій (Information Technology Infrastructure Library, ITIL). Містить політики, процеси, процедури та інструкції організації ІБ.
Стандарт корпоративного управління ІТ, розроблений ISACA. Він надає методологію, за допомогою якої перевіряється рівень зрілості заходів контролю в галузі ІТ.
check Дозволяє отримати актуальну інформацію про поточний стан ресурсу/системи
check Виявляє ризики, канали витоку інформації, шляхи несанкціонованого доступу, точки зламу і компрометації, вразливості і прогалини системи безпеки
check Контролює ефективність політик безпеки і засобів захисту інформації
check Допомагає розробити концепцію інформаційної безпеки та стратегію кіберзахисту
check Здійснює оцінку відповідності міжнародним вимогам і державним стандартам, регуляторам
check Локалізує "вузькі" і проблемні місця, критичні баги, помилки, дефекти
check Запобігає втратам, викраденню, підробці даних
check Розголошення персональних, конфіденційних, службових даних
check Помилки та непрацездатність комп'ютеризованого обладнання
check Неправильна конфігурація мережевих пристроїв і систем
check Перехоплення даних (сніфінг) і підміна отримувача (спуфінг)
check Відмова в обслуговування (DoS/DDoS)
check Несанкціонований доступ до системи, ескалація привілеїв
check Соціальна інженерія, шпигунство
check Цілеспрямована усталена загроза (APT)
check Помилки і збої в програмного забезпеченні
check Злам бази даних MySQL
check Атаки нульового дня (O-Day)
check Прихована передаресація
check Викрадення платіжних даних
check Шифрування цінних даних
check Розсилка спаму