БЕЗПЕКА ВЕБ-САЙТІВ
БЕЗПЕКА WORDPRESS
БЕЗПЕКА СЕРВЕРІВ
ПЕНТЕСТ
ЛІКУВАННЯ САЙТІВ
Ми пропонуємо різні види тестування на проникнення по стандартам міжнародного зразка: OWASP, OSS-TMM, PTES, PCI-DSS та ін. Забезпечте надійний захист електронних ресурсів та комп’ютерних систем.
Тест на проникнення (Penetration Testing або Pentest) - це моделювання та імітація дій зловмисників з метою виявити слабкі місця системи безпеки та оцінити ризики.
Зовнішнє тестування на проникнення “чорної скриньки”, коли зловмиснику нічого невідомо про систему. Включає усі фази класичного ручного пентесту.
Внутрішнє тестування на проникнення “білої скриньки”, коли зловмисник має внутрішній доступ до системи або вихідного коду додатка.
Тестування на проникнення “сірої скриньки”, коли зловмиснику частково відомі дані про систему та він може їх поексплуатувати.
Тестування захисту електронних ресурсів: веб-сайтів, додатків, сторінок, застосунків, сервісів, API-інтеграцій і т.д. Пошук вразливостей та оцінка захищеності.
Тестування на проникнення мобільних пристроїв, додатків, операційних систем (Android / iOS). Пошук і експлуатація вразливостей. Оцінка захищеності.
Тестування на проникнення програмного забезпечення, Reverse-інженерія, Malware Analysis. Перевірка і тестування безпеки вихідного коду.
Тестування на проникнення операційних систем Windows/Linux/MacOS з використанням різноманітних технік та методик. Пошук Zero Day вразливостей, помилок конфігурації, багів, недоліків безпеки.
Тестування на проникнення комп’ютерних мереж. Пошук, аналіз і експлуатація вразливостей мережевих з’єднань, служб, інтерфейсів. Пентест OSI/TCP-IP.
Тестування на проникнення мережевих IoT-пристроїв: Wi-Fi годинники, розетки, роутери, 4G-модеми, маршрутизатори, Mikrotik, системи розумного дому (Smart House) та ін.
Тестування на проникнення у форматі усталеної цілеспрямованої загрози – Advanced Persistent Threat (APT). Включає методи соціальної інженерії, фізичний пентест (Hardware Pentest).
Тестування навантаження на цільовий ресурс або систему, оцінка продуктивності і захищеності. Моніторинг системних служб, аналіз споживання ресурсів.
Тестування на проникнення автоматизованих систем управління (АСУ ТП), робочих станцій управління, промислових об’єктів, критичної інфраструктури.
Ми пропонуємо цілісний та відлагоджений процес тестування на проникнення, який включає усі фази.
Проводиться комплексна розвідка: мережева, технічна, конкурентна (Business Intelligence), розвідка з відкритих джерел (OSINT) та її підвиди: HUMINT, SOCMINT, IMINT і т.д. Збирається, аналізується та упорядковується будь-яка інформація про дослжуваний об'єкт. Проводиться сканування, фаззінг, енумерація. Виділяються точки злому та компрометації, витоки даних, помилки конфігурації, версії програмного забезпечення і таке інше. По зібраним даним ретельно сплановується майбутня атака, формуються цілі, підбираються інструменти, готується технічне завдання.
Виконується пентест. Проводиться експлуатація зібраних помилок, дірок безпеки, точок компрометації, вразливостей. Ethical Hacker проводить тестування із застосуванням необхідних технік та методик. Пентест моделює атаку і імітує дії зловмисника, застосовуючи усі інструменти хакерського арсеналу, наприклад таке програмне забезпеченн як: Metasploit, SQLmap, WPScan, JohnTheRipper, THC Hydra, CobaltStrike та інші. Усі кроки документуються і заносяться у звіт.
Звіт - це документ з детальним планом та опиом усіх робіт. Містить хронологічний порядок виконання і список знайдених, протестованих вразливостей. Пентест відбувається згідно заздалегідь обраної стратегії, моделі, сценарію і методики. Пентестром проводиться оцінка ризиків за системою розрахунку FIRST CVS Score. Можуть також видаватися загальні рекомендації щодо покращення кібербезпеки. Додаються будь-які пруфи (Proof-of-Concept, POC), скріншоти, логи, добуті ``трофеї``.
Ми базуємося на кращих міжнародних стандартах і практиках з кібербезпеки, які визнані світовими експертами і гарантують вчасне виявлення вразливостей та їх усунення.
Один з найпопулярніших у світі стандартів з кібербезпеки. Заснований всесвітньовідомим відкритим товариством з безпеки сайтів і веб-додатків – Open Web Application Security Project (OWASP).
Список із 25-ти найнебезпечніших по версії компанії SANS недоліків систем безпеки електронних ресурсів та програмного забезпечення. Усі ризики класифікуються згідно бази даних вразливостей Common Weakness Enumeration (CWE).
Популярний фреймворк з кібербезпеки, який включає поширені сценарії нападу та захисту. В ньому описані техніки і методики кібер-атак, а також основні прийому захисту електронних ресурсів й систем.
Open Source Security Testing Methodology Manual (OSSTMM) – це повна методологія для тестування, аналізу та оцінки безпеки інформаційних ресурсів та систем. Розроблена компанією ISECOM. Містить також рекомендації для створення найкращих можливих засобів захисту.
NIST 800-53 – це документ у вигляді каталогу ризиків безпеки інформаційних систем, які містить правила, рекомендації, заходи, щодо забезпечення конфіденційності та цілісності інформаційних систем. Створений Національним інститутом стандартів і технологій США.
Класифікація вразливостей безпеки, розроблена неприбутковим товариством “The Web Application Security Consortium Project”. Містить широкий список вразливостей з детальним описом.
Широко відомий стандарт із захисту платіжних операцій на сайтах і веб-додатках, в ІТ-системах. Містить основні принципи, вимоги та засади інформаційної безпеки.
Один з найбільш вживаних стандартів інформаційної безпеки. Застосовується практично у всіх галузях. Містить методи захисту та рекомендації щодо побудови систем захисту та управління безпекою.
Стандарт з проведення пентестів безпеки – Penetration Testing Execution Standard (PTES). Містить методичні вказівки і рекомендації по тестуванню на проникнення.
Методологія оцінки безпеки інформаційних систем (The Information Systems Security Assessment Framework). Включає докладний опис усіх етапів тестування безпеки: Планування та підготовка, Оцінювання, Звітність та усунення проблем безпеки.
Стандарт тестування на проникнення, розроблений Федеральним управління з інформаційної безпеки Німеччини (BSI). Містить цінні вказівки щодо забезпечення кібербезпеки ІТ-систем та електронних ресурсів.
Основні принципи впровадження технологій безпеки (STIG), розроблені The Defense Information Systems Agency (DISA). Дають технічні рекомендації щодо зміцнення ІТ-системи та зменшення загроз.
Для чого потрібен пентест? Коли та навіщо його проводити? Які результати він дає?
check Перевіряє стійкість, надійність, стабільність функціоналу. Попереджує появу багів, помилок, відмов, дефектів.
check Дозволяє випередити потенційних зловмисників та виправити усі існуючі недоліки і вразливості системи, перш ніж вона буде зламана.
check Дає можливість оцінити та знизити можливі ризики безпеки, порахувати збитки від виявлених вразливостей та спрогнозувати бюджет на кібербезпеку.
check Є своєрідним знаком якості для вашого бренду, бізнесу, ресурсу або системи. Свідчення того, що ваш проєкт відповідає міжнародним вимогам та державним стандартам. Користувачі, партнери та клієнти відносяться з більшою повагою та довірою до проєктів, які пройшли пентест.
check Пентест рекомендується проводити регулярно - 1-3 рази на рік, в залежності від типу системи. В умовах постійно зростаючих ризиків, є велика ймовірність появи нових, маловивчених кіберзагроз.
