Баннер
  • Безопасность

  • Тесты и Аудит

  • ПО

  • PCI DSS

  • ISO27001

  • Планирование безопасности

    Наш подход к планированию и разработке стратегии безопасности ERP основан на оценке рисков, которым подвергается бизнес и принимает во внимание: Корпоративные требования...
    Читать дальше...
  • Корпоративная Безопасность

  • CODEFEND

    Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых...
    Читать дальше...
  • Тест на проникновение

  • Анализ кода

  • Ping Identity

    Решение для идентификации и SSO c низкой стоимостью владения. Это инновационное решение может поставляться как облачный сервис (on-Demand) и как решение для интеграции в...
    Читать дальше...
  • Сервис Panaya для SAP ERP

  • Retalix

  • Требования PCI DSS

  • ISO 27001

    Информация зачастую является ключевым активом компании, а ее защита - приоритетной задачей. Получение сертификации по стандарту ISO 27001 позволит сохранить и защитить...
    Читать дальше...
Developed by JoomVision.com

Тесты на проникновение и Аудит приложений

CODEFEND

PDFПечатьE-mail

06.11.2013 12:34

Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых скриптов для улучшения работы автоматических средств поиска уязвимостей.

Специальная трехзвенная структура сервиса позволяет предоставлять наиболее точный и гибкий инструмент анализа исходного кода и значительно снизить издержки.

Описание сервиса:

 

Тест на проникновение

PDFПечатьE-mail

20.01.2011 16:56

Ежедневно в Интернет злоумышленниками осуществляются сотни - тысячи взломов веб-сайтов, серверов приложений и баз данных. Взлом корпоративного веб-сайта компании, являющегося ее представительством в Сети, может серьезно подорвать имидж и репутацию компании.

Зачем нужны тесты на проникновение?
Огромное число успешных вторжений из Интернет наглядно показывает незащищенность большинства ресурсов. Незащищенность сети компании обычно обусловлена целым рядом факторов.

Типовые факторы:
- непонимание менеджментом величины ущерба, который может принести успешная атака на ИТ систему компании,
- отсутствие информации у менеджмента об истинном уровне защиты,
- ложная уверенность менеджмента о надежной собственной защите,
- отсутствие или нехватка квалифицированного персонала в отделе ИТ - безопасности,
- отсутствие разработанной стратегии и политики информационной безопасности,
- "мы не представляем интереса для атаки" ,
- "в нашей вычислительной системе нет критичной важной для компании информации",
- "наш веб-сервер выполняет только представительскую функцию и его взлом не повлечет для компании значимого ущерба".

Проведение тестов на проникновение выявит все вышеозначенные факторы и позволит менеджменту получить наглядное и объективное представление о текущем уровне защиты автоматизированных ресурсов компании и станет первым шагом к построению надежной многоступенчатой системы защиты.
Задача теста на проникновение: полностью имитируя действия взломщика, осуществить атаку из Интернет на:
- веб-сервер,
- сервер приложений или баз данных,
- корпоративную сеть.

Цель теста на проникновение: обнаружить слабые места в защите и, если это возможно, и соответствует желанию заказчика, осуществить показательный взлом. Тесты на проникновение являются начальным этапом полного аудита безопасности автоматизированной системы компании, на основании которого возможна, во-первых, разработка политики и стратегии информационной безопасности, и, во-вторых, разработка и внедрение плана защиты ИТ ресурсов компании.

Проведение тестов на проникновение - это первый необходимый шаг к Вашей надежной защите!

Виды тестов:

Сканированием портов называется метод удаленного анализа, осуществляемый путем передачи тестовых запросов на создание соединения и позволяющий определить список активных служб предоставления удаленного сервиса на сканируемом объекте. Сканирование портов обычно применяется в качестве начальной подготовительной стадии перед непосредственной атакой или тестом на проникновение. То есть сканирование (или разведка) позволяет получить необходимые начальные сведения о потенциальном объекте атаки. Результат сканирования - список открытых на объекте портов, а, следовательно, перечень потенциально атакуемых серверных приложений, загруженных на объекте.

"Легкий" тест - при данной тестовой атаке ставится задача сбора, анализа информации и обнаружение уязвимостей на объектах заказчика без их непосредственной реализации. Группа секьюрити-аналитиков, полностью имитируя действия взломщиков, осуществит предварительное сканирование объектов, выявит и протестирует потенциально слабые места в системе безопасности. В процессе "легкого" тестирования защищенности объектов по желанию заказчика могут применяться атаки с использованием социальной инженерии и атаки, направленные на нарушение работоспособности системы (отказ в обслуживании).

"Тяжелый" тест - основная задача тестирования полностью имитировать реальный взлом, реализовав на объекте заказчика следующие классические угрозы безопасности информации:
-получить доступ к конфиденциальной информации
-получить возможность изменения конфиденциальной информации
-нарушить работоспособность системы

Также возможен заказ услуги, связанной с анализом и поиском уязвимостей в веб-скриптах, в исходном и исполняемом коде программного обеспечения

По результатам тестов создается отчет, в котором поэтапно описываются основные действия команды аналитиков в процессе тестового взлома и указываются слабые места в защите, из-за которых атака либо потенциально возможна, либо была успешна проведена.

Тесты на проникновение могут осуществляться на корпоративную сеть, отдельный сервер, веб-сервер, веб-скрипты, исходный и исполняемый код.

 

Финансовые последствия утечек конфиденциальной информации

PDFПечатьE-mail

20.01.2011 16:59

Упущенная выгода — это та прибыль, которую компания недополучила вследствие нанесения ущерба ее имиджу, потери имевшихся клиентов и трудностей привлечения новых клиентов. Согласно исследованию «2006-2009 Annual Study — Cost of a Data Breach», в 2005 году убытки составляли 4,5 млн. долларов, в 2009 уже 6,7 млн.




Реакция граждан на утечку их персональных данных Одним из основных результатов исследования «2006 Annual Study — Cost of a Data Breach» стало выяснение того факта, что граждане, пострадавшие от утечки, в большинстве своем либо уже прервали сотрудничество с провинившейся организацией, либо собираются сделать это. В пользу такого развития событий высказались 59% респондентов.


Уязвимости компаний

  • Технологические секреты и новшества (ноу хау)
  • Базы данных (клиенты, поставщики, сотрудники компании)
  • Финансовая информация (доходы и расходы компании)
 
 

Примеры утечек информации, анализ ситуации

PDFПечатьE-mail

20.01.2011 17:00

Пример 1

Компания А занимается производством дополнительных устройств для мобильных телефонов. С целью повышения удобства при использовании телефонов в автомобилях, компания А планирует выпуск на рынок новый товар, в связи с чем Компания А разрабатывает чертежи, выпускает экспериментальные модели, прорабатывает материалы изделия, уменьшает себестоимость продукта.
В это же время компания Б, занимающая аналогичный сектор бизнеса, проникает в информационную сеть компании А и похищает данные компании А по новому продукту. В итоге компания Б первой выпускает несколько измененный продукт на рынок, чем успешно привлекает большую часть клиентов не вкладывая в разработку нового продукта.
Настоящий инцидент стал возможным благодаря отсутствию системы защиты на предприятии А. Подсчитывая убытки можно лишь сказать, что система защиты стоила бы в сотни раз меньше. В данном примере не затрагивается уменьшение имиджа компании А, в результате компрометации данных, речь идет о недополученной прибыли и финансовых убытках.


Пример 2

Финансовая компания, занимающая сектор страховых услуг располагала конфиденциальными данными клиентов, а именно: истории болезни, паспортные данные, идентификационные коды. В результате действий злоумышленников, клиентская база данных была похищена, а факт утечки просочился в СМИ. Согласно общей статистики всего лишь 14% клиентов игнорируют факт утечки, 19 % немедленно отказываются от услуги компании, 40 % твердо уверены отказаться от услуги компании в ближайшем будущем, 27 % проявляют обеспокоенность.
Таким образом, в ближайшем будущем, 59% клиентов поменяют компанию и воспользуются услугами более надежных конкурентов.
Не трудно подсчитать ущерб компании. Результаты снижения репутации заключаются в потере значительной части клиентов и огромные трудности при привлечении новых. Также необходимо учесть расходы на дополнительные судебные издержки, почтовые рассылки, на восстановление репутации путем различных рекламных акций и т.д.

 

Анализ кода

PDFПечатьE-mail

20.01.2011 16:57

Выявление брешей и дефектов безопасности в исходном коде программного продукта - основная задача аудита кода по требованиям безопасности. В процессе аудита специалистами выявляется наличие в исходном коде небезопасных выражений или элементов повышенного риска. Данная процедура является одним из определяющих действий для повышения безопасности информационных систем и устранения угроз. Процедура выполнения проверок состоит в полуавтоматическом и ручном анализе. После проведения аудита Заказчик получает детализированный отчёт, состоящий из описания найденных брешей по классификации основных типов брешей программного обеспечения (CWE - Common Weakness Enumeration).

Также в работе используется технология CODEFEND.
 
 
Joomla! Template design and develop by JoomVision

Случайная новость

Top30Comsec

Comsec Consulting в тридцатке крупнейших компаний, занимающихся информационной безопасностью