Баннер
  • Безопасность

  • Тесты и Аудит

  • ПО

  • PCI DSS

  • ISO27001

  • Планирование безопасности

    Наш подход к планированию и разработке стратегии безопасности ERP основан на оценке рисков, которым подвергается бизнес и принимает во внимание: Корпоративные требования...
    Читать дальше...
  • Корпоративная Безопасность

  • CODEFEND

    Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых...
    Читать дальше...
  • Тест на проникновение

  • Анализ кода

  • Ping Identity

    Решение для идентификации и SSO c низкой стоимостью владения. Это инновационное решение может поставляться как облачный сервис (on-Demand) и как решение для интеграции в...
    Читать дальше...
  • Сервис Panaya для SAP ERP

  • Retalix

  • Требования PCI DSS

  • ISO 27001

    Информация зачастую является ключевым активом компании, а ее защита - приоритетной задачей. Получение сертификации по стандарту ISO 27001 позволит сохранить и защитить...
    Читать дальше...
Developed by JoomVision.com

Тесты на проникновение и Аудит приложений

CODEFEND

PDFПечатьE-mail

06.11.2013 12:34

Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых скриптов для улучшения работы автоматических средств поиска уязвимостей.

Специальная трехзвенная структура сервиса позволяет предоставлять наиболее точный и гибкий инструмент анализа исходного кода и значительно снизить издержки.

Описание сервиса:

 

Тест на проникновение

PDFПечатьE-mail

20.01.2011 16:56

Ежедневно в Интернет злоумышленниками осуществляются сотни - тысячи взломов веб-сайтов, серверов приложений и баз данных. Взлом корпоративного веб-сайта компании, являющегося ее представительством в Сети, может серьезно подорвать имидж и репутацию компании.

Зачем нужны тесты на проникновение?
Огромное число успешных вторжений из Интернет наглядно показывает незащищенность большинства ресурсов. Незащищенность сети компании обычно обусловлена целым рядом факторов.

Типовые факторы:
- непонимание менеджментом величины ущерба, который может принести успешная атака на ИТ систему компании,
- отсутствие информации у менеджмента об истинном уровне защиты,
- ложная уверенность менеджмента о надежной собственной защите,
- отсутствие или нехватка квалифицированного персонала в отделе ИТ - безопасности,
- отсутствие разработанной стратегии и политики информационной безопасности,
- "мы не представляем интереса для атаки" ,
- "в нашей вычислительной системе нет критичной важной для компании информации",
- "наш веб-сервер выполняет только представительскую функцию и его взлом не повлечет для компании значимого ущерба".

Проведение тестов на проникновение выявит все вышеозначенные факторы и позволит менеджменту получить наглядное и объективное представление о текущем уровне защиты автоматизированных ресурсов компании и станет первым шагом к построению надежной многоступенчатой системы защиты.
Задача теста на проникновение: полностью имитируя действия взломщика, осуществить атаку из Интернет на:
- веб-сервер,
- сервер приложений или баз данных,
- корпоративную сеть.

Цель теста на проникновение: обнаружить слабые места в защите и, если это возможно, и соответствует желанию заказчика, осуществить показательный взлом. Тесты на проникновение являются начальным этапом полного аудита безопасности автоматизированной системы компании, на основании которого возможна, во-первых, разработка политики и стратегии информационной безопасности, и, во-вторых, разработка и внедрение плана защиты ИТ ресурсов компании.

Проведение тестов на проникновение - это первый необходимый шаг к Вашей надежной защите!

Виды тестов:

Сканированием портов называется метод удаленного анализа, осуществляемый путем передачи тестовых запросов на создание соединения и позволяющий определить список активных служб предоставления удаленного сервиса на сканируемом объекте. Сканирование портов обычно применяется в качестве начальной подготовительной стадии перед непосредственной атакой или тестом на проникновение. То есть сканирование (или разведка) позволяет получить необходимые начальные сведения о потенциальном объекте атаки. Результат сканирования - список открытых на объекте портов, а, следовательно, перечень потенциально атакуемых серверных приложений, загруженных на объекте.

"Легкий" тест - при данной тестовой атаке ставится задача сбора, анализа информации и обнаружение уязвимостей на объектах заказчика без их непосредственной реализации. Группа секьюрити-аналитиков, полностью имитируя действия взломщиков, осуществит предварительное сканирование объектов, выявит и протестирует потенциально слабые места в системе безопасности. В процессе "легкого" тестирования защищенности объектов по желанию заказчика могут применяться атаки с использованием социальной инженерии и атаки, направленные на нарушение работоспособности системы (отказ в обслуживании).

"Тяжелый" тест - основная задача тестирования полностью имитировать реальный взлом, реализовав на объекте заказчика следующие классические угрозы безопасности информации:
-получить доступ к конфиденциальной информации
-получить возможность изменения конфиденциальной информации
-нарушить работоспособность системы

Также возможен заказ услуги, связанной с анализом и поиском уязвимостей в веб-скриптах, в исходном и исполняемом коде программного обеспечения

По результатам тестов создается отчет, в котором поэтапно описываются основные действия команды аналитиков в процессе тестового взлома и указываются слабые места в защите, из-за которых атака либо потенциально возможна, либо была успешна проведена.

Тесты на проникновение могут осуществляться на корпоративную сеть, отдельный сервер, веб-сервер, веб-скрипты, исходный и исполняемый код.

 

Финансовые последствия утечек конфиденциальной информации

PDFПечатьE-mail

20.01.2011 16:59

Упущенная выгода — это та прибыль, которую компания недополучила вследствие нанесения ущерба ее имиджу, потери имевшихся клиентов и трудностей привлечения новых клиентов. Согласно исследованию «2006-2009 Annual Study — Cost of a Data Breach», в 2005 году убытки составляли 4,5 млн. долларов, в 2009 уже 6,7 млн.




Реакция граждан на утечку их персональных данных Одним из основных результатов исследования «2006 Annual Study — Cost of a Data Breach» стало выяснение того факта, что граждане, пострадавшие от утечки, в большинстве своем либо уже прервали сотрудничество с провинившейся организацией, либо собираются сделать это. В пользу такого развития событий высказались 59% респондентов.


Уязвимости компаний

  • Технологические секреты и новшества (ноу хау)
  • Базы данных (клиенты, поставщики, сотрудники компании)
  • Финансовая информация (доходы и расходы компании)
 
 

Примеры утечек информации, анализ ситуации

PDFПечатьE-mail

20.01.2011 17:00

Пример 1

Компания А занимается производством дополнительных устройств для мобильных телефонов. С целью повышения удобства при использовании телефонов в автомобилях, компания А планирует выпуск на рынок новый товар, в связи с чем Компания А разрабатывает чертежи, выпускает экспериментальные модели, прорабатывает материалы изделия, уменьшает себестоимость продукта.
В это же время компания Б, занимающая аналогичный сектор бизнеса, проникает в информационную сеть компании А и похищает данные компании А по новому продукту. В итоге компания Б первой выпускает несколько измененный продукт на рынок, чем успешно привлекает большую часть клиентов не вкладывая в разработку нового продукта.
Настоящий инцидент стал возможным благодаря отсутствию системы защиты на предприятии А. Подсчитывая убытки можно лишь сказать, что система защиты стоила бы в сотни раз меньше. В данном примере не затрагивается уменьшение имиджа компании А, в результате компрометации данных, речь идет о недополученной прибыли и финансовых убытках.


Пример 2

Финансовая компания, занимающая сектор страховых услуг располагала конфиденциальными данными клиентов, а именно: истории болезни, паспортные данные, идентификационные коды. В результате действий злоумышленников, клиентская база данных была похищена, а факт утечки просочился в СМИ. Согласно общей статистики всего лишь 14% клиентов игнорируют факт утечки, 19 % немедленно отказываются от услуги компании, 40 % твердо уверены отказаться от услуги компании в ближайшем будущем, 27 % проявляют обеспокоенность.
Таким образом, в ближайшем будущем, 59% клиентов поменяют компанию и воспользуются услугами более надежных конкурентов.
Не трудно подсчитать ущерб компании. Результаты снижения репутации заключаются в потере значительной части клиентов и огромные трудности при привлечении новых. Также необходимо учесть расходы на дополнительные судебные издержки, почтовые рассылки, на восстановление репутации путем различных рекламных акций и т.д.

 

Анализ кода

PDFПечатьE-mail

20.01.2011 16:57

Выявление брешей и дефектов безопасности в исходном коде программного продукта - основная задача аудита кода по требованиям безопасности. В процессе аудита специалистами выявляется наличие в исходном коде небезопасных выражений или элементов повышенного риска. Данная процедура является одним из определяющих действий для повышения безопасности информационных систем и устранения угроз. Процедура выполнения проверок состоит в полуавтоматическом и ручном анализе. После проведения аудита Заказчик получает детализированный отчёт, состоящий из описания найденных брешей по классификации основных типов брешей программного обеспечения (CWE - Common Weakness Enumeration).

Также в работе используется технология CODEFEND.
 
 
Joomla! Template design and develop by JoomVision

Случайная новость

Retalix в Украине

11 июля 2012 года в Киеве в конференц-зале Русь Аккорд Отель состоялась ежегодная деловая практическая конференция Ukrainian Retail Business Forum 2012 «НОВЫЙ ВЗГЛЯД на эффективность управления Retail бизнесом». Форум был организован компанией «Бизнес Саммит» (www.summitbiz.com.ua). Генеральным партнером выступила компания Retalix (www.retalix.com), заявившая о выходе на рынок Украины, а также официальный представитель Retalix в Украине – компания Afenida Sec IT (www.afenidasecit.com.ua)

Больше информации можно найти по ссылке