Основные проблемы кибербезопасности
КОЛИЧЕСТВО/КАЧЕСТВО СПЕЦИАЛИСТОВ
Недостаток квалифицированных специалистов, либо их полная загруженность
недостаток ресурсов
Ограниченность бюджета не позволяет организовать эффективную защиту от внешних атак
внешнее давление
Письма с вредоносным содержимым, постоянное сканирование внешнего периметра, DDoS-атаки
недостаток знаний
Недостаток знаний по информационной безопасности даёт шанс злоумышленникам
текучка кадров
Новому безопаснику необходимо быстро узнать состояние реальной защищенности данных
Изменение сети
Любое изменение информационной системы влечет появление новых, недостатков
устаревшая инфраструктура
Любое изменение информационной системы влечет появление новых, недостатков
человеческий фактор
Забыли закрыть доступ, потеряли пароль, не закрыли учетную запись, не поправили права доступа
ЧТО ТАКОЕ ПЕНТЕСТ
Пентест - самый эффективный и наглядный способ оценки реальной эффективности защиты. Он универсален и подходит для всех компаний
финансы
- требования регулятора
- ебс
- дбо
- сайт и web-приложения
- мобильные приложения
- сетевая инфраструктура
- фишинговые атаки
промышленность
- сетевая инфраструктура
- безопасность асу тп
- защита SCADA, PLC (ПЛК)
- социальная инженерия
- требования законодательства
- отраслевые стандарты
электронная коммерция
- САЙТ интернет-магазина
- WEB-ПРИЛОЖЕНИЯ и сервисы
- беспроводные сети
- удаленный доступ сотрудников
- утекшие пароли
разработчики
и сервисы
- анализ уязвимостей приложений
- анализ кода приложений
- devsecops
- аудит доступа специалистов
Наши специалисты разработают для Вас эксклюзивный сценарий, соответствующий особенностям Вашей организации и пожеланиям
ЗАЧЕМ ПРОВОДИТЬ ПЕНТЕСТ
снижение бизнес-рисков
Выявление и нейтрализация инцидентов, негативно влияющих на имидж компании и безопасность клиентов. Защитим от финансовых и репутационных издержек
ОЦЕНка и рост уровня защиты
Проверка реальной, а не "бумажной" защищенности компании. Повысим защищенность за счёт устранения выявленных недостатков
обоснование затрат на модернизацию
Подготовка заключения о размере ущерба в случае реальных атак. Предоставим стратегию повышения защищенности с финансовым обоснованием
Исполнение Законодательства
Проверка соответствия требованиям государства, регуляторов и отраслевых стандартов. Сформируем рекомендации по приведению к соответствию
Вы можете повысить уровень защищенности Вашей организации на 40%. Скачайте чек-лист для самостоятельного выполнения рекомендаций и устранения базовых уязвимостей!
ЭТАПЫ ПРОВЕДЕНИЯ ПЕНТЕСТА
ИНСТРУМЕНТЫ
сканеры уязвимостей
Униварсальные инструменты типа Nessus и Burp Suite, которые выявляют "дыры" в приложениях, операционных системах и корпоративной сети
специальные утилиты
Специализированное программное обеспечение - например, утилиты из дистрибутива ОС Kali Linux: Metasploit, Nmap и т.д.
Ручной анализ
Ручной труд квалифицированного специалиста, когда пентестер пытается взломать защиту организации. Уязвимости Web-сервисов, ОС, ПО и оборудования.
МЕТОДЫ ПРОВЕДЕНИЯ ПЕНТЕСТА
Black box
(метод черного ящика)
Способ проверки, когда пентестер пытается взломать систему, обладая минимумом инфомрации о компании, например, юридическое название и реквизиты. По результату компания понимает уровень защиты систем от типовых внешних атак.
grey box
(метод серого ящика)
Исполнителю предоставлены данные об инфраструктуре заказчика:
- схема инфраструктуры (без доступов),
- инвентаризация серверов;
- топология сети.
white box
(метод белого ящика)
Исполнителю предоставляется подробная информация об инфраструктуре, а так же все права доступа. Это позволяет пентестеру быстрее определить уязвимость, с помощью которой можно получить доступ к конфиденциальной информации.
ПО РЕЗУЛЬТАТАМ ПЕНТЕСТА ВЫ ПОЛУЧИТЕ
Полный список всех обнаруженных уязвимостей с примерами их эксплуатации, их экспертная оценка
Подробное описание сценариев, методик и векторов атак, при помощи которых проводился анализ защищенности
Выводы о текущем состоянии, экспертные рекомендации по повышению уровня защищенности
Краткое резюме для руководства, включающее описание бизнес-рисков кампании, презентация результатов работы
Заключение NDA - гарантия конфиденциальности
Одним из документов при проведении пентеста инфраструктуры является NDA (соглашение о конфиденциальности). NDA гарантирует безопасность исполнителю данных и их защиту от третьих лиц.
выполненные проекты
промышленное предприятие
III место в мире. Штат 2000
Проблема
беспокойство о защищенности ресурсов, страх издержек
Цель
получение рекомендаций по повышению уровня защищенности
Сценарий
захват контроля над доменом из гостевого Wi-Fi методом "black box"
Реализация
- внутренний пентест
- контроль получен 2 способами
- обнаружены другие уязвимости
Ценности
- обнаружены угрозы для бизнеса (остановка линий)
- план повышения защищенности
финансовая компания
I в РФ. Актив 3 млрд.р. Штат 500
Проблема
беспокойство защитой клиентского ПО (фин. операции)
Цель
оценить возможность эксплуатации уязвимостей согласно ISO/IEC 15408
Сценарий
попытка выполнения в приложении несанкционированных операций
Реализация
- анализ исходного кода
- реализованы сценарии использования уязвимостей
- найдены критические уязвимости
Ценности
- обнаружены угрозы для бизнеса (возможность денежных переводов нарушителем с базовыми знаниями)
- план повышения защищенности
- рекомендации по обеспечению защищенности процесса разработки
- выполнение требований ЦБ
- повышение уровня безопасности активов, защита репутации
фудтех (общепит)
Фастфуд, 100+ городов, 250+ точек
Проблема
беспокойство защищенностью внешнего контура системы
Цели
- выявление уязвимостей
- получение рекомендаций по повышению уровня защищенности
Сценарий
проникновение в ЛВС извне
Реализация
- внешний пентест
- определен список серверов, уязвимостей, варианты их эксплуатации и последствия
Ценности
- рекомендации по устранению уязвимостей, шаги по повышению защищенности системы
- нейтрализована возможность доступа к финансовой системе
медицина
Федеральная мед. организация
Проблема
беспокойство защищенностью ИТ-системы, репутационные риски
Цели
- выявление уязвимостей
- получение рекомендаций по повышению уровня защищенности
Сценарии
- проникновение в ЛВС извне
- непривилегированный инсайдер
Реализация
- внешний и внутренний пентест
- определен список серверов, уязвимостей, варианты их эксплуатации и последствия
Ценности
- рекомендации по устранению уязвимостей, шаги по повышению защищенности системы
- обнаружена возможность доступа к мед. системам извне и из ЛВС несанкционированно
- захват контроля над доменом
Почему нам можно доверять
стаж
11 лет на рынке информационной безопасности, лидеры в ЮФО среди интеграторов по информационной безопасности
своя команда
Более 50 сотрудников имеют высшее образование по направлению "Информационная безопасность", кандидаты наук и преподаватели
не только пентест
Готовы сопровождать Вашу компанию в проектах по ИТ, ИБ и инженерной защите: проектирование, поставки, внедрение, сопровождение, модернизация, аттестация, пилотные проекты и т.д.
лицензии регуляторов
ФСБ: лицензия ЛСЗ №0004545 от 28.01.2016 (бессрочно)
ФСТЭК: КИ 0143 №007138, рег. № 1445 от 04.05.2011 (бессрочно)
Работы "под ключ"
Пентест, аудит, проектирование, внедрение, продажа и поставки, сопровождение, модернизация, консалт, аутсорс
Оплата по результатам
Если мы не найдём уязвимостей, вы не платите! Рассрочка, отсрочка оплаты и прочие варианты, удобные Вам. Вы не переплачиваете за бренд, маркетинг и т.д.
Большое портфолио
Более 30 проектов за последний год по направлениям информационная безопасность и ИТ
Авторские методики анализа
Собственные уникальные методики, основанные на российском законодательстве с учётом лучших международных практик и методик
экспресс-проверка внешней защищенности
Проверка внешней инфраструктуры пассивными методами:
- уточнение размера поверхности атаки,
- выборочное сканирование найденных узлов;
- сбор и систематизация данных об обнаруженных уязвимостях периметра;
- бизнес-интерпретация полученных сведений;
- предоставление перечня уязвимых узлов и уязвимостей, ранжированных по степени критичности с описанием возможных последствий.
сценариев и объектов проверки
пентест (Red teaming)
Проверка внешней и внутренней инфраструктуры (оборудование, порты, сервисы) пассивными и активными методами (автоматизированные инструменты и ручная верификация):
- уточнение размера поверхности атаки,
- полное сканирование найденных узлов/обговоренного сегмента;
- сбор и систематизация данных об обнаруженных уязвимостях;
- бизнес-интерпретация полученных сведений;
- предоставление перечня уязвимых узлов и уязвимостей, ранжированных по степени критичности с описанием возможных последствий;
- предоставление детальных рекомендаций по устранению;
- подробный отчёт об используемых методах работы и инструментах;
- презентация итогов работы для руководства на понятном языке;
- предоставление пошаговой стратегии развития системы ИБ, описание организационных и технических мер;
- предоставление существенных скидок при приобретении ПО, помощь в организации пилотных проектов.
желаемых сценариев и объектов проверки
Узнайте, как повысить уровень защищенности
Вашей компании с помощью пентеста