Какие задачи решает:
Необходимость периодической проверки безопасности информационной системы внешним аудитором продиктована ростом эффективности кибератак, ежедневным совершенствованием инструментов злоумышленников, быстрыми изменениями в IT отрасли и в области ИБ. В результате такого аудита вы повышаете защищенность критически важного web-приложения и снижаете риски утечки корпоративной информации

Используемые средства анализа защищенности:

• Nessus Professional
• Burp Suite Professional
• OWASP Zed Attack Proxy
• Собственные инструменты

Перечень выявляемых уязвимостей:

• Инъекции (в том числе кода, файлов, команд ОС, SQL и LDAP)
• Межсайтовый скриптинг
• Слабая аутентификация и управление сеансом
• Уязвимости в управлении доступом к ресурсам
• Криптографические уязвимости, приводящие к утечке данных
• Уязвимости небезопасной конфигурации
• Использование уязвимых сторонних компонент
• Небезопасная десериализация
• Уязвимости внешних объектов (таких как XML)
• Отсутствие журналирования и мониторинга

Методологии и методы тестирования на проникновение:

• EC-Council ECSA/LPT Web Application Testing Methodology
• Penetration Testing Execution Standard (PTES) Technical Guideline
• OWASP Penetration Testing Guide v4

Кто проводит:
Аудит проводится экспертами высшего класса, обладающими международными сертификатами по этичному хакингу, защите информационных сетей, управлению информационной безопасностью и другими авторитетными сертификатами. Все специалисты, задействованные в проекте, имеют уникальный практический опыт и являются обладателями престижных международных сертификатов, таких как:

• CEH (Certified Ethical Hacker)
• CND (Certified Network Defender)
• ECES(EC-Council Certified Encryption Specialist)
• LPT (Licensed Penetration Tester)
• CHFI(Computer Hacking Forensics Investigator)
• ECSA(EC-Council Certified Security Analyst)
• OWASP(Open Web Application Security Project)

CCISO(Certified Chief Information Security Officer)

Какие задачи решает:
Аудит защищенности ваших web-ресурсов проводится, чтобы выявить уязвимости конкретных web-приложений и связанных с ними информационных систем, с последующей выработкой рекомендаций по их устранению.
Этапы проведения аудита: 
Аудит ИБ внешних интернет-ресурсов будет осуществлен в 4 этапа.
 
1 этап:

• Подготовка документов 
• Формирование команды и выделение ресурсов 
• Согласование и утверждение IP адресов 
• Сбор и анализ исходных данных 
• Сбор и анализ информации о связанных доменах и сервисах сетевых служб, доступных из открытых источников;
• Составление перечня ключевых активов
• Классификация ключевых активов
• Создание плана проведения аудита 
• Подготовка отчета о результатах сбора информации.

2 этап:

• составление плана 
• автоматизированное сканирование 
• классификация выявленных уязвимостей
• подготовка отчета о результатах о сканировании 

3 этап:

• ручное сканирование ресурсов 
• анализ результатов сканирования 
• оценка возможности эксплуатации выявленных уязвимостей;
• исследование возможностей проникновения 
• подготовка отчета выработка рекомендаций по устранению выявленных уязвимостей;

4 этап:

• оценка рекомендаций по устранению уязвимостей;
• проведение консультаций;
• подготовка плана мероприятий по выполнению рекомендаций;
• устранение недостатков в реализации защитных мер.

 
Отчет о проведенном аудите включает:

• результат автоматизированного сканирования;
• отчет о проведенном ручном сканировании; 
• отчет об анализе защищенности просканированных сервисов; 
• отчет о возможностях эксплуатации выявленных уязвимостях, с оценкой рисков; 
• рекомендации по повышению защищенности Интернет-ресурсов; 
• другие относящиеся к оценке защищенности материалы.  

Кто проводит:
Аудит проводится экспертами высшего класса, обладающими международными сертификатами по этичному хакингу, защите информационных сетей, управлению информационной безопасностью и другими авторитетными сертификатами. Все специалисты, задействованные в проекте, имеют уникальный практический опыт и являются обладателями престижных международных сертификатов, таких как:

• CEH (Certified Ethical Hacker)
• CND (Certified Network Defender)
• ECES(EC-Council Certified Encryption Specialist)
• LPT (Licensed Penetration Tester)
• CHFI(Computer Hacking Forensics Investigator)
• ECSA(EC-Council Certified Security Analyst)
• OWASP(Open Web Application Security Project)
• CCISO(Certified Chief Information Security Officer)

Задачи, решаемые в рамках аудита:

– получение объективной оценки текущего состояния мобильного приложения
– определение потенциальных угроз и слабых мест 
– подготовка рекомендаций по повышению уровня зрелости мобильного приложения

Методология тестирования приложении OWASP Mobile на TOP 10 уязвимостей:
 

1. Обход архитектурных ограничений.
2. Небезопасное хранение данных.
3. Небезопасная передача данных.
4. Небезопасная аутентификация.
5. Слабая криптостойкость.
6. Небезопасная авторизация 
7. Контроль содержимого клиентских приложений.
8. Модификация данных. 
9. Анализ исходного кода. 
10. Скрытый функционал

В результате аудита будут составлены документы:

1. План аудита
2. Методология
3. Проведённые мероприятия
4. Результаты проведённых тестов
5. Все документы и схемы, полученные в результате аудита.
6. Протоколы встреч
7. Матрица угроз
8. Рекомендации

Кто проводит:
Аудит проводится экспертами высшего класса, обладающими международными сертификатами по этичному хакингу, защите информационных сетей, управлению информационной безопасностью и другими авторитетными сертификатами. Все специалисты, задействованные в проекте, имеют уникальный практический опыт и являются обладателями престижных международных сертификатов, таких как:

• CEH (Certified Ethical Hacker)
• CND (Certified Network Defender)
• ECES(EC-Council Certified Encryption Specialist)
• LPT (Licensed Penetration Tester)
• CHFI(Computer Hacking Forensics Investigator)
• ECSA(EC-Council Certified Security Analyst)
• OWASP(Open Web Application Security Project)
• CCISO(Certified Chief Information Security Officer)

Срок: проведения: 14 дней
Стоимость: от 200 000 р