Аудит информационной безопасности
ИНФО
Багхантеры или белые хакеры — это специалисты по кибербезопасности, которые действуют законно и этично, чтобы выявлять уязвимости до того, как ими воспользуются злоумышленники.
Цели кибератак охватывают весь IT-контур компании: ресурсы, доступные из интернета, веб-приложения и API, а также внутреннюю корпоративную сеть. Компрометация любого из этих элементов может повлечь финансовые и репутационные потери, утечку данных и создание точек входа для дальнейшего проникновения.
Мы проводим комплексную оценку защищённости: аудит внешнего периметра, аудит безопасности сайта, аудит внутреннего периметра, анализ исходного кода, анализ следов взлома и нагрузочное тестирование. Каждая услуга даёт объективную картину рисков, перечень выявленных уязвимостей, возможные сценарии атак и рекомендации по их устранению.
Наш подход основывается не только на признанных практиках в области, таких как OWASP, но главным образом на понимании исследуемой системы, её архитектуры и природы уязвимостей.
Наши сотрудники отмечены в «залах славы» компаний Yandex, VK, Google, Apache, Telegraph (Telegram), Apple; являются региональными лидерами и контрибьюторами международного консорциума OWASP (Open Web Application Security Project); состоят в рейтинге исследователей БДУ ФСТЭК.
- Security-чемпионы: выявление уязвимостей крупнейших Российских и зарубежных ресурсов.
- Опыт нахождения т.н. уязвимостей "нулевого дня" (подтверждённые CVE).
- Исследования, публикации и выступления по вопросам информационной безопасности и защиты веб-приложений.
- Основатели первой в РФ платформы выплаты вознаграждений за найденные уязвимости Bug Bounty Ru.
- Организаторы и амбассадоры киберучений и концепции киберполигонов.
-
01 Подписание договора
По согласию сторон подписываем договор о неразглашении (NDA), договор. Рекомендуется использование ЭДО: Контур.Диадок, Калуга Астрал, Такском или СБИС.
-
02 Проверка легитимности
Для подтверждения легитимности работ (аудит, нагрузочное тестирование) необходимо на фирменном бланке предоставить письмо о согласовании работ.
-
03 Проведение работ
Для проведения работ необходимо будет предоставить контакт ответственного лица/технического специалиста, согласовать время проведения.
Процесс
Подписываем NDA (при необходимости), выбираете услугу, мы проверяем соблюдение всех условий и приступаем к проверке на уязвимости/нагрузочному тестированию. Работы проводятся дистанционно. После закрытия уязвимостей проверяем корректность их устранения.
Определяем тип работ
Определяем скоуп, регламент и объекты аудита
Подписываем договор
Согласовываем тип работ и проверяем владение ресурсом
Проводим работы
Выявляем уязвимости и недостатки архитектуры
Отправляем отчёт
Направляем выявленные уязвимости и рекомендации по устранению
Услуги
Наш проектный опыт позволяет нам в краткие сроки провести аудит безопасности и выявить уязвимости и недостатки архитектуры. После устранения уязвимостей мы проводим проверку корректности, но ограничиваемся только выявленными уязвимостями.
Аудит внешнего периметра
Рекомендуется для оценки безопасности ресурсов и сервисов, доступных из интернета.
- Сканирование внешних сервисов
- Анализ открытых портов и протоколов
- Поиск поддоменов и связанных ресурсов
- Выявление уязвимостей доступных из интернета сервисов
- Отчёт
- Рекомендации
Аудит безопасности сайта
Рекомендуется для веб-приложений с критичной бизнес-логикой, обработкой пользовательских данных, API и интеграцией со сторонними сервисами.
- Ручное выявление уязвимостей
- Фаззинг
- Логические уязвимости
- Анализ веб-окружения
- Анализ защитных средств
- Оценка по OWASP Top 10
- Отчёт
- Рекомендации
Аудит внутреннего периметра
Рекомендуется для оценки безопасности корпоративной сети и внутренних информационных систем.
- Сканирование внутренней сети
- Анализ сегментации и маршрутизации
- Выявление уязвимостей внутренних сервисов
- Проверка конфигураций сетевого оборудования
- Оценка рисков горизонтального перемещения и эскалации привилегий
- Отчёт
- Рекомендации
Анализ следов взлома
Рекомендуется в случаях, когда сайт под атакой ботов, заражен вирусами или содержит следы взлома.
- Анализ журналов веб-сервера
- Выявление вредоносного кода
- Нейтрализация угроз
- Отчёт
Анализ исходного кода
Рекомендуется на этапе разработки новых проектов или их модулей.
- Автоматический анализ кода
- Фаззинг
- Выявление формальных признаков уязвимостей
- Отчёт
- Рекомендации
Нагрузочное тестирование
Рекомендуется для выявления "узких мест" архитектуры проекта, проверки надежности ресурсов, защиты от DoS атак.
- Нагрузочное тестирование L3/L4
- Нагрузочное тестирование L7
- Гео-распределенная сеть
- Отчёт
- Рекомендации
Наиболее распространённые угрозы и уязвимости
В ходе аудита мы оцениваем риски по всем направлениям: внешний и внутренний периметр, веб-приложения и API, исходный код, следы компрометации и устойчивость к нагрузке. Для веб-приложений ориентируемся на рейтинг OWASP Top 10.
Аудит внешнего периметра
Открытые сервисы и порты92%
Устаревшее ПО на периметре78%
Аудит безопасности сайта
Недостатки контроля доступа100%
Некорректная настройка параметров безопасности83%
Недостатки идентификации и аутентификации79%
Аудит внутреннего периметра
Слабая сегментация сети87%
Горизонтальное перемещение74%
Эскалация привилегий68%
Анализ следов взлома
Вредоносный код и бэкдоры71%
Компрометация учётных записей65%
Анализ исходного кода
Уязвимости в коде (инъекции, XSS)82%
Небезопасные зависимости и секреты58%
Нагрузочное тестирование
Узкие места архитектуры под нагрузкой76%
Устойчивость к DoS-атакам54%
Выявили уязвимости, что делать дальше?
- Устранить уязвимости.
- Применить рекомендации из отчёта.
- Внедрить защитные средства.
- Разместить сервис на платформе Bug Bounty Ru.
Наши клиенты и партнёры
ООО «Битрикс»
Благодарим компанию ООО «Киберполигон» за плодотворное сотрудничество в области информационной безопасности. С вашей помощью наши продукты остаются надежными и защищенными для наших клиентов.
«Бессмертный полк»
Благодарим компанию ООО «Киберполигон» за помощь в укреплении информационной безопасности ресурса moypolk.ru. С вашей помощью семейные истории сотен тысяч людей в России и за рубежом остаются под надежной защитой.
АО «Лакса Трейдинг» (Sokolov)
Выражаем благодарность компании ООО «Киберполигон» за плодотворное сотрудничество в области информационной безопасности. Совместные работы по анализу защищённости внутренней корпоративной сети и сайта sokolov.ru позволили повысить уровень защищённости информационных систем и ресурсов компании.
Департамент информационных технологий города Москвы
Результаты данной работы получили высокую оценку со стороны руководства города. Благодаря тесной и слаженной работе удалось не допустить технических сбоев в задействованных информационных системах, системах связи и аппаратном обеспечении.
IVA Technologies
Предложенные ООО «Киберполигон» оптимальные технические решения соответствуют всем требованиям и стандартам, а сотрудничество с организацией оставило самые приятные впечатления. Хотим отметить профессионализм, ответственное отношение к делу и пунктуальность команды ООО «Киберполигон», а также целеустремленность при решении нестандартных задач.
АО «Инфосистемы Джет»
АО «Инфосистемы Джет» выражает благодарность компании ООО «Киберполигон» и ее работникам за качественное выполнение совместных проектов по информационной безопасности. Хотим отметить высокий профессионализм, ответственное отношение к делу и пунктуальность команды ООО «Киберполигон».
ООО «Бастион»
От имени отдела по работе с уязвимостями ООО «Бастион» выражаем благодарность компании ООО «Киберполигон» за плодотворное сотрудничество и высокий профессионализм при проведении работ по нагрузочному тестированию информационных систем Заказчика. Работы по нагрузочному тестированию позволили значительно повысить уровень информационной безопасности Заказчика.
БДУ ФСТЭК
Руководство Государственного научно-исследовательского испытательного института проблем технической защиты информации Федеральной службы по техническому и экспортному контролю выражает Вам искреннюю благодарность за конструктивное сотрудничество в сфере исследования уязвимостей отечественных информационных ресурсов.
КОНТАКТЫ
ООО "Киберполигон"
ИНН 7743323251
Лицензия ФСТЭК ТЗКИ: Л024-00107-00/00581936