Информационная безопасность
Разработка программного обеспечения
Проведение пентестов
Консалтинг
Аудит
В условиях современного рынка многие компании имеют собственные процессы хранения, обработки и доступа к корпоративной информации. Защищенность этой информации является неотъемлемой частью ведения конкурентного бизнеса, успешность которого напрямую зависит от отлаженности бизнес-процессов.
Аудит
Анализ защищенности представляет собой комплекс работ по поиску уязвимостей и “слабых” мест в защите информационной системы, а также причин их возникновения и выработку рекомендаций по их устранению. Анализ не ограничивается инструментальной проверкой и позволяет выявить все потенциальные недостатки исследуемой системы, независимо от ее масштабов и особенностей. Объектом анализа может выступать как вся информационная система, так и ее отдельная подсистема. Поиск уязвимостей производится из сетей общего доступа и из корпоративной сети, в зависимости от поставленной задачи. При анализе защищенности рассматриваются все аспекты обеспечения информационной безопасности: технический, организационный, нормативный. После завершения анализа формируется отчет, который содержит все сведения о проблемах безопасности, а также список рекомендаций по их устранению.
Основные этапы аудита
Тест на проникновение или пентест – это попытка взлома информационного ресурса организации, направленная на получение объективной оценки уровня информационной безопасности исследуемого ресурса, обнаружение его уязвимостей и слабых мест. Тест на проникновение позволяет понять Заказчику, эффективны ли используемые средства защиты, и какова вероятность взлома и получения информации злоумышленником.
Пентест предназначен для получения объективной оценки защищенности информационной среды организации от внешних и внутренних угроз со стороны потенциального нарушителя безопасности. При проведении теста на проникновение, моделируются действий злоумышленника, направленные на проникновению в информационную систему Заказчика.
— Выявить наиболее уязвимые места в системе информационной безопасности
— Понять каким способом, и через какие уязвимости злоумышленник может проникнуть в информационную среду организации.
— Получить объективную оценку общего уровня безопасности информационной среды организации.
— Оценить возможные последствия от таких действий.
Основные причины, по которым компании задумываются о проведении данного вида аудита следующие:
— Оценка существующей системы управления информационной безопасности
— Оценка защищенности отдельных ресурсов или средств защиты организации
— Анализ возможного ущерба от действий злоумышленников
— Оценка действий персонала организации.
— Оценка существующей системы управления информационной безопасности
— Оценка защищенности отдельных ресурсов или средств защиты организации
— Анализ возможного ущерба от действий злоумышленников
— Оценка действий персонала организации.
Основными объектами аудита являются внешние web-ресурсы и локальная сеть Заказчика.
При проведении теста помимо технических методик также используются методы социальной инженерии, позволяющие оценить уровень подготовки сотрудников в вопросах информационной безопасности. Может быть предпринята рассылка электронных писем, вынуждающих пользователей выполнить определенные действия, либо попытка узнать нужную информацию от сотрудников организации при помощи телефонного звонка в ИТ-службу. Все условия и действия заранее обговариваются и утверждаются с Заказчиком.
Однозначно определить сроки проведения аудита достаточно сложно, они варьируются в зависимости от масштаба работы и уровня защищенности объектов тестирования. Минимальный срок теста на проникновение занимает от 2х недель. На первом этапе аудита используются автоматизированные средства, позволяющие определить известные и существующие уязвимости, если такие не находятся, то специалисты разрабатывают специализированные решения для теста на проникновение, при этом учитывается специфика атакуемого объекта и человеческий фактор.
— Анализ общедоступной информации о компании, и ее информационной среде
— Проведение исследований связанных с социальной инженерией
— Анализ уязвимостей внутренних и внешних ресурсов
— Осуществление проникновения
— Создание отчетной документации.
— Проведение исследований связанных с социальной инженерией
— Анализ уязвимостей внутренних и внешних ресурсов
— Осуществление проникновения
— Создание отчетной документации.
По завершению работ формируется отчет, в котором представляется следующая информация:
— Детальное отображение выявленных уязвимостей и недостатков, представляющих угрозу для бизнес-процессов компании, уровень их рисков, оценка возможностей злоумышленника ими воспользоваться
— Описание сценариев, при помощи которых проводилось проникновение
— Подробное описание структуры объектов тестирования
— Методы и средства, использованные во время проведения теста на проникновение
— Рекомендации по устранению обнаруженных уязвимостей и недостатков.
— Детальное отображение выявленных уязвимостей и недостатков, представляющих угрозу для бизнес-процессов компании, уровень их рисков, оценка возможностей злоумышленника ими воспользоваться
— Описание сценариев, при помощи которых проводилось проникновение
— Подробное описание структуры объектов тестирования
— Методы и средства, использованные во время проведения теста на проникновение
— Рекомендации по устранению обнаруженных уязвимостей и недостатков.
Програмное обеспечение
Разработка
Мы можем разработать программное решение по обеспечению информационной безопасности с учетом всех ваших пожеланий и требований
Готовое решение от 2BESECURE
Мы работаем как представители израильской компании 2besecure
И можем предложить уже готовое решение от профессионалов
О нас
Мы работаем как представители израильской компании 2besecure
консалтинг в сфере информационной безопасности
Наша команда на протяжении 6 лет активно занимается информационной безопасностью в различных сферах жизнедеятельности, разработкой мобильных приложений, продажей программ по информационной безопасности, версткой сайтов любой сложности, в том числе и интернет магазинов. За помощью к нам обращаются как обычные пользователи, так и специалисты крупных компаний.