Аудит ИБ сайта — это комплекс работ по поиску уязвимостей
и критических ошибок в архитектуре веб-ресурса и серверном
программном обеспечении. Данная упреждающая мера позволит
сформировать объективную оценку уровня защиты веб-ресурса
организации и отразит детальную информацию о найденных
слабых местах.
Полученный в результате аудита отчет позволит компании
разработать грамотную стратегию по построению защиты
веб-ресурса от кибер-атак и избежать финансовых
и репутационных потерь.
Неважно, какие именно ИТ-услуги вам нужны, мы готовы обсудить ваши задачи и предложить пути решения!
При проведении аудита безопасности особое внимание уделяется уязвимостям из перечня OWASP TOP 10 — это список из десяти самых распространённых на данный момент уязвимостей веб-приложений:
- Внедрение вредоносного кода;
- Взлом аутентификации и управление сессией;
- Утечка пользовательских и корпоративных данных;
- Внешние сущности XML (XXE);
- Взлом контроля доступа;
- Небезопасная конфигурация безопасности;
- Межсайтовый скриптинг (XSS);
- Небезопасная деcериализация;
- Использование компонентов с известными уязвимостями;
- Отсутствие мониторинга состояния веб-систем.
Произошел инцидент, реализованный с помощью веб-ресурса организации.
Один из администраторов сайта скомпрометировал себя, и имеются опасения за сохранность информации на веб-ресурсе.
В некоторых случаях на необходимость проведения проверки сообщают поисковые системы.
- Выявление уязвимостей серверных компонентов;
- Поиск слабых мест в веб-окружении сервера;
- Проверка на удаленное выполнение произвольного кода;
- Проверка на наличие вредоносного кода;
- Отслеживание попыток обхода систем аутентификации;
- Тестирование на присутствие «XSS»/«CSRF» уязвимостей;
- Испытание возможности перехвата привилегированных аккаунтов;
- Попытки произвести Remote File Inclusion / Local File Inclusion;
- Анализ присутствия в компонентах самых распространенных уязвимостей;
- Исследование присутствия инородных редиректов
- Проверка всех форм заполнения данных (регистрация / авторизация/ формы обратной связи и др.)
- Исследование на восприятие атаки класса «race condition»;
- Внедрение XML-сущностей;
- Брутфорс исследование.
- Детальное описание методики проведения анализа защищённости;
- Модель угроз и нарушителя;
- Подробное описание всех обнаруженных уязвимостей и их подтверждение;
- Анализ уровня рисков (оценка вероятности эксплуатации уязвимости и степени влияния на бизнес-процессы заказчика);
- Возможные сценарии атаки с учётом различных моделей нарушителя;
- Выводы для руководства, содержащие экспертную оценку уровня защищённости по результатам анализа.
Мы обладаем авторитетным мнением в кругу ИТ-инженеров и ИТ-архитекторов — в наш центр обучения и сертификации международного уровня приезжают администраторы, чтобы получить теоретические и практические знания в построении IP-сетей, беспроводной связи, сетевой безопасности, управления трафиком и подключениями пользователей.
Одним из документов при проведении аудита информационной безопасности является договор NDA, или соглашение о неразглашении конфиденциальной информации. NDA гарантирует безопасность передаваемых исполнителю данных и их защиту от третьих лиц.
Стоимость аудита информационной безопасности веб-ресурса зависит от сложности сервиса и масштаба требуемых работ.
