Компания Синезис Стратус предлагает услуги по анализу защищенности web-приложений, мобильных приложений и внутреннего корпоративного периметра.
Тестирование защищенности проводится в соответствии с международными стандартами и методиками с применением автоматизированных средств и ручного выявления уязвимостей экспертами в сфере наступательной безопасности.

В составе Red team Синезис Стратус имеются сертифицированные специалисты в области наступательной безопасности - OSCP (Offensive Security Certified Professional).

Применение ручного анализа уязвимостей систем позволяет достигнуть максимального результата, приближенного к реальным атакам на ресурсы. Только в процессе ручного анализа возможно выявление уязвимостей "0day", - уязвимости, которые еще не известны производителям ПО и оборудования, либо известны, но в отношении которых не выработано решений. Такие уязвимости отсутствуют в базах данных сканеров уязвимостей, но могут быть использованы злоумышленниками.



Решаемые задачи:
  • обнаружение уязвимостей в приложениях, в том числе наиболее опасных уязвимостей согласно списка OWASP Top 10, позволяющих обеспечить отказ в обслуживании, перехват администрирования, утечку данных, внесение изменений в состав приложения и данных и другие согласно списка тестов;
  • обнаружение уязвимостей, через которые потенциальный злоумышленник со стороны внутреннего периметра сможет получить доступ к элементам критической инфраструктуры корпоративных информационных систем;
  • предоставление рекомендаций по устранению уязвимостей.

Методологии и стандарты тестирования:
  • OWASP Testing Guide v4;
  • The Web Application Security Consortium / Threat Classification;
  • Mobile Security Testing Guide (MSTG);
  • OSSTMM2 (Open Source Security Testing Methodology Manual);
  • NIST 800-115 (Technical Guide to Information Security Testing and Assessment).


    Этапы оказания услуги
    Моделирование и анализ угроз
    Анализ наиболее вероятных векторов атак с учетом их влияния на систему
    Разведка (Reconnaissance)
    Получение данных об используемых технологиях, версиях ПО, уязвимостях платформы и приложений
    Эксплуатация (Exploitation)
    Разработка и/или применение имеющихся proof-of-concepts (PoC) для эксплуатации уязвимостей
    Постэксплуатация (Post-exploitation)
    Повышение привилегий и продвижение по сети
    Отчет
    Создание детального технического отчета и предоставление его Заказчику
    Рекомендации
    Предоставление рекомендаций Заказчику по укреплению защиты активов
    Повторная проверка
    Повторный тест системы на проникновение с целью подтверждения устранения ранее выявленных уязвимостей