Компания Синезис Стратус предлагает услуги по анализу защищенности web-приложений, мобильных приложений и внутреннего корпоративного периметра.
Тестирование защищенности проводится в соответствии с международными стандартами и методиками с применением автоматизированных средств и ручного выявления уязвимостей экспертами в сфере наступательной безопасности.
В составе Red team Синезис Стратус имеются сертифицированные специалисты в области наступательной безопасности - OSCP (Offensive Security Certified Professional).
Применение ручного анализа уязвимостей систем позволяет достигнуть максимального результата, приближенного к реальным атакам на ресурсы. Только в процессе ручного анализа возможно выявление уязвимостей "0day", - уязвимости, которые еще не известны производителям ПО и оборудования, либо известны, но в отношении которых не выработано решений. Такие уязвимости отсутствуют в базах данных сканеров уязвимостей, но могут быть использованы злоумышленниками.
Решаемые задачи:
Методологии и стандарты тестирования:
Тестирование защищенности проводится в соответствии с международными стандартами и методиками с применением автоматизированных средств и ручного выявления уязвимостей экспертами в сфере наступательной безопасности.
В составе Red team Синезис Стратус имеются сертифицированные специалисты в области наступательной безопасности - OSCP (Offensive Security Certified Professional).
Применение ручного анализа уязвимостей систем позволяет достигнуть максимального результата, приближенного к реальным атакам на ресурсы. Только в процессе ручного анализа возможно выявление уязвимостей "0day", - уязвимости, которые еще не известны производителям ПО и оборудования, либо известны, но в отношении которых не выработано решений. Такие уязвимости отсутствуют в базах данных сканеров уязвимостей, но могут быть использованы злоумышленниками.
Решаемые задачи:
- обнаружение уязвимостей в приложениях, в том числе наиболее опасных уязвимостей согласно списка OWASP Top 10, позволяющих обеспечить отказ в обслуживании, перехват администрирования, утечку данных, внесение изменений в состав приложения и данных и другие согласно списка тестов;
- обнаружение уязвимостей, через которые потенциальный злоумышленник со стороны внутреннего периметра сможет получить доступ к элементам критической инфраструктуры корпоративных информационных систем;
- предоставление рекомендаций по устранению уязвимостей.
Методологии и стандарты тестирования:
- OWASP Testing Guide v4;
- The Web Application Security Consortium / Threat Classification;
- Mobile Security Testing Guide (MSTG);
- OSSTMM2 (Open Source Security Testing Methodology Manual);
- NIST 800-115 (Technical Guide to Information Security Testing and Assessment).
Этапы оказания услуги
Моделирование и анализ угроз
Анализ наиболее вероятных векторов атак с учетом их влияния на систему
Разведка (Reconnaissance)
Получение данных об используемых технологиях, версиях ПО, уязвимостях платформы и приложений
Эксплуатация (Exploitation)
Разработка и/или применение имеющихся proof-of-concepts (PoC) для эксплуатации уязвимостей
Постэксплуатация (Post-exploitation)
Повышение привилегий и продвижение по сети
Отчет
Создание детального технического отчета и предоставление его Заказчику
Рекомендации
Предоставление рекомендаций Заказчику по укреплению защиты активов
Повторная проверка
Повторный тест системы на проникновение с целью подтверждения устранения ранее выявленных уязвимостей