Аудит безопасности
Аудит безопасности программного продукта
50%
В 2021 г. на 50% в неделю резко
увеличилось число атак на корпоративные продукты и сервисы компаний
2022 г.
С февраля резко возросло количество кибератак на устройства
российских пользователей с использованием удалённого доступа (по данным
«Лаборатории Касперского»)
К сожалению, это стало трендом. В последнее
время кроме классических угроз многие компании столкнулись с непрогнозированными
блокировками и отключением 3d-part модулей, деструктивными действиями некоторых Open
Source пакетов, о наличии которых в своём ПО даже не подозревали.
Об аудите безопасности
Аудит безопасности программного продукта позволяет выявить, а в дальнейшем, нейтрализовать угрозы безопасности связанные с получением неправомерного доступа, хищением данных, выводом из строя отдельных узлов и целых систем, и т.д.
Причины дыр в безопасности программных продуктов:
- публично-известные уязвимости программных модулей входящих в системную архитектуру
- программный код написанный разработчиками или сторонними подрядчиками компании
Наши специалисты проводят полный аудит
программного кода web-приложений, сайтов и сервисов по двум методам:
Пентест (Blackbox, Whitebox)
Пентест — это эмуляция
действий хакеров. Для модели BlackBox используются автоматизированные средства, а для
WhiteBox характерным отличием является то, что исследователь владеет сведениями
о внутреннем устройстве программного продукта.
Автоматическое сканирование и ручной анализ программного кода
Автоматическое сканирование проводится с помощью специальных программных средств.
Ручной анализ кода — трудозатратный способ и в то же время это надёжное дополнение к автоматическому сканированию безопасности программного обеспечения.
Кому подходит
Компаниям без собственного отдела разработки
Мы предоставляем не только отчёт о проведённом исследовании, но и рекомендации по устранению уязвимостей
Бизнесу с inhouse командой
Проранжируем найденные угрозы по степени критичности
Что мы предлагаем
Специалисты ARTW могут провести Аудит, если web-приложение использует следующие технологии:
- PHP
- Symfony
- JavaScript
- Bitrix
- Typescript
- Vue.js
- Laravel
- React.js
Этапы исследования
- Пентест BlackBox
- Пентест WhiteBox
- Проверка сайта на наличие уязвимостей из OWASP TOP 10:
- A1 Injection;
- A2 Broken Authentication and Session Management;
- A3 Sensitive Data Exposure;
- A4 XML External Entities (XXE);
- A5 Broken Access Control;
- A6 Security Misconfiguration;
- A7 Cross-Site Scripting (XSS);
- A8 Insecure Deserialization;
- A9 Using Components with Known Vulnerabilities;
- A10 Insufficient Logging and Monitoring.
- Программный анализ кода на предмет наличия уязвимостей из списка известных
- Ручной анализ кода
- Проверка отчётов автоматического анализа
- Дополнительный просмотр кода на предмет использования потенциально опасных функций (типа eval, exec и т.д.)
- Проверка прав доступа, наличия двухфакторной аутентификации, политики создания и хранения паролей и т.д.
Стоимость
Чтобы исследование было эффективным, мы не можем полагаться только на автоматизированные инструменты, поэтому стоимость услуги зависит от объёма проекта:
Маленький (до 50к строк кода)
200 000 руб.
Средний (до 150к строк кода)
700 000 руб.
Большой (до 500к строк кода)
3 000 000 руб.
Более 500к строк кода
обсуждается индивидуально
На проведение Аудита обычно закладывается от 1 месяца, но в условиях повышенной востребованности услуги, мы смогли выработать механику проведения исследования за срок от 10 рабочих дней.
Частые вопросы
Большую часть исследований мы проводим в изолированной среде без доступа к production-данным. Вывод из строя рабочего продукта или замедление его работы исключены.
В заключаемом с нами Договоре о неразглашении фиксируются все необходимые нормы. Над исследованием работают только наши специалисты, без привлечения третьих лиц. После передачи итогового отчёта по защищенному каналу, изолированная среда и все собранные данные полностью уничтожаются.
В списке приведены TOP-10 категорий выделяемых мировым сообществом специалистов по безопасности. В рамках каждой категории проводится проверка по тысячам известных уязвимостей. Во время проведения ручной проверки кода, мы отслеживаем наличие возможных дыр в безопасности web-приложения которые невозможно выявить автоматически.
Обычно, задачей команды разработки является отгрузка в продакшн важных для бизнеса функций. При ревью кода или проведении автотестов акцент делается на работоспособности кода, его быстродействии. Сторонний специалист, который проводит исследование безопасности кода не зависит от требований бизнеса, не обременён дружескими отношениями, и может оценить код беспрестрастно. Здесь действуют те же принципы, при проведении, например, бухгалтерского аудита специализированной компанией.
Свяжитесь с нами, после подписания Договора о неразглошении мы поможем оценить объём проекта.
Свяжитесь с нами
Напишите нам
Санкт-Петербург,
8-я Красноармейская ул., д.10