Algorytm-X - Системи безпеки

Оцінка захищеності від злому

Імітація цільових атак зловмистників для виявлення вразливостей в ІТ-інфраструктурі

Детальніше

Тест на проникнення

Pentest — симуляція атаки із позиції потенційного зловмисника (хакера або інсайдера) з метою виявити та експлуатувати знайдені вразливості в мережах, програмному забезпеченні, WEB-сайтах, фізичному периметрі або в загальній організації процесів безпеки.

Дає розуміння:

  • Який реальний бізнес-ризик несе компанія та її власники від вад, присутніх в захисті інформаційних систем і у процесах безпеки.
  • Чи достатньо захищені ваші бізнес-процеси та інформаційні системи від хакерів, інсайдерів і випадкових інцидентів безпеки.
  • До якої інформації зловмисник може отримати доступ, яку інформацію зможе модифікувати або заблокувати, які сценарії злому може реалізувати.
  • Чи помітить компанія спробу злому та чи правильно на неї відреагує.
Algorytm-X - Системи безпеки

Наш підхід до справи

Говоримо мовою бізнесу, описуючи бізнес-ризики у максимально простій та зрозумілій для менеджменту формі

Профілювання загроз — аналіз того, що може зробити хакер з Інтернету, інсайдер, гість, партнер з віддаленим доступом або інша специфічна загроза

Використовуємо як загальновизнані, так і власні методики для зменшення false negative

Кожен з наших експертів має від 1 до 6 сертифікатів у галузі інформаційної безпеки та технічних аудитів

Прозорість та можливість повного контролю над ходом проекту в реальному часі

Перевірка КОЖНОЇ потенційної вразливості та всіх можливих сценаріїв злому з експертними висновками та рекомендаціями

Наші сертифікати

Наші інструменти

  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки

Наші методології та практики

  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки
  • Algorytm-X - Системи безпеки

Як ми працюємо

  • Заповнення опитувальника на цій сторінці, можливо ми додатково уточнимо завдання
  • Ми висилаємо комерційну пропозицію та приклади звітності
  • Підписуємо угоду про нерозголошення
  • Підписуємо договір
  • Затверджуємо план та методологію тестування
  • Старт — пасивне вивчення систем та документації
  • Активне дослідження систем
  • Ідентифікація вразливостей (шляхом сканування та у ручному режимі)
  • Перевірка кожної вразливості. Ризиковані — за погодженням
  • Оцінка ризиків, профілювання загроз, написання звіту
  • Передача звіту та презентація результатів (за потреби)
  • Повторна верифікація після усунення вразливостей

Сканування вразливостей

* Кількість IP адрес зовнішнього мережевого периметру для сканування

* Кількість IP адрес внутрішнього мережевого периметру для сканування

* Яка загальна кількість WEB сервісів входить в інтереси тестування?

Під WEB сервісом слід розуміти будь-який HTTP\HTTPS доступний сайт\портал\ cлужба\інтерфейс\застосунок, що має свою відокремлену та унікальну бізнес-логіку.

Тест на проникнення

* Яке загальна кількість зовнішніх, публічно доступних IP адрес входить в інтереси тестування?

Рекомендуємо включати в проект тільки «живі» адреси для загального зменшення вартості

* Яка модель тесту є переважною: білий, чорний або сірий ящик?

* Яке загальна кількість зовнішніх, публічно доступних IP адрес входить в інтереси тестування?

рекомендуємо включати в проект тільки «живі» адреси для загального зменшення вартості

* Варіант проведення тесту (потрібно вибрати один з):

* Яка загальна кількість WEB сервісів входить в інтереси тестування?

Під WEB сервісом слід розуміти будь-який HTTP\HTTPS доступний сайт\портал\ cлужба\інтерфейс\застосунок, що має свою відокремлену та унікальну бізнес-логіку.

Вкажіть URL додатків (якщо можливо)

Опишіть стисло призначення і функціонал кожного з додатків - (якщо можливо)

* Яка модель тесту є переважною: білий, чорний або сірий ящик?

Назва та адреса додатку якщо він оприлюднений

* Стисла характеристика додатку

* Платформи, що необхідно тестувати

* Опишіть призначення АСУТП

* Місто розміщення обладнання АСУТП

* Чи потрібна перевірка реакції співробітників на методи отримання інформації по телефону (вішинг)?

* Чи потрібна перевірка реакції співробітників на методи отримання інформації за допомогою підроблених розсилок (фішинг)?

наприклад, це може бути підроблений лист від імені начальника ІТ компанії, розісланий на внутрішніх співробітників з проханням ввести логіни \ паролі на підроблений сайт корпоративної пошти.

* Яку кількість точок доступу необхідно тестувати?

Оцінка включає в себе наступні атаки - спроба підбору пароля до мереж, спроба вийти за рамки відритої гостьовій мережі, атаку типу "злий близнюк"

* Перерахуйте міста в яких розташовані точки доступу.

* Стисла характеристика додатку

* Мови програмування і технології, які використовуються

Кількість рядків коду

* Які цілі переслідуються:

* Вкажіть адреси об'єктів, які тестуються

Додаткові послуги

* Загальна кількість систем для аналізу (мережеве обладнання, сервери, програмне забезпечення, бази даних)

Стисла характеристика систем

* Чи є детальна документація, що описує архітектуру мережі та принципи захисту мережі

* Місто, де знаходиться мережева інфраструктура

Назва та адреса додатку якщо він оприлюднений

* Стисла характеристика додатку

Назва та адреса додатку якщо він оприлюднений

Коментар

Наприклад технічне завдання або опис тестованих систем.

Загальні питання

Додаткові побажання або обмеження щодо проведення тесту на проникнення

Бажана періодичність подання звітності

Ваші контакти

Дякую за запит!

Ми скоро з вами зв'яжемося.

© Algorytm-X Всі права захищені.

made by WEBLAB