Описание
Комплексный анализ защищенности включает в себя:
1. Анализ защищенности мобильных и веб-приложений.
2. Анализ защищенности внешнего периметра.
3. Анализ защищенности локальной сети.
4. Социотехническое тестирование.
Общий план проведения работ
Пассивный сбор информации: Сбор информации о сети или приложении заказчика из общедоступных источников (Интернет, новостные источники, конференции).
Активный сбор информации: Определение типов устройств, операционных систем и приложений на основе их реакции на внешние воздействия.
Обнаружение уязвимостей сетевых служб и приложений.
Проведение анализа веб-приложений и мобильных приложений заказчика с применением как автоматизированных инструментов, так и ручных методов для выявления уязвимостей, таких как SQL Injection, Cross-Site Scripting, Content Spoofing, OS Command injection и т.д , включая уязвимости бизнес логики приложений.
Тестирование с применением социальной инженерии (звонки/фишиннговая рассылка).
Проводится оценка потенциального воздействия на бизнес-процессы организации ранее выявленных уязвимостей и недостатков. Эксплуатация уязвимостей, которые могут прервать бизнес-процессы компании, осуществляется только после дополнительного согласования с заказчиком.
Результат
Результатом анализа защищенности является отчет, содержащий следующую информацию:
• Методика проведения тестирования.
• Выводы для руководства с общей оценкой уровня защищенности компании.
• Описание выявленных недостатков и уязвимостей, включая информацию о ходе тестирования и результаты эксплуатации уязвимостей.
• Оценка критичности обнаруженных уязвимостей с использованием методики Common Vulnerability Scoring System (CVSS 3) для анализа риска.
• Рекомендации по устранению выявленных уязвимостей