SEQ – ваш консультант в мире кибербезопасности

Применяем все существующие векторы атаки на ИТ-системы с целью выявления уязвимостей ИТ-инфраструктуры и даем подробные рекомендации по их устранению

Методы тестирования

Black Box

  1. Отсутствие какой-либо инсайдерской информации об атакуемых системах
  2. Воспроизводятся условия атаки внешнего злоумышленника

Grey Box

  1. Частичная информированность об атакуемых системах
  2. Воспроизводятся условия утечки информации или получения доступа злоумышленником к внутренней сети

White Box

  1. Полная информированность об атакуемых системах
  2. Больше времени для анализа систем

Виды Услуг

Тестирование на проникновение и анализ защищенности

Прежде чем вырабатывать стратегии и методики противодействия угрозам информационной безопасности, компаниям необходимо протестировать свою инфраструктуру на предмет ее текущей устойчивости к атакам:

  • Выявить уязвимые компоненты и проблемы информационной безопасности;
  • Определить возможные способы компрометации информационной системы;
  • Проверить возможность реализации выявленных векторов атак.

Подход SEQ к тестированию на проникновение базируется на основе рекомендаций международных стандартов и практик:

  • Open Web Application Security Project (OWASP);
  • Open Source Security Testing Methodology Manual (OSSTMM);
  • Web Application Security Consortium (WASC);
  • Стандарты серии ISO 27000;
  • Стандарты Center for Internet Security (CIS);
  • Common Vulnerability Scoring System (CVSS);
  • NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment.

Анализ исходного кода

Анализ кода позволяет выявить уязвимости, возникающие как по причине технических ошибок, так и в случае наличия злого умысла. Эффективное выявление текущих проблем позволит избежать искажений в анализе исходного кода и четко определить источник угроз.

Выявление проблем безопасности архитектуры

В основе аудита SEQ лежит моделирование рисков.

Исследование существующей информационной архитектуры компании выявляет возможные угрозы и оценивает риски для инфраструктуру; при этом SEQ широко использует и применяет международные практики и наработки. В результате заказчик получает подробный отчет с анализом и приоритезацией рисков, равно как рекомендации по уменьшению влияния этих рисков.

Социальная инженерия

Человеческий фактор влияет на все процессы в организации, в том числе и на защиту конфиденциальной безопасности. Повысить уверенность в том, что человеческий фактор не увеличит риски для информационной безопасности поможет использование техник социальной инженерии SEQ. Эти техники могут принимать форму учений, курсов безопасности для сотрудников и других комплексных проектов (например, Red Team), позволяя выработать объективную оценку уязвимости со стороны персонала.

Безопасность инфраструктуры SAP

Системы SAP® – одни из самых важных систем компании. SEQ помогает обнаруживать серьезные уязвимости раньше, чем это сделают злоумышленники, оценивая:

  • Общий уровень защищенности систем SAP;
  • Надежность реализации приложений;
  • Уровень безопасности в управлении пользователями, правами, интерфейсами, аварийными концепциями и бизнес-приложениями;
  • Уязвимости при инсталляции патчей;
  • Уровень осведомленности сотрудников о мерах безопасности SAP и знание о предотвращении злонамеренных действий в системах.

Тестирование на проникновение в соответствии с положениями Банка России № 382-П, 683-П, 684-П

В рамках пентеста SEQ проводит внешнее и внутреннее тестирование на проникновение. Длительность – 2-4 недели. В результате компания-заказчик получает отчет в соответствии с рекомендациями Приложения № 3 РС БР ИББС-2.6-2014

Red Team Assessment

Red Teaming – это использование тактики, методов и процедур (TTP – Tools Tactics and Procedures) для имитации реальной угрозы с целью обучения и измерения эффективности людей, процессов и технологий, используемых для защиты информационной среды компании.

В область аудита Red Team как правило подпадает вся инфраструктура заказчика.

Red Teaming от SEQ поможет компании получить четкое представление об уровне безопасности информационных систем, а также об их текущих возможностях в противостоянии угрозам и атакам.

Внедрение процедур безопасной разработки ПО – Secure SDL

SDL(security development lifecycle) – это методика разработки , которая позволяет обеспечить необходимый уровень безопасности разрабатываемой системы. В основе подхода SDLиспользуются практики обучения команды разработчиков, проведение анализа безопасности разрабатываемой системы и внедрение механизмов повышения безопасности.

В качестве методик внедрения цикла безопасной разработки SEQ использует Рекомендации в области стандартизации банка России РС БР ИББС-2.6-2014, MS SDL, OWASP Secure SDLC Cheat Sheet.

Почему выбирают нас

Высокий уровень экспертизы

Эксперты компании обладают международными сертификатами, которые подтверждают высокий уровень профессиональных навыков.

Сотни выполненных международных проектов.

Эксклюзивные знания

Мы используем в своих проектах как общеизвестные подходы к тестированию, так и собственные наработки нескольких сотен профессиональных экспертов, а также данные лаборатории уязвимостей.

Качество

Используем самые передовые методики для поиска как известных уязвимостей, так и уязвимостей 0-ого дня.

Качество и безопасность бизнес-процессов сертифицированы по стандартам ISO 9001 и ISO 27001.

ICO/IEC