Оценка уровня защищенности
Работы по оценке уровня защищенности направлены на глубокую оценку того или иного аспекта информационной безопасности, либо на комплексный анализ всей СУИБ в целом. Компания Positive Technologies предлагает следующие услуги, позволяющие оценить уровень защищенности различных аспектов ИБ:

Аудит веб-приложений

Аудит защищенности Web-приложений

Согласно отчету корпорации Mitre, более четверти уязвимостей, обнаруженных в 2006 году приходится на проблемы безопасности Web-приложений. В отличие от операционных систем, СУБД и прикладного ПО, используемых в корпоративной сети, Web-приложения как правило создаются внутри компании и не проходят такой тщательный контроль качества, как широко распространенные продукты. Статистика компании Positive Technologies по обнаруженным уязвимостям показывает, что до 70% Web-приложений содержит серьезные недочеты.

С другой стороны, проблемы в Web-приложениях гораздо легче обнаружить и использовать. В связи с этим "взлом через порт 80", является популярным инструментом в арсенале злоумышленника. Отчет "Internet Security Threat Report" компании Symantec показывает, что до восьмидесяти процентов уязвимостей, которые могут быть использованы злоумышленниками, приходится на Web-серверы.

Используя недочеты, допущенные в ходе разработки и эксплуатации систем, атакующие получают возможность копировать и модифицировать информацию в корпоративных базах данных, осуществлять мошеннические действия ("фишинг", "фарминг"), проникать во внутреннюю сеть Компании и многое, многое другое.

Значительные потери бизнеса, связанные с недостаточной защищенностью Web-служб нашли свое отражение в ряде отраслевых стандартов. Так, в версии 1.1 документа Payment Card Industry Data Security Standard (PCI DSS) фигурируют требования по анализу исходного кода приложений третьей стороной, специализирующейся на безопасности прикладных систем.

Опыт компании Positive Technologies, позволяет выполнять работы по анализу защищенности Web-приложений любой сложности. Базовая оценка защищенности Web-приложений производится в ходе других работ, таких как "Технологический тест на проникновение". Этой информации достаточно для получения представления об уровне защищенности той или иной системы. Однако, для идентификации максимального количества недочетов, необходим глубокий анализ всех аспектов реализации приложения.

Оценка защищенности Web-приложений может выполняться как с использованием методики "черного ящика", так и путем анализа исходных кодов. Второй способ более эффективен, но и более трудоемок.

В ходе работ используются общепринятые методики анализа и оценки безопасности приложений, в разработке которых эксперты Positive Technologies принимают активное участие: OWASP TOP 10, Web Application Security Consortium Thread Classification и Common Vulnerability Scoring System. Анализу подвергаются все компоненты Web-приложения: дизайн, сетевое взаимодействие, настройки ОС, внешние источники данных, хранилища информации, используемые механизмы авторизации и аутентификации, серверные и клиентские компоненты.

В общем случае порядок проведения работ следующий:

  • Определение метода, который целесообразно использовать для анализа WEB приложения ("черный ящик", анализ исходных кодов, сочетание методов).
  • Проведение инструментальных проверок и проверок ручным способом для отдельных типов уязвимостей (отсечение ложных срабатываний и выявление уязвимостей, которые не обнаруживаются автоматизированными средствами).
  • Выбор используемых уязвимостей. На основании анализа характеристик обнаруженных уязвимостей, таких как сложность использования, доступность методов эксплуатации, возможные потери в случае атаки и др., выбираются те из них, которые с высокой степенью эксплуатации могут быть использованы реальным злоумышленником. После чего проводится исследование уязвимостей с целью определения путей их эксплуатации, разработка программного обеспечение для проведения атаки.
  • Осуществление эксплуатации ряда наиболее критичных уязвимостей. Проводится серия согласованных с Заказчиком атак.
  • Формирование аналитического отчета и рекомендаций по устранению выявленных уязвимостей.

Результатом работы будет являться отчет, содержащий:

  • Выводы для руководства, содержащие общую оценку уровня защищенности WEB приложения.
  • Методику проведения теста.
  • Информацию по всем выявленным уязвимостям.
  • Результаты эксплуатации нескольких критичных уязвимостей.
  • Рекомендации по устранению выявленных уязвимостей. В зависимости от используемого при анализе подхода рекомендации могут включать и примеры корректного кода.
  • При необходимости, на основе анализа структуры приложения и обнаруженных уязвимостей эксперты формируют политику фильтрации для используемого в компании Web Application Firewall и других средств защиты.

Логическим продолжением теста на проникновение могут являться работы:

  • Мониторинг защищенности периметра корпоративной сети
  • Проектирование и внедрение системы управления уровнем защищенности
  • Внедрение системы управления ИБ (СУИБ)

Аудит приложений на мобильных платформах

Аудит защищенности приложений на мобильных платформах

Беспроводные сети, обладая бесспорными преимуществами, связанными с удобством работы зачастую являются слабым местом в системе управления информационной безопасностью. Наличие беспроводного сегмента в корпоративной сети требует от сотрудников, ответственных за обеспечение ИБ особого внимания.

Принципиальное отличие от проводных сетей, обусловленное открытостью среды передачи, что позволяет осуществлять атаки, направленные на прослушивание трафика, несанкционированное подключение и нарушение доступности. Далеко не всегда удается полностью исключить доступ потенциальных злоумышленников в зону радиовидимости, соответственно, данные угрозы актуальны для большинства беспроводных сетей.

Зачастую, беспроводные сети разворачиваются для руководства компании. Соответственно, злоумышленник, получивший доступ к беспроводному сегменту, имеет возможность не только использовать ресурсы компании в своих целях, но и получить доступ к конфиденциальной информации и заблокировать работу высокоприоритетных пользователей.

При условии нахождения в зоне радиовидимости, все передаваемые данные могут быть перехвачены стандартными средствами беспроводного доступа. Использование злоумышленниками более чувствительного радиоприемного оборудования может значительно расширить радиус эффективного перехвата информации. Таким образом, передаваемые в открытом виде данные или использование нестойких криптографических методов позволит злоумышленнику получить доступ ко всей информации беспроводного сегмента (например, стандартный протокол шифрования беспроводных сетей WEP вскрывается за несколько минут). Неправильная настройка беспроводного оборудования, отсутствие средств контроля и разграничения доступа, отсутствие специализированных средств защиты и мониторинга, все это может привести к тому, что злоумышленник получит доступ к ресурсам корпоративной сети, аналогичный доступу сотрудников вашей компании.

Данные факты позволяют говорить об актуальности вопросов, связанных с оценкой защищенности беспроводных сетей, оценкой возможностей злоумышленника осуществлять несанкционированные действия в вашем беспроводном сегменте и получать доступ к остальным ресурсам Заказчика.

Сотрудники компания Positive Technologies обладают обширным опытом по анализу защищенности беспроводных сетей, и готовы его использовать для обеспечения безопасности, используемых Вами беспроводных технологий.

В общем случае порядок проведения работ следующий:

  • Исследование действующих беспроводных сегментов.
  • Определение расположения точек доступа.
  • Определение текущей зоны радиовидимости.
  • Анализ конфигурации точек доступа, беспроводных коммутаторов, серверов RADIUS и специализированных средств защиты.
  • Анализ используемых схем и протоколов аутентификации, механизмов контроля доступа, криптографической защиты, принципов сегментации.
  • Анализ организации сегмента управления и сопряжения беспроводного сегмента с проводной сетью.
  • Осуществление попыток анализа трафика, подключения к беспроводному сегменту.
  • Осуществление попыток доступа во внутреннюю сеть Заказчика.
  • Выявление несанкционированно подключенных точек доступа.
  • Эмуляция точек доступа для проведения оценки защищенности беспроводных клиентов.
  • Проверка драйверов точек доступа и рабочих станций на наличие известных уязвимостей.
  • Тестирование работы системы обнаружения атак (WIDS), в том числе, на наличие известных уязвимостей.
  • Формирование экспертного заключения об уровне защищенности беспроводной сети.

Результатом работы будет являться отчет, содержащий:

  • Описание организации беспроводной сети.
  • Оценку существующих уязвимых мест и проблемных областей, включая результаты попыток несанкционированного доступа.
  • Рекомендации по повышению уровня защищенности беспроводной сети.

Логическим продолжением могут являться работы:

  • Проектирование и внедрение систем защиты

Аудит беспроводных сетей

Аудит защищенности беспроводных сетей

Беспроводные сети, обладая бесспорными преимуществами, связанными с удобством работы зачастую являются слабым местом в системе управления информационной безопасностью. Наличие беспроводного сегмента в корпоративной сети требует от сотрудников, ответственных за обеспечение ИБ особого внимания.

Принципиальное отличие от проводных сетей, обусловленное открытостью среды передачи, что позволяет осуществлять атаки, направленные на прослушивание трафика, несанкционированное подключение и нарушение доступности. Далеко не всегда удается полностью исключить доступ потенциальных злоумышленников в зону радиовидимости, соответственно, данные угрозы актуальны для большинства беспроводных сетей.

Зачастую, беспроводные сети разворачиваются для руководства компании. Соответственно, злоумышленник, получивший доступ к беспроводному сегменту, имеет возможность не только использовать ресурсы компании в своих целях, но и получить доступ к конфиденциальной информации и заблокировать работу высокоприоритетных пользователей.

При условии нахождения в зоне радиовидимости, все передаваемые данные могут быть перехвачены стандартными средствами беспроводного доступа. Использование злоумышленниками более чувствительного радиоприемного оборудования может значительно расширить радиус эффективного перехвата информации. Таким образом, передаваемые в открытом виде данные или использование нестойких криптографических методов позволит злоумышленнику получить доступ ко всей информации беспроводного сегмента (например, стандартный протокол шифрования беспроводных сетей WEP вскрывается за несколько минут). Неправильная настройка беспроводного оборудования, отсутствие средств контроля и разграничения доступа, отсутствие специализированных средств защиты и мониторинга, все это может привести к тому, что злоумышленник получит доступ к ресурсам корпоративной сети, аналогичный доступу сотрудников вашей компании.

Данные факты позволяют говорить об актуальности вопросов, связанных с оценкой защищенности беспроводных сетей, оценкой возможностей злоумышленника осуществлять несанкционированные действия в вашем беспроводном сегменте и получать доступ к остальным ресурсам Заказчика.

Сотрудники компания Positive Technologies обладают обширным опытом по анализу защищенности беспроводных сетей, и готовы его использовать для обеспечения безопасности, используемых Вами беспроводных технологий.

В общем случае порядок проведения работ следующий:

  • Исследование действующих беспроводных сегментов.
  • Определение расположения точек доступа.
  • Определение текущей зоны радиовидимости.
  • Анализ конфигурации точек доступа, беспроводных коммутаторов, серверов RADIUS и специализированных средств защиты.
  • Анализ используемых схем и протоколов аутентификации, механизмов контроля доступа, криптографической защиты, принципов сегментации.
  • Анализ организации сегмента управления и сопряжения беспроводного сегмента с проводной сетью.
  • Осуществление попыток анализа трафика, подключения к беспроводному сегменту.
  • Осуществление попыток доступа во внутреннюю сеть Заказчика.
  • Выявление несанкционированно подключенных точек доступа.
  • Эмуляция точек доступа для проведения оценки защищенности беспроводных клиентов.
  • Проверка драйверов точек доступа и рабочих станций на наличие известных уязвимостей.
  • Тестирование работы системы обнаружения атак (WIDS), в том числе, на наличие известных уязвимостей.
  • Формирование экспертного заключения об уровне защищенности беспроводной сети.

Результатом работы будет являться отчет, содержащий:

  • Описание организации беспроводной сети.
  • Оценку существующих уязвимых мест и проблемных областей, включая результаты попыток несанкционированного доступа.
  • Рекомендации по повышению уровня защищенности беспроводной сети.

Логическим продолжением могут являться работы:

  • Проектирование и внедрение систем защиты

Центр компетенции

Центр компетенции

Услуга "Центр компетенции по анализу защищенности информационных систем" является практическим приложением идей аутсорсинга в области аудита информационной безопасности. Такой подход позволяет перейти от одноразовых аудитов к процессному подходу по оценке защищенности.

В рамках работы Центра компетенции специалисты компании Positive Technologies оказывают работы по проведению аудита ИС по согласованной с Заказчиком методике. Аудит проводится с использованием средств оценки защищенности MaxPatrol производства компании Positive Technologies.

Использование Центра компетенции позволит привлечь экспертов компании-разработчика программного обеспечения для проведения аудитов ИС с использованием ПО MaxPatrol.

Предполагается следующий порядок предоставления услуг Центром компетенции:

  • при необходимости в получении услуги Центра компетенции Заказчик формирует запрос по электронной почте и получает подтверждение получения по электронной почте.
  • центр компетенции в течение 3 рабочих дней определяет необходимые трудозатраты для реализации запроса Заказчика и выставляет соответствующее предложение. Предложение содержит описание работ по аудиту ИС, количество затраченных ресурсов в соответствие с классификацией ресурсов, а также определяет условия выполнения работ:
  • доступ на площадку Заказчика, доступ к необходимым компонентам информационной системы;
  • предоставление специалистам Центра компетенции рабочих мест, необходимых для выполнения работ на площадке Заказчика.
  • Центр компетенции выполняет работы на площадке Заказчика в установленные сроки и предоставляет отчет по результатам аудита ИС.

Отчет по аудиту содержит:

  • выводы для руководства, содержащие оценку текущего состояния СУИБ;
  • результаты обследования, содержащие описание существующего положения ИБ;
  • аналитическое заключение по существующим уязвимым местам и рискам;
  • рекомендации по устранению выявленных проблемных областей и целевой уровень ИБ (to be).

В ходе работ используются методические разработки Исполнителя, а также различные признанные стандарты и руководства по обеспечению информационной безопасности, такие как:

  • нормативное обеспечение Заказчика;
  • стандарты серии ISO 27000;
  • требования SOX;
  • PCI DSS (Payment Card Industry Data Security Standard);
  • Center of Internet Security (CIS) guides;
  • OSSTMM - Open Source Security Testing Methodology Manual;
  • Web Application Security Consortium Thread Classification;
  • OWASP Testing Guide V2.0.

Оценка эффективности программы повышения осведомленности в области ИБ

Оценка эффективности программы повышения осведомленности в области ИБ

Ошибки сотрудников являются одним из наиболее распространенных источников угроз информационной безопасности. Для снижения рисков, связанных с "человеческим фактором" используются различные технические и административные механизмы защиты, одним из которых является повышение осведомленности сотрудников в области ИБ. Подобные работы обычно имеют высокую стоимость, однако оценить их эффективность достаточно сложно.

Наиболее эффективным методом является проведение серии согласованных с Заказчиком атак, эмулирующих реальную деятельность злоумышленников и отслеживание реакции пользователей на них. Подобный метод, в совокупности с последующим доведением до сотрудников информации о допущенных ими просчетах позволяет не только получить независимую оценку эффективности программы повышения осведомленности в области ИБ, но и устранить обнаруженные пробелы.

В зависимости от содержания программы повышения осведомленности для взаимодействия с тестируемыми сотрудниками могут использоваться различные каналы, такие как система электронной почты, личные встречи, телефон, популярные Web-сайты, системы мгновенного обмена сообщениями и т.д.

Проводимые проверки позволяет оценить эффективность противодействия пользователей следующим типам атак:

  • использование популярных социотехник;
  • распространение вирусов или сетевых червей;
  • использование уязвимостей программного обеспечения пользователей (браузера и т.д.);
  • целевое заражение системы троянской программой с использованием социальной инженерии и уязвимостей программного обеспечения;
  • различные типы мошеннических действий;
  • атаки типа "фишинг".

В зависимости от требований заказчика набор проводимых тестов может быть расширен или изменен, чтобы адекватно отображать содержание нормативно-правовое обеспечение ИБ, принятого у Заказчика и содержание программы повышения осведомленности.

В общем случае порядок проведения работ следующий:

  • Совместный с Заказчиком сбор информации о присутствии сотрудников в сети Internet. Получение списка адресов электронной почты, номеров IM, посещаемых сотрудниками форумов и т.д.
  • Согласование списка проводимых проверок и групп тестируемых пользователей с Заказчиком.
  • Адаптация программного обеспечения под особенности системы обеспечения информационной безопасности Заказчика.
  • Проведение тестовой рассылки по выделенной группе лиц с целью определения корректности сбора статистики.
  • Проведение массовой рассылки сообщений.
  • Сбор статистики.
  • Обработка результатов и разработка отчета по результатам работ.

Полученные в ходе работ данные документируются и анализируются для выработки рекомендаций по повышению защищенности сети.

Результатом работы будет являться отчет, содержащий:

  • оценку эффективности программы повышения осведомленности;
  • статистику по каждому из типов атаки и действиям пользователей;
  • информацию о сотрудниках, ненадлежащим образом выполняющих требования по обеспечению ИБ.

Эта информация может использоваться для:

  • Обоснования необходимости повышения осведомленности сотрудников.
  • Проверки выполнения требований обеспечения информационной безопасности.
  • Выявления недостатков реализуемой у Заказчика программы повышения осведомленности.
  • Идентификация сотрудников, ненадлежащим образом выполняющих требования по обеспечению ИБ.
  • Определение направлений по повышению эффективности комплекса мер по повышению осведомленности.
  • Повышение ответственности сотрудников путем использования полученных данных (примеров атак, статистики, основных ошибок) в материалах программы повышения осведомленности.
Остались вопросы?
Воспользуйтесь формой обратной связи:
Имя и Фамилия
Электронная почта
Комментарий
Ваш вопрос отправлен!

Наши специалисты свяжутся с вами в ближайшее время.