Спецификация услуг по Тестированию на проникновение
Внешнее — Модель Blackbox (Чёрный ящик), до 100 внешних сетевых узлов;
№ | Состав работ | Срок (р. дни) | Результаты работ |
1 | Имитация угроз ИБ с точки зрения внешнего по отношению к ЛВС злоумышленника; | 6 | Определение защищённости тестируемого ресурса по обозначенным векторам атак |
2 | Поиск уязвимостей в программно-аппаратном окружении доступных сетевых узлов внешнего сетевого периметра ЛВС; | 5 | Определение защищённости окружения тестируемого ресурса. |
3 | Реализация способов закрепления злоумышленника в элементах сетевой инфраструктуры Заказчика; | 4 | Определение реализуемости угроз информационной безопасности силами внешнего злоумышленника. |
4 | Описание выявленных уязвимостей, оценка их критичности, разработка рекомендаций по устранению выявленных уязвимостей. | 4 | Отчет по результатам тестирования, содержащий исчерпывающие сведения о состоянии защищённости и рекомендации по её повышению. |
Всего дней: | 18 |
Внутреннее — Модель Greybox (Серый ящик), до 1000 АРМ, до 100 сетевых устройств, до 100 внутренних сервисов.
№ | Состав работ | Срок (р. дни) | Результаты работ |
1 | Имитация угроз ИБ с точки зрения внутреннего по отношению к ЛВС злоумышленника; | 8 | Определение защищённости тестируемого ресурса по обозначенным векторам атак |
2 | Поиск уязвимостей в программно-аппаратном окружении доступных сетевых узлов внутреннего сетевого периметра ЛВС; | 7 | Определение защищённости окружения тестируемого ресурса. |
3 | Реализация способов закрепления злоумышленника в элементах сетевой инфраструктуры Заказчика; | 6 | Определение реализуемости угроз информационной безопасности силами внешнего и внутреннего злоумышленников. |
4 | Описание выявленных уязвимостей, оценка их критичности, разработка рекомендаций по устранению выявленных уязвимостей. | 4 | Отчет по результатам тестирования, содержащий исчерпывающие сведения о состоянии защищённости и рекомендации по её повышению. |
Всего дней: | 25 |
Также предлагаем Вам провести нагрузочное тестирование внешних сетевых узлов. В рамках тестирования Исполнитель производит имитацию распределённых атак на отказ в обслуживании. Мощность воздействия – до 5 Гбит/сек. Срок подготовки к проведению работ – 5 рабочих дней. Тестирование такого рода поможет понять насколько ваши ресурсы устойчивы к DDoS-атакам.
Спецификация на предоставление услуги «Анализ защищённости простого WEB-приложения» (Сайт с админ-панелью, предоставляющий возможность размещения и редактирования текстовых и мультимедийных материалов). Модель «Greybox» без предоставления исходных кодов.
Исследование уровня защищенности WEB-приложения
№ | Состав работ | Срок (раб. дни) | Результаты работ |
1 | выявление уязвимостей в окружении WEB-приложения; | 1,3 | Отчет о результатах аудита безопасности WEB-приложения: |
2 | выявление уязвимостей в логической составляющей WEB-приложения; | 1,6 | |
3 | апробирование возможности эксплуатации обнаруженных уязвимостей; | 0,3 | |
4 | определение угроз, реализуемых через выявленные уязвимости (осуществляется выборочно только для информационных ресурсов, согласованных с Заказчиком и только в оговоренное время); | 0,3 | |
5 | классификация обнаруженных уязвимостей, оценка критичности согласно методике CVSS v.2 | 0,3 | |
6 | детализация проведенных технических мероприятий и результатов их воздействия; | 0,6 | Рекомендации по устранению выявленных уязвимостей и повышению уровня защищенности WEB-приложения; |
7 | уточнение и локализация мест (модуля, строки), содержащих уязвимости; | 0,3 | |
8 | разработка экспертных рекомендаций по устранению обнаруженных уязвимостей и ошибок конфигурации. | 0,3 | |
9 | оценка корректности и достаточности примененных разработчиками мер по устранению уязвимостей; | 0,5 | Заключение об устранении обнаруженных уязвимостей и ошибок конфигурации; |
10 | оценка корректности устранения ошибок конфигурации | 0,5 | |
Всего дней: | 5 |
Спецификация на предоставление услуги «Анализ защищённости WEB-приложения средней сложности» (Портал, предоставляющий пользователю возможность интерактивного взаимодействия, в том числе, средствами личных кабинетов). Модель «Greybox» без предоставления исходных кодов.
Исследование уровня защищенности WEB-приложения
№ | Состав работ | Срок (раб. дни) | Результаты работ |
1 | выявление уязвимостей в окружении WEB-приложения; | 5,5 | Отчет о результатах аудита безопасности WEB-приложения: |
2 | выявление уязвимостей в логической составляющей WEB-приложения; | 6,5 | |
3 | апробирование возможности эксплуатации обнаруженных уязвимостей; | 1 | |
4 | определение угроз, реализуемых через выявленные уязвимости (осуществляется выборочно только для информационных ресурсов, согласованных с Заказчиком и только в оговоренное время); | 1,5 | |
5 | классификация обнаруженных уязвимостей, оценка критичности согласно методике CVSS v.2 | 0,5 | |
6 | детализация проведенных технических мероприятий и результатов их воздействия; | 2,5 | Рекомендации по устранению выявленных уязвимостей и повышению уровня защищенности WEB-приложения; |
7 | уточнение и локализация мест (модуля, строки), содержащих уязвимости; | 1,5 | |
8 | разработка экспертных рекомендаций по устранению обнаруженных уязвимостей и ошибок конфигурации. | 1 | |
9 | оценка корректности и достаточности примененных разработчиками мер по устранению уязвимостей; | 1 | Заключение об устранении обнаруженных уязвимостей и ошибок конфигурации; |
10 | оценка корректности устранения ошибок конфигурации | 2 | |
Всего дней: | 20 |
Спецификация на предоставление услуги «Анализ защищённости WEB-приложения с расширенной логикой» (Портал, предоставляющий пользователю возможность проведения финансовых транзакций или передачи чувствительной информации). Модель «Greybox» без предоставления исходных кодов.
№ | Состав работ | Срок (раб. дни) | Результаты работ |
1 | выявление уязвимостей в окружении WEB-приложения; | 8,1 | Отчет о результатах аудита безопасности WEB-приложения: |
2 | выявление уязвимостей в логической составляющей WEB-приложения; | 9,6 | |
3 | апробирование возможности эксплуатации обнаруженных уязвимостей; | 1,5 | |
4 | определение угроз, реализуемых через выявленные уязвимости (осуществляется выборочно только для информационных ресурсов, согласованных с Заказчиком и только в оговоренное время); | 2,1 | |
5 | классификация обнаруженных уязвимостей, оценка критичности согласно методике CVSS v.2 | 0,6 | |
6 | детализация проведенных технических мероприятий и результатов их воздействия; | 4,2 | Рекомендации по устранению выявленных уязвимостей и повышению уровня защищенности WEB-приложения; |
7 | уточнение и локализация мест (модуля, строки), содержащих уязвимости; | 2,4 | |
8 | разработка экспертных рекомендаций по устранению обнаруженных уязвимостей и ошибок конфигурации. | 1,5 | |
9 | оценка корректности и достаточности примененных разработчиками мер по устранению уязвимостей; | 2 | Заключение об устранении обнаруженных уязвимостей и ошибок конфигурации; |
10 | оценка корректности устранения ошибок конфигурации | 2 | |
Всего дней: | 30 |
При аудите ряда веб-приложений сроки и стоимости складываются нелинейно. Для окончательного расчёта необходим согласованный перечень объектов анализа.
Спецификация на предоставление услуги «Анализ защищённости мобильных приложений» (iOS, Android, Windows Phone без предоставления исходных кодов)
Аудит безопасности приложения «мобильный банкинг»
для платформ Android \ iOS \ Windows Phone
Состав работ | Срок (раб. дни) | Результаты работ |
• Выявление уязвимостей в программном дополнении; • Апробирование возможности эксплуатации обнаруженных уязвимостей в программном дополнении; • Определение угроз, которые могут быть реализованы через выявленные уязвимости (выборочно, по согласованию с Заказчиком); • Классификация обнаруженных уязвимостей в приложении, оценка критичности согласно методике CVSS v.2; | 22 | Отчет о результатах аудита безопасности приложения: • выявленные уязвимости; • указание степени критичности, принадлежности к определенному классу уязвимостей приложений. • рекомендации по повышению уровня защищенности приложения |
Всего дней: | 22 |
Работы по социальным воздействиям на персонал компании
№ | Состав работ | Срок (р. дни) |
1 | Фишинговая рассылка (до 150 адресов) | 3 |
2 | Фишинговая рассылка, сопровождаемая телефонным звонком (до 50 адресов) | 5 |
3 | Дополнительные 50 адресов | 2 |
4 | Рассылка с активными вложениями (до 150 адресов) | 3 |
5 | Рассылка с активными вложениями, сопровождаемая телефонным звонком (до 50 адресов) | 5 |
6 | Дополнительные 50 адресов | 2 |
7 | Звонки в целях выведывания конфиденциальной информации, или провокации на заданные действия под заранее разработанной легендой (до 10 звонков) | 3 |
8 | Дополнительные 10 звонков | 0,5 |
9 | Размещение на территории Заказчика носителей информации с активным содержимым. (до 30 носителей) | 3 |
10 | Выведывание информации в социальных сетях (за один аккаунт) | До 15 |
11 | Получение доступа к рабочему компьютеру под легендой | 10 |
12 | Получение доступа в серверную под легендой | 15 |
13 | Провокация сотрудника на запуск активного содержимого с носителя информации под легендой клиента, передающего личную информацию | 5 |
14 | Манипуляции (сброс или изменение) с парольной информацией или организация удалённого доступа с устройства Исполнителя через службу технической поддержки проверяемой организации | 12 |
15 | Получение клиентской информации у справочной службы, службы технической поддержки систем ДБО (клиент - физическое лицо) | 5 |
16 | Получение клиентской информации у справочной службы, службы технической поддержки систем ДБО (клиент – юридическое лицо) | 7 |
17 | Имитация собеседование с кандидатом на работу в (можно удаленно) в целях получения конфиденциальной информации. | 5 |
18 | Провокация банковского работника на раскрытие банковской тайны. | 5 |
Кратко об услугах
Тестирование на проникновение позволяет в управляемых для Заказчика условиях определить реальный уровень защищенности исследуемой инфраструктуры.
Цель— определение реального уровня защищенности инфраструктуры Заказчика.
Задачи:
- выявление уязвимостей в инфраструктуре Заказчика, которые могут привести к несанкционированному доступу к ресурсам или информации Заказчика. разработка рекомендаций по устранению выявленных недостатков, повышению уровня защищенности ИТ-инфраструктуры Заказчика.
Анализ защищённости WEB-приложения позволяет в управляемых для Заказчика условиях определить уровень защищенности его интернет-сервисов от несанкционированного доступа к информации и увода финансовых средств как у держателя системы, так и у его клиентов.
Цель — определение реального уровня защищенности WEB-приложения Заказчика.
Задачи:
- анализ достаточности применяемых мер и средств для обеспечения конфиденциальности информационных активов приложения; анализ влияния обнаруженных уязвимостей в приложении на элементы информационно-технологической инфраструктуры Заказчика; разработка рекомендаций по устранению выявленных недостатков, повышению уровня защищенности.
Анализ защищённости мобильных приложений позволяет определить уровень их защищенности, а также безопасности смежных с ними сетевых инфраструктур.
Цель — выявление уязвимостей и ошибок в разработке и конфигурации приложения с учетом окружения, в котором оно используется.
Задачи:
- статический аудит исходного кода мобильного приложения; динамический аудит исходного кода мобильного приложения; анализ защищенности конфигурации мобильного приложения; определение актуальных угроз информационной безопасности; анализ влияния обнаруженных уязвимостей в мобильном приложении; разработка рекомендаций по повышению уровня защищенности.
Социальные воздействия на компанию в рамках услуги «тестирование на проникновение» позволяют оценить защищённость одного из самых слабых звеньев в защите компании – персонала. Воздействия выявляют степень информированности сотрудников о мерах информационной безопасности и исполнения данных мер, а также позволяют оценить вероятность инсайдерских действий со стороны нелояльных сотрудников. Проекты такого рода не являются типовыми и программы тестирования создаются для каждого заказчика с учётом его особенностей.
Методика выполнения работ предполагает гибкость и индивидуальный подход, позволяет учесть специфичные требования и особенности деятельности Заказчика без нарушения непрерывности его критических бизнес-процессов.
Проекты по выполнению тестов на проникновение и анализа WEB-приложений и систем ДБО выполняются экспертами, обладающими высокой квалификацией, подтвержденной международными сертификатами и богатым опытом проведения исследований систем информационной безопасности в различных отраслях экономики. Это позволяет нам обеспечить объективность оценок и разработать наиболее детализированный отчет с рекомендациями по повышению уровня информационной безопасности систем Заказчика.
