Аудит безопасности приложений
КОНСУЛЬТАЦИЯ
Контроль защищенности программного обеспечения на всех этапах его жизненного цикла
Аудит безопасности программного обеспечения представляет собой комплексный подход по выявлению в нём недостатков, реализация которых может нарушить конфиденциальность, целостность или доступность ваших информационных активов

Наши эксперты применяют современные и эффективные методы выявления слабостей и уязвимостей в скомпилированном и исходном коде, такие как:
- статический анализ кода (SAST);
- динамический анализ (DAST);
- интерактивный анализ (IAST);
- обратная разработка («реверс»).
Уязвимости любят индивидуальный подход
Только за Q1 2022 было выявлено более 8000 уязвимостей в программном обеспечении
Большинство выявленных уязвимостей – уязвимости среднего и высокого уровней опасности
Перевентивное исследование безопасности ПО существенно снижает время реагирования на инциденты информационной безопасности
На сегодняшний день в мире существует более 190 тысяч уникальных зарегистрированных уязвимостей ПО
Бо́льшая часть выявленных уязвимостей относится в веб-приложениям
В 60% случаев причиной утечек конфиденциальной информации являются недостатки в безопасности программного обеспечения
В 2021 году была выявлена уязвимость, существовавшая в течение 21 года
Не менее 75% исследованных приложений имеет хотя бы один недостаток, позволяющий нарушить защищенность информации
Основные задачи:
Снижение рисков финансовых потерь от компьютерных атак на критические приложения и бизнес-процессы
Повышение степени защищённости и киберустойчивости информационных систем благодаря контролю разработки и внедрения программного обеспечения в эксплуатацию
Превентивная митигация репутационных потерь организации – проверенное экспертами программное обеспечение снижает риск сбоев, компьютерных атак, простоев в работе и негативного опыта у ваших клиентов
Контроль за качеством разрабатываемых программных продуктов и проверка соответствия требованиям регулятора
Что входит в аудит безопасности?
Мы готовы предложить проведение аудита безопасности системного и прикладного программного обеспечения, а также исходного кода приложений следующими методами:
Статический анализ
– метод анализа исходного кода приложения без его исполнения, путем семантических и сигнатурных проверок, направленных на выявление слабостей и уязвимостей его текстового представления до этапов интерпретации или компилирования, и, зачастую выполняется с использованием автоматизированных сканеров безопасности исходного кода
Динамический анализ
– метод анализа программного обеспечения непосредственно в режиме его работы, выполняемый с помощью набора данных, которые подаются «на вход» исследуемой программе. Перед началом динамического тестирования, исходный код должен быть скомпилирован и предварительно исследован нашими экспертами в тандеме с представителями разработчика исследуемого ПО
Интерактивный анализ
– ещё один метод анализа программного обеспечения во время его работы, но выполняемый с использованием ручной или автоматизированной трассировки команд и стороннего агента мониторинга информационных потоков, что позволяет объединить преимущества методов статического и динамического анализа
Обратная разработка
– метод исследования готового программного обеспечения с целью понять принцип его работы, обнаружить недокументированные возможности, оценить реализованные механизмы защиты обрабатываемой информации, выявить существующие слабости и уязвимости используемых: подходов, архитектур, библиотек и т.д.
Что является результатом тестирования?
Данные об экспертах, выполняющих аудит безопасности
Выводы для руководства, содержащие общую оценку защищенности программного обеспечения или исходного кода
Описание используемых методик и инструментов тестирования
Обнаруженная (в сети общего пользования Интернет) чувствительная информация по тестируемым сотрудникам
Перечень и описания выявленных, в ходе аудита, слабостей и уязвимостей
Рекомендации по устранению выявленных недостатков и повышению защищенности тестируемого ПО
Подробная информация об эффективности и особенностях услуги, дополнительных вариантах проведения или иные вопросы
Подробная информация об эффективности и особенностях услуги, дополнительных вариантах проведения или иные вопросы
В общем случае, порядок оказываемых услуг следующий:
1
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
2
Получение исходных данных и объектов тестирования
получение предварительной информации об объекте аудита, передача исполняемых файлов или исходного кода
3
Согласование ожидаемой методики и результатов
согласование методики и границ тестирования, желаемых результатов и сроков на исполнение
4
Формирование "поверхности атаки"
идентификация используемых стеков технологий, параметров и данных, формирование «поверхности атаки»
5
Аудит безопасности
выявление недостатков с использованием отдельных или комбинированных методов аудита программного обеспечения
6
Верификация результатов
проверки на возможность эксплуатации выявленных недостатков, верификация результатов
7
Формирование отчёта и рекомендаций
формирование и согласование отчёта по результатам аудита безопасности