Аудит безопасности приложений
Главная | Услуги
Аудит безопасности программного обеспечения представляет собой комплексный подход по выявлению в нём недостатков, реализация которых может нарушить конфиденциальность, целостность или доступность ваших информационных активов

Наши эксперты применяют современные и эффективные методы выявления слабостей и уязвимостей в скомпилированном и исходном коде.
Аудит безопасности программного обеспечения представляет собой комплексный подход по выявлению в нём недостатков, реализация которых может нарушить конфиденциальность, целостность или доступность ваших информационных активов

Наши эксперты применяют современные и эффективные методы выявления слабостей и уязвимостей в скомпилированном и исходном коде.
На сегодняшний день в мире существует более 190 тысяч уникальных зарегистрированных уязвимостей ПО. Превентивное исследование безопасности ПО существенно снижает время реагирования на инциденты информационной безопасности.
Основные задачи
Снижение рисков финансовых потерь от компьютерных атак на критические приложения и бизнес-процессы
Повышение степени защищённости и киберустойчивости информационных систем благодаря контролю разработки и внедрения программного обеспечения в эксплуатацию
Превентивная митигация репутационных потерь организации – проверенное экспертами программное обеспечение снижает риск сбоев, компьютерных атак, простоев в работе и негативного опыта у ваших клиентов
Контроль за качеством разрабатываемых программных продуктов и проверка соответствия требованиям регулятора
Что входит в аудит безопасности?
Мы готовы предложить проведение аудита безопасности системного и прикладного программного обеспечения, а также исходного кода приложений следующими методами:
Cтатический анализ кода (SAST)
метод анализа исходного кода приложения без его исполнения путем семантических и сигнатурных проверок, направленных на выявление слабостей и уязвимостей его текстового представления до этапов интерпретации или компилирования. Зачастую выполняется с использованием автоматизированных сканеров безопасности исходного кода.
Динамический анализ
метод анализа программного обеспечения непосредственно в режиме его работы, выполняемый с помощью набора данных, которые подаются «на вход» исследуемой программе. Перед началом динамического тестирования исходный код должен быть скомпилирован и предварительно исследован нашими экспертами в тандеме с представителями разработчика исследуемого ПО.
Интерактивный анализ
ещё один метод анализа программного обеспечения во время его работы, но выполняемый с использованием ручной или автоматизированной трассировки команд и стороннего агента мониторинга информационных потоков, что позволяет объединить преимущества методов статического и динамического анализа.
Обратная разработка
метод исследования готового программного обеспечения с целью понять принцип его работы, обнаружить недокументированные возможности, оценить реализованные механизмы защиты обрабатываемой информации, выявить существующие слабости и уязвимости используемых: подходов, архитектур, библиотек и т.д.
В 60% случаев причиной утечек конфиденциальной информации являются недостатки в безопасности программного обеспечения
Что является результатом тестирования?
Результатом проведенного тестирования на проникновение является отчет по его результатам, содержащий как минимум следующую информацию:
Что является результатом тестирования?
Результатом проведенного тестирования на проникновение является отчет по его результатам, содержащий как минимум следующую информацию:
  • Данные об экспертах, выполняющих социотехническое тестирование
  • Вывод для руководства, содержащий общую оценку результатов тестирования
  • Описание используемых методик, сценариев и атак
  • Обнаруженная (в сети общего пользования Интернет) чувствительная информация по тестируемым сотрудникам
  • Перечень и описание выявленных нарушений в обеспечении социотехнической и информационной безопасности со стороны тестируемых сотрудников вашей организации
  • Элементы информационной инфраструктуры, к которым удалось получить доступ по результатам социотехнических воздействий
  • Рекомендации по повышению устойчивости к социальной инженерии для вашей организации
Получить подробную информацию о данной услуге
Нажимая кнопку «Отправить», Вы выражаете свое согласие на обработку персональных данных в соответствии с Политикой в отношении обработки персональных данных.
В общем случае, порядок оказываемых услуг следующий:
01
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
02
Получение исходных данных и объектов тестированиям
получение предварительной информации об объекте аудита, передача исполняемых файлов или исходного кода
03
Согласование ожидаемой методики и результатов
согласование методики и границ тестирования, желаемых результатов и сроков на исполнение
04
Формирование "поверхности атаки"
идентификация используемых стеков технологий, параметров и данных, формирование «поверхности атаки»
05
Аудит безопасности
выявление недостатков с использованием отдельных или комбинированных методов аудита программного обеспечения
06
Верификация результатов
проверки на возможность эксплуатации выявленных недостатков, верификация результатов
07
Формирование отчёта и рекомендаций
формирование и согласование отчёта по результатам аудита безопасности