SEQ – your information security advisor

Прежде чем вырабатывать стратегии и методики противодействия угрозам информационной безопасности, компаниям необходимо протестировать свою инфраструктуру на предмет ее текущей устойчивости к атакам:

• Выявить уязвимые компоненты и проблемы информационной безопасности;
• Определить возможные способы компрометации информационной системы;
• Проверить возможность реализации выявленных векторов атак.

Подход SEQ к тестированию на проникновение базируется на основе рекомендаций международных стандартов и практик:

• Open Web Application Security Project (OWASP);
• Open Source Security Testing Methodology Manual (OSSTMM);
• Web Application Security Consortium (WASC);
• Стандарты серии ISO 27000;
• Стандарты Center for Internet Security (CIS);
• Common Vulnerability Scoring System (CVSS);
• NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment.

Анализ кода позволяет выявить уязвимости, возникающие как по причине технических ошибок, так и в случае наличия злого умысла. Эффективное выявление текущих проблем позволит избежать искажений в анализе исходного кода и четко определить источник угроз.

В основе аудита SEQ лежит моделирование рисков.

Исследование существующей информационной архитектуры компании выявляетcя возможные угрозы и оценивает риски для инфраструктуру; при этом SEQ широко использует и применяет международные практики и наработки. В результате заказчик получает подробный отчет с анализом и приоритезацией рисков, равно как рекомендации по уменьшению влияния этих рисков.

Человеческий фактор влияет на все процессы в организации, в том числе и на защиту конфиденциальной безопасности. Повысить уверенность в том, что человеческий фактор не увеличит риски для информационной безопасности поможет использование техник социальной инженерии SEQ. Эти техники могут принимать форму учений, курсов безопасности для сотрудников и других комплексных проектов (например, Red Team), позволяя выработать объективную оценку уязвимости со стороны персонала.

Системы SAP^® – одни из самых важных систем компании. SEQ помогает обнаруживать серьезные уязвимости раньше, чем это сделают злоумышленники, оценивая:

• Общий уровень защищенности систем SAP;
• Надежность реализации приложений;
• Уровень безопасности в управлении пользователями, правами, интерфейсами, аварийными концепциями и бизнес-приложениями;
• Уязвимости при инсталляции патчей;
• Уровень осведомленности сотрудников о мерах безопасности SAP и знание о предотвращении злонамеренных действий в системах.

В рамках пентеста SEQ проводит внешнее и внутреннее тестирование на проникновение. Длительность – 2-4 недели. В результате компания-заказчик получает отчет в соответствии с рекомендациями Приложения № 3 РС БР ИББС-2.6-2014

Red Teaming – это использование тактики, методов и процедур (TTP – Tools Tactics and Procedures) для имитации реальной угрозы с целью обучения и измерения эффективности людей, процессов и технологий, используемых для защиты информационной среды компании.

В область аудита Red Team как правило подпадает вся инфраструктура заказчика.

Red Teaming от SEQ поможет компании получить четкое представление об уровне безопасности информационных систем, а также об их текущих возможностях в противостоянии угрозам и атакам.

SDL(security development lifecycle) – это методика разработки , которая позволяет обеспечить необходимый уровень безопасности разрабатываемой системы. В основе подхода SDLиспользуются практики обучения команды разработчиков, проведение анализа безопасности разрабатываемой системы и внедрение механизмов повышения безопасности.

В качестве методик внедрения цикла безопасной разработки SEQ использует Рекомендации в области стандартизации банка России РС БР ИББС-2.6-2014, MS SDL, OWASP Secure SDLC Cheat Sheet.