SEQ – your information security advisor

Our testing approach is (вариант с Our top priority is application of all the existing attack vectors on IT-systems in order to expose IT-infrastructure vulnerabilities and deliver detailed recommendations on mitigation and remediation

Testing methods

Black Box

  1. The lack of any internal information on the attacked systems
  2. The attack conditions of an external attacker are reproduced

Grey Box

  1. Partial awareness of the attacked systems
  2. The conditions of information leak or access by a malicious actor to the internal network are reproduced

White Box

  1. Full awareness of the attacked systems
  2. A wider timespan for system in-depth analysis

Виды Услуг

Тестирование на проникновение и анализ защищенности

Прежде чем вырабатывать стратегии и методики противодействия угрозам информационной безопасности, компаниям необходимо протестировать свою инфраструктуру на предмет ее текущей устойчивости к атакам:

  • Выявить уязвимые компоненты и проблемы информационной безопасности;
  • Определить возможные способы компрометации информационной системы;
  • Проверить возможность реализации выявленных векторов атак.

Подход SEQ к тестированию на проникновение базируется на основе рекомендаций международных стандартов и практик:

  • Open Web Application Security Project (OWASP);
  • Open Source Security Testing Methodology Manual (OSSTMM);
  • Web Application Security Consortium (WASC);
  • Стандарты серии ISO 27000;
  • Стандарты Center for Internet Security (CIS);
  • Common Vulnerability Scoring System (CVSS);
  • NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment.

Анализ исходного кода

Анализ кода позволяет выявить уязвимости, возникающие как по причине технических ошибок, так и в случае наличия злого умысла. Эффективное выявление текущих проблем позволит избежать искажений в анализе исходного кода и четко определить источник угроз.

Выявление проблем безопасности архитектуры

В основе аудита SEQ лежит моделирование рисков.

Исследование существующей информационной архитектуры компании выявляетcя возможные угрозы и оценивает риски для инфраструктуру; при этом SEQ широко использует и применяет международные практики и наработки. В результате заказчик получает подробный отчет с анализом и приоритезацией рисков, равно как рекомендации по уменьшению влияния этих рисков.

Социальная инженерия

Человеческий фактор влияет на все процессы в организации, в том числе и на защиту конфиденциальной безопасности. Повысить уверенность в том, что человеческий фактор не увеличит риски для информационной безопасности поможет использование техник социальной инженерии SEQ. Эти техники могут принимать форму учений, курсов безопасности для сотрудников и других комплексных проектов (например, Red Team), позволяя выработать объективную оценку уязвимости со стороны персонала.

Безопасность инфраструктуры SAP

Системы SAP® – одни из самых важных систем компании. SEQ помогает обнаруживать серьезные уязвимости раньше, чем это сделают злоумышленники, оценивая:

  • Общий уровень защищенности систем SAP;
  • Надежность реализации приложений;
  • Уровень безопасности в управлении пользователями, правами, интерфейсами, аварийными концепциями и бизнес-приложениями;
  • Уязвимости при инсталляции патчей;
  • Уровень осведомленности сотрудников о мерах безопасности SAP и знание о предотвращении злонамеренных действий в системах.

Тестирование на проникновение в соответствии с положениями Банка России № 382-П, 683-П, 684-П

В рамках пентеста SEQ проводит внешнее и внутреннее тестирование на проникновение. Длительность – 2-4 недели. В результате компания-заказчик получает отчет в соответствии с рекомендациями Приложения № 3 РС БР ИББС-2.6-2014

Red Team Assessment

Red Teaming – это использование тактики, методов и процедур (TTP – Tools Tactics and Procedures) для имитации реальной угрозы с целью обучения и измерения эффективности людей, процессов и технологий, используемых для защиты информационной среды компании.

В область аудита Red Team как правило подпадает вся инфраструктура заказчика.

Red Teaming от SEQ поможет компании получить четкое представление об уровне безопасности информационных систем, а также об их текущих возможностях в противостоянии угрозам и атакам.

Внедрение процедур безопасной разработки ПО – Secure SDL

SDL(security development lifecycle) – это методика разработки , которая позволяет обеспечить необходимый уровень безопасности разрабатываемой системы. В основе подхода SDLиспользуются практики обучения команды разработчиков, проведение анализа безопасности разрабатываемой системы и внедрение механизмов повышения безопасности.

В качестве методик внедрения цикла безопасной разработки SEQ использует Рекомендации в области стандартизации банка России РС БР ИББС-2.6-2014, MS SDL, OWASP Secure SDLC Cheat Sheet.

Почему выбирают нас

Высокий уровень экспертизы

Эксперты компании обладают международными сертификатами, которые подтверждают высокий уровень профессиональных навыков.

Сотни выполненных международных проектов.

Эксклюзивные знания

Мы используем в своих проектах как общеизвестные подходы к тестированию, так и собственные наработки нескольких сотен профессиональных экспертов, а также данные лаборатории уязвимостей.

Качество

Используем самые передовые методики для поиска как известных уязвимостей, так и уязвимостей 0-ого дня.

Качество и безопасность бизнес-процессов сертифицированы по стандартам ISO 9001 и ISO 27001.

ICO/IEC