Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Анализ защищённости веб-приложений

    По результатам исследования компании Positive Technologies 89% корпоративных информационных систем содержат уязвимости, связанные с ошибками в коде веб-приложений. Несмотря на это, при их разработке зачастую не учитываются требования и рекомендации по обеспечению информационной безопасности (ИБ), что впоследствии может привести к нарушению штатного режима работы, раскрытию или несанкционированному изменению конфиденциальной информации компании и данных её клиентов и проникновению во внутреннюю корпоративную сеть, что приведёт к непосредственным финансовым потерям организации.

    Аналитические отчёты международных исследовательских компаний подтверждают соответствующие риски ИБ, показывая, что недочёты в защищённости веб-приложений — источник уязвимостей внешнего сетевого периметра организации и распространённый путь компрометации КИС. Поэтому вне зависимости от того, кем, когда и насколько качественно с точки зрения вопросов обеспечения ИБ разрабатывались веб-приложения, необходимо проводить регулярную оценку защищённости веб-приложений компании — как планируемых, так и уже введённых в эксплуатацию.

    Практический опыт ЭЛВИС-ПЛЮС позволяет анализировать даже сложные веб-приложения и предоставлять рекомендации по устранению выявленных уязвимостей для минимизации угроз ИБ и повышения уровня защищённости проверяемых веб-приложений.

    Заказчики услуг ЭЛВИС-ПЛЮС по анализу защищённости веб-приложений (в том числе в рамках интеграционных проектов): ФСК ЕЭС, АКБ «РОССИЙСКИЙ КАПИТАЛ», КБ «СДМ-БАНК», Базэл Аэро и другие.

    Аудиторы ЭЛВИС-ПЛЮС выполняют анализ защищённости веб-приложений на основе одного из трёх уровней начальной осведомлённости о структуре и функционировании веб-приложений.

    Наименование работы Уровень осведомлённости
    Анализ защищённости веб-приложений путём внешних проверок (автоматизированных и ручных). Black box или Gray box в общепринятой терминологии.
    Black box — метод тестирования «чёрного ящика», заключающийся в проведении работ без предварительного получения информации об исследуемом объекте (веб-приложении).
    Gray box — метод тестирования «серого ящика», заключающийся в проведении работ с предварительным получением выборочной информации об исследуемом веб-приложении, например, пользовательских реквизитов доступа или информации об архитектуре.
    Анализ защищённости веб-приложений путём внешних проверок (автоматизированных и ручных) и анализа исходного кода. Gray box или White box в общепринятой терминологии.
    White box — метод тестирования «белого ящика», заключающийся в проведении работ с предварительным получением полной информации об исследуемом веб-приложении, включая исходные коды.

    Конкретный уровень начальной осведомлённости определяется на этапе согласования Технического задания.

    В ходе работ по анализу защищённости веб-приложений аудиторы используют общепринятые методики: Open Web Application Security Project Testing Guide, Open Source Security Testing Methodology Manual, материалы Web Application Security Consortium.

    Анализу подвергаются все составляющие веб-приложений, в том числе:
    • архитектура и бизнес-логика работы веб-приложений, в том числе серверные и клиентские компоненты (front-end, back-end и серверы-посредники) и их сетевое взаимодействие;
    • настройки компонентов, обеспечивающих работу веб-приложений (конфигурация ОС, конфигурация ПО веб-сервера, файлы конфигурации вспомогательных подсистем);
    • используемые механизмы аутентификации, авторизации и разграничения доступа пользователей веб-приложений;
    • используемые механизмы проверки и обработки входных данных и пр.
    Отчёт по результатам анализа защищённости веб-приложений содержит:
    • Результаты проведённого анализа, в том числе инструментальных и ручных проверок.
    • Описание выявленных уязвимостей, включая общую оценку их критичности в зависимости от возможностей использования и последствий реализации.
    • Выводы о текущем состоянии защищённости веб-приложений.
    • Рекомендации по устранению выявленных недостатков.
    Результаты анализа
    • Оценка реальной защищённости веб-приложений.
    • Оценка необходимости и достаточности мер, принятых по обеспечению ИБ веб-приложений.
    • Своевременное выявление угроз ИБ, связанных с наличием уязвимостей в веб-приложениях.
    • Принятие мер по устранению выявленных уязвимостей для повышения степени защищённости веб-приложений компании.