Аудит безопасности
Аудит безопасности (SecurityAudit) - это услуга, которая позволяет повысить уровень безопасности вашего сайта и интернет приложений. Любой из владельцев веб-сайта (сайтов) может использовать данную услугу, если у него есть потребность проверки уровня безопасности своего сайта, провереи сайта на уязвимости.
Главное, чтобы владельцу веб-сайта (website) было понятно насколько важна безопасность его сайта, необходимость обеспечения его безопасности и ее периодической проверки, для чего и проводят аудит безопасности. Кроме того у владельца веб-сайта должно быть желание уделять внимание данному вопросу, увеличить безопасность сайта до надлежащего уровня. А также выделить на обеспечение безопасности сайта необходимые средства - следует понимать, что обеспечение безопасности требует затрат, которые со временем будут компенсированы и должный уровень безопасности будет приносить дополнительный доход и девиденды.
Вы можете заказать проведение аудита безопасности для одного сайта, для нескольких сайтов, или же для определенной их части - наиболее критических моментов (желательно, чтобы вы следили за обеспечением безопасности всех своих веб-сайтов). Услуга является востребованной и доступной для владельцев веб-сайтов всех уровней: небольшого сайта, среднего по размеру проекта или большиого портала. Все должны поддерживать безопасность своих веб-сайтов.
Во время проведения аудита безопасности по вашему выбору можно будет провести разные классы уязвимостей. Как те что входят в список веб-уязвимостей WebApplicationSecurityConsortium, так и каких-либо других, которые не оказались в этом списке ( также можно индивидуально работать с поиском специфических уязвимостей).
Также может быть произведена проверка следующих классов уязвимостей:
- Аутентификации (Authentication), который имеет подклассы: Brute Force, Weak Password Recovery Validation, Insufficient Authentication.
- Авторизации (Authorization), который имеет подклассы: Insufficient Session Expiration, Credential/Session Prediction, Insufficient Authorization, Session Fixation.
- Атак на клиентов (Client-side Attacks), имеющий подклассы: Cross-Site Scripting (XSS), Content Spoofing, HTTP Response Splitting и Cross-Site Request Forgery (CSRF).
- Выполнения кода (Command Execution), имеющий подклассы: CRLF Injection, Format String Attack, OS Commanding, SSI Injection, SQL Injection, XPath Injection.
- Недостаточной защиты информации (Information Disclosure), имеющий подклассы: Web Server/Application Fingerprinting, Directory Indexing, Information Leakage, Predictable Resource Location, Path Traversal.
- Логических атак (Logical Attacks), который имеет подклассы: Denial of Service, Insufficient Anti-automation, Abuse of Functionality.
Как дополнительные услуги во время проведения аудита безопасности (VulnerabilityAssessment) можно заказать такие услуги, как:
Проверка исправления найденных при проведении аудита уязвимостей. На практике, веб-разработчики зачастую производят неправильное исправление уязвимостей, таким образом их патчи можно будет обойти, соответственно важно осуществлять проверку эффективности произведенных исправлений.
Исправление уязвимостей. Если у вас самих нет возможности написать необходимые патчи, то можно заказать их написание. Каждый из разработанных патчей будет с максимальной эффективностью защищать от атак.
Также можно заказать услуги защиты от вредоносного кода:
Уведомление о инцидентах секюрити на веб-сайтах.
Удаление вредоносного кода (malware).
Защита от вредоносного кода (malware)
Кроме аудита безопасности своего сайта также можно заказать услуги защиты от malware.
Уведомление о инцидентах секюрити на веб-сайтах.
Можно заказать мониторинг сразу нескольких сайтов. Их можно будет проверить на взлом (дефейс и другие виды взлома) и инфицирование вредоносным кодом (malware). А также по прочим критериям.
Проблемы безопасности сайта могут нарушить работу сайта, привести к утечке информации, иметь пагубное влияние на его репутацию, а в случае инфицирования вредоносным кодом - привести к заражению вредоносным кодом пользователей сайта. Причем поисковые системы будут считать ваш сайт “инфицированным”, что приведет к уменьшению трафика из поисковых систем. Поэтому необходимо проверять состояние своего сайта.
Проверка должна производится в автоматическом режиме каждый час, каждые сутки, и в течении всего года. Если возникнут какие-либо секюрити проблемы с сайтом, то вас проинформируют по э-майл.
Удаление вредоносного кода (malware).
Если ваш сайт инфицирован, но вы самостоятельно не можете устранить проблему (найти, а затем удалить все части вредоносного кода со своего сайта), то вы можете заказать услугу удаления malware.
После процедуры очистки, ваш сайт снова будет безопасен для вас и любого посетителя и поисковые системы снимут метку «инфицированности» с вашего сайта (что благоприятно скажется на увеличении трафика с поисковых систем).
Цена на данную услугу будет договорной.
При проведении аудита безопасности ваших веб-приложений, наши специалисты , проведут следующие работы:
Автоматическое сканирование сайта на известные уязвимости. Это даст первичную информацию о вашем сайте, которая потребуется на следующем этапе выполнения работ, а также поможет собрать необходимые данные об основных возможных векторах атаки на ваш ресурс или веб-приложения.
Сайт или веб-приложение может тестироваться по методу «Черного ящика». Будет произведен ручной поиск уязвимостей и сделан анализ всех доступных страниц вашего сайта. Особое внимание будет уделено логике работы с разными формами, способам обработки динамического контента и взаимодействию с базами данных.
Оценка рисков. По результатам полученных данных будет произведена классификация возможных угроз и определено количество и качество выявленных рисков.
Разработка рекомендаций и составление отчета. В отчете по аудиту безопасности вашего веб-приложения, будут приведены рекомендации, которые смогут помочь вашим специаличтам устранить причины появления выявленных уязвимостей и в значительной мере повысить безопасность вашего веб-приложения.