Digital Security: безопасность веб‑приложений

Помогаем повысить уровень защищенности корпоративных приложений, решений на базе открытого и закрытого программных кодов, систем дистанционного банковского обслуживания и других веб-платформ

Находим уязвимости с помощью
ручного и автоматического
тестирования. Проверяем
безопасность и надежность кода.
Используем методологию OWASP

Часто владельцы сайтов и приложений не подозревают о существующих уязвимостях. Более того, многие не знают, что уязвимость давно эксплуатируют.

Утечка персональных данных и их продажа в даркнете — типичный сценарий успешной кибератаки. Ответственны за это в первую очередь владельцы веб-приложений, которые не позаботились о безопасности.

Услуга Digital Security помогает предотвратить финансовые и репутационные потери.

Ключевые риски

Утечка данных

«Слив» пользовательских данных — актуальная проблема для владельцев веб-приложений с многопользовательской базой. При успешной атаке киберпреступники получают всю конфиденциальную информацию, которую пользователи передают при регистрации или во время онлайн-покупок: данные паспорта, адрес, телефон, данные банковских карт и т. д. По оценке IBM, в 2020 году средний ущерб от утечек в результате кибератак составил $3,86 млн долл.

Остановка бизнеса

Многие кибератаки нацелены на то, чтобы остановить работу веб-приложения — например, интернет-магазина с высокой посещаемостью. Час простоя при этом может привести к многомиллионным убыткам. Однако злоумышленники могут вывести из строя не только приложение, но и веб-сервер — в этом случае восстановить бизнес-процессы будет сложнее.

Репутационные убытки

Любые неприятности с работой приложения — это риск для компании. Ущерб от кибератак в перспективе сложно оценить, тем более если пострадали клиенты. «Слив» непубличной, коммерчески важной для компании информации в результате атаки хакера на сайт — тоже серьезный инцидент. При худшем сценарии он может привести к закрытию бизнеса.

Почему Drozd

В нашей команде — эксперты по тестированию веб-приложений. Квалификация и опыт подтверждены сертификатами Offensive Security Certified Professional

У ИБ-команды Drozd многолетний опыт аудита безопасности различных веб-продуктов: корпоративных приложений и систем, систем дистанционного банковского обслуживания, биржевых платформ, решений и технологий на базе открытого и закрытого программных кодов.

Тестирование проводится с учетом технологий и компонентов, которые используются веб-приложением. Уязвимости анализируются как на стороне сервера (server-side), так и на стороне клиента (client-side).

Как мы работаем

01
Внешний анализ
Проводим рекогносцировку веб-приложения по публичным источникам.
02
Изучение площадки
Определяем уровень защищенности площадки размещения веб-приложения.
03
Анализ настроек
Оцениваем безопасность настроек, изучаем конфигурацию узла размещения веб-приложения.
04
Поиск уязвимостей
Выявляем технические и логические уязвимости, оцениваем их влияние на бизнес-логику веб-приложения. Имитируем взлом.
05
Рекомендации
Разрабатываем рекомендации по исправлению уязвимостей и повышению безопасности веб-приложения на уровне бизнес-процессов.
06
Отчет
Предоставляем подробный итоговый отчет.

Тарифы

Автоматизированное тестирование — 30 тыс. руб.

Простой и недорогой способ оценить безопасность приложения. Подходит для защиты от атак среднего уровня критичности с невысоким потенциалом взлома.

Ручное тестирование по методике пентестера — 100 тыс. руб.

Позволяет в полной мере оценить безопасность приложения и инфраструктуры. Подходит для защиты от атак подготовленных киберпреступников. Пентестер использует в том числе инструменты из арсенала хакеров.

Тестирование больших веб-проектов — от 170 тыс. руб.

Оценка безопасности приложения на всех уровнях. Привлекается команда пентетстеров, которая использует полный набор инструментов для автоматического и ручного тестирования. Также анализируется безопасность кода приложения.

Плюсы Digital Security

  • Работаем в соответствии с лучшими мировыми практиками и стандартами по информационной безопасности: OWASP, NIST SP 800-xx, ISO 2700x
  • Вы получаете независимую экспертную оценку защищенности веб-приложения и инфраструктуры
  • Используем индивидуальный подход с учетом особенностей ваших бизнес-процессов
  • Согласовываем методику, порядок работ, векторы «атак»

Запросить консультацию

Санкт-Петербург, Литейный проспект 26,
БЦ «Преображенский двор», офис 523

Прикрепить файл