Анализ уязвимостей
Анализ и проверка устойчивости системы к атакам
Сервис сканирования информационных систем на наличие уязвимых компонентов и ошибок в конфигурациях системного и прикладного ПО. Комплексный анализ уязвимостей информационной системы помогает заранее закрыть лазейки, которыми может воспользоваться злоумышленник.
Выполняем сканирование информационного ресурса (сервера, СУБД, рабочие места пользователей) с использованием сканера уязвимостей RedCheck, баз уязвимостей OVALdb и БДУ ФСТЭК России, а также с применением соответствующих профилей настройки безопасности клиентского информационного ресурса.
Сценарии применения:
- Сканирование информационных систем на наличие уязвимостей
- Анализ конфигурации системы, в том числе и на соответствие стандартов информационной безопасности
- Проверка устойчивости к реальным атакам в режиме тестирования на проникновение
Сканирование на наличие уязвимостей
Анализ информационной системы на наличие неустановленных критических обновлений безопасности, слабой парольной политики и ошибок в конфигурации ПО. Контроль наличия уязвимого или неподдерживаемого программного обеспечения и нарушений выбранных политик безопасности. Если хотите разобраться в теме глубже, в блоге мы объясняем, что такое уязвимость в информационной безопасности и откуда она берётся.
Проводим следующие виды аудита
- Аудит уязвимости
- Аудит в режиме «пентест»
- Аудит конфигурации сетевого оборудования
- Аудит конфигурации среды виртуализации
- Аудит СУБД, серверов приложений
- Аудит безопасности АСУ ТП
Поиск уязвимостей осуществляется с использованием базы сигнатур открытого репозитория OVALdb. База сигнатур ежедневно обновляется и синхронизируется с базой NVD (National Vulnerability Database).
Анализ уязвимостей информационной системы осуществляется с использованием автоматизированных сканеров и крупнейших баз данных CVE.
Аудит в режиме «пентест»
Аудит в режиме пентеста осуществляется в режиме чёрного ящика с минимальными знаниями об ИС и отсутствием привилегий пользователя. В процессе определяются параметры сканируемого сервера, ОП, порты, протоколы, наличие сервисов. По различным признакам определяются версии установленного ПО и уязвимости для сканированного хоста с использованием базы OVALdb. Этот режим имитирует базовые действия атакующего; для углублённой ручной проверки мы предлагаем тестирование на проникновение.
Аудит конфигурации среды виртуализации
Выполняем комплексную оценку безопасности платформ виртуализации, включая:
- аудит конфигурации серверов виртуализации и управления
- определение уязвимости и неустановленных критических обновлений
- контроль соответствия настроек рекомендациям вендора и Security Hardening
Аудит серверов приложений
В современных ИС сервера приложений имеют огромное количество параметров и настроек, от которых зависит безопасность приложений. Для эффективного контроля безопасной конфигурации сервера предлагаем использовать профили конфигурации безопасности серверов приложений таких как Apache, Nginx, Microsoft IIS, Microsoft .NET Framework.
Это позволит снизить требования к количеству персонала и квалификации системного администратора и снизит влияние человеческого фактора на защищённость ИС.
Доступны следующие профили конфигурации серверов приложений:
- Веб-сервер Apache, nginx
- Сервер приложений Apache Tomcat
- Веб сервер IIS и .NET
- Сервисы Linux
- PHP
- Remote Acces Checklist
Аудит СУБД
Практически в любой информационной системе СУБД содержит наиболее чувствительную информацию, поэтому важен своевременный контроль безопасности настроек, закрытия уязвимостей, установки критических обновлений.
В рамках сервиса аудита уязвимости СУБД мы осуществляем сканирование с использованием профилей конфигурации в формате SCAP и на соответствие рекомендациям вендоров.
Этапы предоставления услуги:
Контроль конфигураций и оценка соответствия политикам безопасности
Сканирование ИС на соответствие требованиям стандартов безопасности, составление профиля настроек и контроль соответствия конфигурации серверов выбранному профилю безопасности. Данные работы могут быть использованы при аттестации объектов информатизации.
В перечень конфигураций для сканирования включены более 1000 программ, включая ПО MS Windows, Linux, СУБД MS SQL, Oracle Database, MySQL, PostgreSQL; средства виртуализации HyperV, VMware, Xen, сервера приложений u Web-сервера. Конфигурации безопасности, включенные в базовую версию сканера.Контроль конфигураций осуществляется на соответствие рекомендаций вендоров и лучших практик. Возможность составление индивидуальных профилей и настроек для клиента
- Загрузка профилей и настроек в формате SCAP
- По итогам выдается протокол по соответствию политике и рекомендации по настройке и устранению и соответствию несоответствий.
Репозиторий OVALdb
При сканировании используется один из крупнейших репозиториев контента безопасности – OVALdb, содержащий параметры конфигурации, обновления безопасности, критерии критичности и определения уязвимости с описанием и рекомендациями по устранению. Также используются базы данных уязвимостей CVE и базы уязвимостей БДУ ФСТЭК России.
Описание контента репозитория основано на языках, входящих в SCAP, а для описания уязвимостей используется язык OVAL (Open Vulnerability and Assessment Language). Содержимое репозитория синхронизируется с международными банками контента безопасности, такими как CIS, MITRE, NIST и другими. OVALdb обладает статусами "OVAL Adopter", "CVE Compatible" и "joval Compatible".
Типы сканирования
Анализ уязвимости информационной системы. Комплексная проверка всей инфраструктуры — веб-приложений, сетевых сервисов и конфигураций серверов. Автоматизированные сканеры сверяют ваши узлы с крупнейшими базами данных CVE, выявляют известные уязвимости и ошибки настройки, а вы получаете приоритизированный отчёт с рекомендациями по устранению.
Аудит безопасности сети. Проверяем сетевой периметр и внутренние сегменты: открытые порты, небезопасные протоколы, правила межсетевого экранирования. Аудит безопасности сети показывает, какие сервисы видны извне и где злоумышленник сможет закрепиться при компрометации одного из хостов.
Пентест сайта. Там, где автоматического сканирования недостаточно, подключается ручная имитация атаки. Пентест сайта проверяет формы, авторизацию, API и бизнес-логику на устойчивость к SQL-инъекциям, XSS и обходу аутентификации. Подробнее об услуге — на странице тестирования на проникновение.
Сканирование на соответствие ФСТЭК. Оценка инфраструктуры на соответствие требованиям регулятора. Сканирование на соответствие ФСТЭК фиксирует расхождения с действующими методиками и приказами — это особенно важно для государственных информационных систем и операторов персональных данных.
Проверка серверов на уязвимости. Отдельный контур для серверного парка: ОС, службы, СУБД и middleware. Проверка серверов на уязвимости контролирует версии ПО, наличие критических обновлений и корректность прав доступа.
Что проверяем
Сервис закрывает основные направления, по которым чаще всего происходят инциденты:
- Информационные системы целиком — анализ уязвимости информационной системы охватывает связку «приложение + сеть + конфигурация», а не отдельные компоненты в отрыве друг от друга.
- Сетевую инфраструктуру — аудит безопасности сети выявляет лишние открытые сервисы, устаревшие протоколы и ошибки сегментации.
- Веб-приложения — пентест сайта показывает, как ресурс поведёт себя под реальной нагрузкой со стороны атакующего.
- Соответствие требованиям — сканирование на соответствие ФСТЭК помогает подготовиться к проверкам и аттестации.
- Серверы и хосты — проверка серверов на уязвимости держит под контролем актуальность патчей и настройки доступа.
По итогам каждой проверки вы получаете отчёт с перечнем находок, оценкой критичности по CVE и конкретными шагами по устранению. Тот же подход мы применяем к собственной инфраструктуре: рассказываем, как выстраиваем безопасность облака, и приглашаем исследователей искать уязвимости на наших ресурсах в рамках программы Bug Bounty.
Основные преимущества
Отзывы
Компания ООО «ДорогаПро» благодарит Cloud4Y за организацию виртуального хостинга веб-сервисов компании.
С компанией Cloud4Y нас связывают годы плодотворного сотрудничества. Не припомню случая, когда компания или менеджеры повели себя непрофессионально. Высокий уровень выполнения работ, оперативная реакция технической поддержки, большой выбор сервисов, гибкий подход и доступные цены.
Мы перешли на виртуальную инфраструктуру в рамках стратегии цифровизации, которая предполагает использование гибких, масштабируемых, надёжных и экономичных решений. Инженерно-технические решения провайдера позволили бесшовно мигрировать в «облако», сохранив непрерывность наших бизнес-процессов. Все дальнейшие работы по настройке и обслуживанию инфраструктуры специалисты Cloud4Y выполнялись быстро и качественно.
У нас была задача — вынести почтовые сервера на внешнее обслуживание, и мы её успешно решили с помощью ООО «Флекс» (Cloud4Y). Процесс сотрудничества был приятным, специалисты провайдера стремились во всём помочь, а техническая поддержка не оставляла нас наедине с проблемами. Если появится новая инфраструктурная задача, в первую очередь обратимся к своему проверенному провайдеру.
В Cloud4Y и команде мы видим надежного партнера. Компания развивается, чтобы предвидеть и удовлетворить растущие потребности рынка в эпоху, когда автоматизация и технологизация бизнеса приравниваются к одной из главных составляющих успеха.
Наша компания арендует сервера в ООО «Флекс» с 2015 года. Мы полностью удовлетворены уровнем сервиса, качеством и надёжностью предоставляемых услуг. Персональный подход, быстрая реакция техподдержки, удобная форма оплаты, предоставление серверов в кратчайшие сроки — всё это на высочайшем уровне. Мы рекомендуем ООО «Флекс» всем нашим партнёрам.
Хочется выразить благодарность компании Cloud4Y за помощь в развертывании инфраструктуры проекта. Пока что все потребности удается реализовывать. Также нужно отметить службу поддержки, всегда на связи и оперативно помогает в решении вопросов, даже когда проблема была на нашей стороне. Надеюсь, сотрудничество будет столь же плодотворным и дальше.
В 2018 году наша компания приняла решение сотрудничать с облачным провайдером для развертывания почтового сервера и в качестве поставщика услуг была выбрана компания Cloud4Y. Специалисты Cloud4Y осуществили всю настройку и перенос почтовых ящиков самостоятельно. Такой подход к организации корпоративной почты позволил нам обеспечить качественную и удобную инфраструктуру для сотрудников и избежать капитальных затрат. За время использования сервиса проблем с производительностью и простоев не возникло.
В работе мы ценим честность. Хотя в течение срока совместной работы и случались сложности, мы проходили через них, положившись на профессионализм и человеческие качества команды провайдера.
Мы благодарны Cloud4Y за то, что мы нашли надежного поставщика облачных услуг и отличного партнера. Наше сотрудничество длится уже не первый год, и с каждым годом мы наращиваем объем потребляемых услуг.
Хочется отметить комфортную схему расчетов, оперативную пред - и постпродажную поддержку, выгодные опциональные услуги и оперативную работу технической поддержки.
FAQ
- Базы уязвимостей регулярно обновляются и включают в себя последние изменения в том числе в БДУ ФСТЭК
- Экспертиза: Мы не кидаем вам 1000 строчек лога, а даем четкий вердикт и план действий.
- Юридическая сила: Наши протоколы готовы для сдачи отчетности по 152-ФЗ.
- Сеть: Роутеры, файрволы, коммутаторы.
- Хосты и ОС: Windows Server, Linux (CentOS, Debian, Ubuntu, Astra Linux и др.), проверка на отсутствие критических заплаток.
- СУБД и приложения: MS SQL, Oracle, MySQL, PostgreSQL, серверы 1С.
- Веб-приложения: Проверка на SQLi, XSS, CSRF.
