Анализ уязвимостей

Анализ уязвимостей информационной системы с использованием автоматизированных сканеров и крупнейших баз данных CVE.
Анализ уязвимостей информационной системы с использованием автоматизированных сканеров и крупнейших баз данных CVE.

Анализ и проверка устойчивости системы к атакам

Сервис сканирования информационных систем на наличие уязвимых компонентов и ошибок в конфигурациях системного и прикладного ПО. Комплексный анализ уязвимостей информационной системы помогает заранее закрыть лазейки, которыми может воспользоваться злоумышленник.

Выполняем сканирование информационного ресурса (сервера, СУБД, рабочие места пользователей) с использованием сканера уязвимостей RedCheck, баз уязвимостей OVALdb и БДУ ФСТЭК России, а также с применением соответствующих профилей настройки безопасности клиентского информационного ресурса.

Сценарии применения:

  • Сканирование информационных систем на наличие уязвимостей
  • Анализ конфигурации системы, в том числе и на соответствие стандартов информационной безопасности
  • Проверка устойчивости к реальным атакам в режиме тестирования на проникновение
Название услуги
Сканирование уязвимостей
Стоимость услуги
от 6000 р. с НДС (1 ip-адрес или 1 ВМ)

Сканирование на наличие уязвимостей


Анализ информационной системы на наличие неустановленных критических обновлений безопасности, слабой парольной политики и ошибок в конфигурации ПО. Контроль наличия уязвимого или неподдерживаемого программного обеспечения и нарушений выбранных политик безопасности. Если хотите разобраться в теме глубже, в блоге мы объясняем, что такое уязвимость в информационной безопасности и откуда она берётся.

Проводим следующие виды аудита


  • Аудит уязвимости
  • Аудит в режиме «пентест»
  • Аудит конфигурации сетевого оборудования
  • Аудит конфигурации среды виртуализации
  • Аудит СУБД, серверов приложений
  • Аудит безопасности АСУ ТП

Поиск уязвимостей осуществляется с использованием базы сигнатур открытого репозитория OVALdb. База сигнатур ежедневно обновляется и синхронизируется с базой NVD (National Vulnerability Database).

Анализ уязвимостей информационной системы осуществляется с использованием автоматизированных сканеров и крупнейших баз данных CVE.

Аудит в режиме «пентест»

Аудит в режиме пентеста осуществляется в режиме чёрного ящика с минимальными знаниями об ИС и отсутствием привилегий пользователя. В процессе определяются параметры сканируемого сервера, ОП, порты, протоколы, наличие сервисов. По различным признакам определяются версии установленного ПО и уязвимости для сканированного хоста с использованием базы OVALdb. Этот режим имитирует базовые действия атакующего; для углублённой ручной проверки мы предлагаем тестирование на проникновение.


Аудит конфигурации среды виртуализации


Выполняем комплексную оценку безопасности платформ виртуализации, включая:

  • аудит конфигурации серверов виртуализации и управления
  • определение уязвимости и неустановленных критических обновлений
  • контроль соответствия настроек рекомендациям вендора и Security Hardening

Аудит серверов приложений


В современных ИС сервера приложений имеют огромное количество параметров и настроек, от которых зависит безопасность приложений. Для эффективного контроля безопасной конфигурации сервера предлагаем использовать профили конфигурации безопасности серверов приложений таких как Apache, Nginx, Microsoft IIS, Microsoft .NET Framework.

Это позволит снизить требования к количеству персонала и квалификации системного администратора и снизит влияние человеческого фактора на защищённость ИС.

Доступны следующие профили конфигурации серверов приложений:

  • Веб-сервер Apache, nginx
  • Сервер приложений Apache Tomcat
  • Веб сервер IIS и .NET
  • Сервисы Linux
  • PHP
  • Remote Acces Checklist

Аудит СУБД


Практически в любой информационной системе СУБД содержит наиболее чувствительную информацию, поэтому важен своевременный контроль безопасности настроек, закрытия уязвимостей, установки критических обновлений.

В рамках сервиса аудита уязвимости СУБД мы осуществляем сканирование с использованием профилей конфигурации в формате SCAP и на соответствие рекомендациям вендоров.



Этапы предоставления услуги:


1
Согласование объёма сканирования, способов доступа в систему и используемых методик
2
Выполнение сканирования, поиск и анализ уязвимостей
3
Выдача протокола сканирования уязвимостей с подробным описанием по каждой уязвимости, рекомендациями на устранение.


Контроль конфигураций и оценка соответствия политикам безопасности


Сканирование ИС на соответствие требованиям стандартов безопасности, составление профиля настроек и контроль соответствия конфигурации серверов выбранному профилю безопасности. Данные работы могут быть использованы при аттестации объектов информатизации.


В перечень конфигураций для сканирования включены более 1000 программ, включая ПО MS Windows, Linux, СУБД MS SQL, Oracle Database, MySQL, PostgreSQL; средства виртуализации HyperV, VMware, Xen, сервера приложений u Web-сервера. Конфигурации безопасности, включенные в базовую версию сканера.Контроль конфигураций осуществляется на соответствие рекомендаций вендоров и лучших практик. Возможность составление индивидуальных профилей и настроек для клиента

  • Загрузка профилей и настроек в формате SCAP
  • По итогам выдается протокол по соответствию политике и рекомендации по настройке и устранению и соответствию несоответствий.

Репозиторий OVALdb

При сканировании используется один из крупнейших репозиториев контента безопасности – OVALdb, содержащий параметры конфигурации, обновления безопасности, критерии критичности и определения уязвимости с описанием и рекомендациями по устранению. Также используются базы данных уязвимостей CVE и базы уязвимостей БДУ ФСТЭК России.

Описание контента репозитория основано на языках, входящих в SCAP, а для описания уязвимостей используется язык OVAL (Open Vulnerability and Assessment Language). Содержимое репозитория синхронизируется с международными банками контента безопасности, такими как CIS, MITRE, NIST и другими. OVALdb обладает статусами "OVAL Adopter", "CVE Compatible" и "joval Compatible".

Типы сканирования

Анализ уязвимости информационной системы. Комплексная проверка всей инфраструктуры — веб-приложений, сетевых сервисов и конфигураций серверов. Автоматизированные сканеры сверяют ваши узлы с крупнейшими базами данных CVE, выявляют известные уязвимости и ошибки настройки, а вы получаете приоритизированный отчёт с рекомендациями по устранению.

Аудит безопасности сети. Проверяем сетевой периметр и внутренние сегменты: открытые порты, небезопасные протоколы, правила межсетевого экранирования. Аудит безопасности сети показывает, какие сервисы видны извне и где злоумышленник сможет закрепиться при компрометации одного из хостов.

Пентест сайта. Там, где автоматического сканирования недостаточно, подключается ручная имитация атаки. Пентест сайта проверяет формы, авторизацию, API и бизнес-логику на устойчивость к SQL-инъекциям, XSS и обходу аутентификации. Подробнее об услуге — на странице тестирования на проникновение.

Сканирование на соответствие ФСТЭК. Оценка инфраструктуры на соответствие требованиям регулятора. Сканирование на соответствие ФСТЭК фиксирует расхождения с действующими методиками и приказами — это особенно важно для государственных информационных систем и операторов персональных данных.

Проверка серверов на уязвимости. Отдельный контур для серверного парка: ОС, службы, СУБД и middleware. Проверка серверов на уязвимости контролирует версии ПО, наличие критических обновлений и корректность прав доступа.

Что проверяем

Сервис закрывает основные направления, по которым чаще всего происходят инциденты:

  • Информационные системы целиком — анализ уязвимости информационной системы охватывает связку «приложение + сеть + конфигурация», а не отдельные компоненты в отрыве друг от друга.
  • Сетевую инфраструктуру — аудит безопасности сети выявляет лишние открытые сервисы, устаревшие протоколы и ошибки сегментации.
  • Веб-приложения — пентест сайта показывает, как ресурс поведёт себя под реальной нагрузкой со стороны атакующего.
  • Соответствие требованиям — сканирование на соответствие ФСТЭК помогает подготовиться к проверкам и аттестации.
  • Серверы и хосты — проверка серверов на уязвимости держит под контролем актуальность патчей и настройки доступа.

По итогам каждой проверки вы получаете отчёт с перечнем находок, оценкой критичности по CVE и конкретными шагами по устранению. Тот же подход мы применяем к собственной инфраструктуре: рассказываем, как выстраиваем безопасность облака, и приглашаем исследователей искать уязвимости на наших ресурсах в рамках программы Bug Bounty.

Основные преимущества

Автоматическое индексирование и обнаружение ссылок
Сложный механизм сканирования включает в себя целый ряд методов для сканирования web-приложений. Данный механизм позволяет проиндексировать до 5000 ссылок в каждом ресурсе.
Идентификация уязвимостей web-приложений
Сканирование web-приложений позволяет определить уровень безопасности, идентифицировать найденные уязвимости, «чувствительное содержание» и проанализировать собранные данные. Первоначально данный механизм ищет слабые места, такие как XSS, SQL-инъекции, источник раскрытия информации и обхода каталога.
Анализ угроз web-приложений с помощью построения отчетов
Механизм отчетов в WEBGuard WAS позволяет построить различные виды отчётов с найденными уязвимостями и методами их устранения с сортировкой по группам или по web-приложениям. Имеются отчёты типа ScoreCard и Interactive.
Сканирование с аутентификацией
Наличие имени пользователя и пароля позволяет автоматически проиндексировать HTML формы с аутентификацией. Множественные методы сканирования с аутентификацией поддерживаются для каждого сканирования. В том числе Form, HTTP Basic, NTLM и Digest.
Черный/Белый список
При помощи данных списков можно контролировать, какая часть web-приложения будет просканирована. Чёрный список предотвращает сканер от посещения определённых ссылок, в то время как Белый список обязывает сканер посетить те ссылки, которые содержатся в этом списке.
Поиск «чувствительного содержания»
Данная возможность позволяет находить в HTML формах содержание типа номеров социального страхования, номер кредитных карт, а также строк, определённых пользователем.

Отзывы

Платёжный Центр

За время сотрудничества с компанией мы не испытывали проблем ни с производительностью, ни с отказами в работе сервисов. Выделенные ресурсы всегда соответствуют заявленным в договоре, что является большим преимуществом!

Более того, все обращения в техподдержку рассматривались очень оперативно. Специалисты оставались на связи до полного разрешения вопроса.

Компания «Платёжный Центр» выражает  благодарность и надеется на дальнейшее плодотворное сотрудничество.

П. А. Плохута IT-директор
ГК «Афинара — ПТ»

У нас была задача — вынести почтовые сервера на внешнее обслуживание, и мы её успешно решили с помощью ООО «Флекс» (Cloud4Y). Процесс сотрудничества был приятным, специалисты провайдера стремились во всём помочь, а техническая поддержка не оставляла нас наедине с проблемами. Если появится новая инфраструктурная задача, в первую очередь обратимся к своему проверенному провайдеру.

Е. В. Полянчиков Генеральный директор
Федеральное агентство по делам молодёжи (Росмолодёжь)

Федеральное агентство по делам молодёжи (Росмолодёжь) — федеральный орган исполнительной власти в России, осуществляющий функции по оказанию государственных услуг и управлению государственным имуществом в сфере государственной молодёжной политики, реализации мероприятий, направленных на обеспечение здорового образа жизни молодёжи, нравственного и патриотического воспитания и на содействие реализации молодёжью своих профессиональных возможностей.

Благодарим ООО "Флекс" (Cloud4Y) за многолетнее сотрудничество в области информационных технологий и высокий профессионализм.

К. Д. Разуваева Руководитель ФАДМ
Сатурн-Юг

Выражаем искреннюю благодарность нашему партнёру ООО «Флекс» за предоставленные вычислительные мощности, за высокий уровень услуг, профессионализм и просто человеческое отношение. Ваша команда оперативно отвечает на любые вопросы и решает поставленные задачи самым доброжелательным образом, ответственно относится к исполнению своих обязанностей и всегда идёт навстречу. Мы рады найти такого надёжного и добросовестного партнёра в России и надеемся на продолжение успешного сотрудничества. Большое вам спасибо!

Viasat
Когда компания почувствовала необходимость в развертывании такого же удобного и надежного облачного решения для организации корпоративной почты. Cloud4Y развернул для нас почтовый сервер, что позволило оптимизировать взаимодействие между членами нашей команды.
В Cloud4Y и команде мы видим надежного партнера. Компания развивается, чтобы предвидеть и удовлетворить растущие потребности рынка в эпоху, когда автоматизация и технологизация бизнеса приравниваются к одной из главных составляющих успеха.
Виасат Глобал
Микрокредитная компания «Главный займ»
Выбрав Cloud4Y, нам не нужно беспокоиться об обновлениях, патчах безопасности и настройках конфигурации. Облако просто использовать и такой подход экономичен, так как помогает компании снизить затраты на ИТ из-за меньшего количества специалистов, которые необходимы в штате организации. Мы увеличили производительность, возможно, по лучшей цене на рынке и получили отличную рентабельность инвестиций.
Е. С. Чернышов Генеральный директор
ООО «ДорогаПро»

Компания ООО «ДорогаПро» благодарит Cloud4Y за организацию виртуального хостинга веб-сервисов компании.

С компанией Cloud4Y нас связывают годы плодотворного сотрудничества. Не припомню случая, когда компания или менеджеры повели себя непрофессионально. Высокий уровень выполнения работ, оперативная реакция технической поддержки, большой выбор сервисов, гибкий подход и доступные цены.

А. В. Хабаров Генеральный директор
МикроАрт

ООО «МикроАрт», используя облачный отказоустойчивый сервер на Linux для сбора и передачи данных с температурных датчиков, мы гарантировали стабильную работу собственного сервиса облачной телеметрии с Real-time аналитикой.

А. В. Джинчарадзе Директор
ДАТА 3 Консалтинг

Компания «ДАТА 3 Консалтинг» реализует ИТ-проекты для корпоративных клиентов в различных отраслях. Наши решения — это инструменты, которые мы применяем, чтобы помочь клиентам компании управлять данными эффективно.

Облачный провайдер Cloud4Y (ООО «Флекс») предоставил «ДАТА 3 Консалтинг» удобную и легко масштабируемую ИТ-инфраструктуру в облаке, которая нас полностью удовлетворяет. Потреблением ресурсов можно управлять прямо из личного кабинета — зашёл, создал виртуальную машину, настроил ресурсы, потребил, выключил. Техническая поддержка также реагирует быстро, профессионально помогая решать все возникающие вопросы.

И. А. Губанов Генеральный директор
Роснефть-Лояльность
Услуги по предоставлению отказоустойчивой облачной инфраструктуры для CRM системы и аналитического ПО оказываются качественно и в соответствии с действующим договором.
Савицкая Н. А. Генеральный директор ООО "РН-ЛОЯЛЬНОСТЬ"

FAQ

Не повлияет ли сканирование на стабильность работы моих серверов и сайтов?
Нет, это одна из главных наших забот. Используемый нами сканер RedCheck работает интеллектуально. Во-первых, мы согласовываем объем и время сканирования, чтобы проводить "тяжелые" проверки в часы наименьшей нагрузки. Во-вторых, механизмы сканера построены на безопасных методах зондирования, которые имитируют действия злоумышленника, но не эксплуатируют уязвимость до отказа системы. Риск "положить" сервис сведен к нулю. Для критичных систем мы предлагаем режим "пассивного сканирования" без отправки запросов, нарушающих работу.

В чем смысл покупать ваш сервис, если можно поставить бесплатный OpenVAS или пробную версию Nessus?
Это вопрос стоимости владения и компетенции. Бесплатные сканеры (как OpenVAS) требуют выделенного сервера, его настройки, обновления баз и, самое главное - квалифицированного специалиста, который интерпретирует тысячи строк отчета. Вы заплатите зарплату такого сисадмина за месяц больше, чем стоит наш годовой сервис. Плюс, наш сервис - это не просто "железо со сканером", это:
  • Базы уязвимостей регулярно обновляются и включают в себя последние изменения в том числе в БДУ ФСТЭК
  • Экспертиза: Мы не кидаем вам 1000 строчек лога, а даем четкий вердикт и план действий.
  • Юридическая сила: Наши протоколы готовы для сдачи отчетности по 152-ФЗ.

Наши системы должны соответствовать 152-ФЗ и Приказам ФСТЭК. Принимают ли ваши отчеты регуляторы?
Для предоставления сервиса мы используем ПО, имеющее сертификат ФСТЭК России, и, как следствие, значимость для регуляторов. Наши клиенты успешно проходят аттестацию и сдают отчетность с этими протоколами.

Вы просто найдете уязвимости и отдадите отчет, или поможете их закрыть?
Основная ценность нашего сервиса — это снижение риска. Поэтому отчет мы даем не ради галочки, а как руководство к действию. В нем описан каждый "факт риска", его критичность (CVSS) и, самое важное - конкретные рекомендации по устранению: какую версию ПО поставить, какую директиву в конфигурации исправить. Более того, после того как вы внесете изменения, мы можем провести повторное сканирование и подтвердить, что уязвимость действительно закрыта. Мы сопровождаем вас до результата.

Вы сканируете только веб-сайты или внутреннюю сеть тоже? У нас сложная инфраструктура (Active Directory, 1С, VMware).
Мы можем сканировать как внешний периметр, так и инфраструктуру изнутри с целью поиска незакрытых уязвимостей.
  • Сеть: Роутеры, файрволы, коммутаторы.
  • Хосты и ОС: Windows Server, Linux (CentOS, Debian, Ubuntu, Astra Linux и др.), проверка на отсутствие критических заплаток.
  • СУБД и приложения: MS SQL, Oracle, MySQL, PostgreSQL, серверы 1С.
  • Веб-приложения: Проверка на SQLi, XSS, CSRF.
Словом, мы видим всю вашу инфраструктуру там, где злоумышленник ищет путь к взлому.

Как часто нужно проводить сканирование?
Золотой стандарт безопасности - еженедельно или после каждого серьезного изменения в инфраструктуре (например, обновления ПО, смены конфигурации). Новые уязвимости (CVE) появляются каждый день. Неделя - это максимальный срок, за который атакующие начинают сканировать интернет на предмет свежеобнаруженной "дыры" (как в случае с уязвимостями Log4j или ProxyLogon). Наш сервис позволяет настроить регулярные автоматические проверки


Если Вы не нашли ответ на свой вопрос, перейдите в нашу базу знаний, задайте его нашим консультантам на сайте, используя онлайн-чат, или напишите запрос в поддержку, используя тикет систему.
Остались вопросы?
Оставьте заявку и наши сотрудники свяжутся с вами.
А также мы предоставим вам 30 дней бесплатного доступа
Вверх!