Сканер уязвимостей

Анализ уязвимостей информационной системы с использованием автоматизированных сканеров и крупнейших баз данных CVE.

Сканирование уязвимостей информационной системы

Сервис сканирования информационных систем на наличие уязвимых компонентов и ошибок в конфигурациях системного и прикладного ПО.

Выполняем сканирование информационного ресурса (сервера, СУБД, рабочие места пользователей) с использованием сканера уязвимостей RedCheck, баз уязвимостей OVALdb и БДУ ФСТЭК России, а также с применением соответствующих профилей настройки безопасности клиентского информационного ресурса.

Сценарии применения:

  • Сканирование информационных систем на наличие уязвимостей
  • Анализ конфигурации системы, в том числе и на соответствие стандартов информационной безопасности
Название услуги
Сканер уязвимостей
Стоимость услуги
По запросу

Сканирование на наличие уязвимостей


Анализ информационной системы на наличие неустановленных критических обновлений безопасности, слабой парольной политики и ошибок в конфигурации ПО. Контроль наличия уязвимого или неподдерживаемого программного обеспечения и нарушений выбранных политик безопасности.

Проводим следующие виды аудита


  • Аудит уязвимости
  • Аудит в режиме «пентест»
  • Аудит конфигурации сетевого оборудования
  • Аудит конфигурации среды виртуализации
  • Аудит СУБД, серверов приложений
  • Аудит безопасности АСУ ТП

Поиск уязвимостей осуществляется с использованием базы сигнатур открытого репозитория OVALdb. База сигнатур ежедневно обновляется и синхронизируется с базой NVD (National Vulnerability Database).

Анализ уязвимостей информационной системы осуществляется с использованием автоматизированных сканеров и крупнейших баз данных CVE.


Аудит в режиме «пентест»


Аудит в режиме пентеста осуществляется в режиме чёрного ящика с миннимальными знаниями об ИС и отсутствием привилегий пользователя. В процессе определяются параметры сканируемого сервера, ОП, порты, протоколы, наличие сервисов. По различным признакам определяются версии установленного ПО и уязвимости для сканированного хоста с использованием базы OVALdb.


Аудит конфигурации среды виртуализации


Выполняем комплексную оценку безопасности платформ виртуализации, включая:

  • аудит конфигурации серверов виртуализации и управления
  • определение уязвимости и неустановленных критических обновлений
  • контроль соответствия настроек рекомендациям вендора и Security Hardening

Аудит серверов приложений


В современных ИС сервера приложений имеют огромное количество параметров и настроек, от которых зависит безопасность приложений. Для эффективного контроля безопасной конфигурации сервера предлагаем использовать профили конфигурации безопасности серверов приложений таких как Apache, Nginx, Microsoft IIS, Microsoft .NET Framework.

Это позволит снизить требования к количеству персонала и квалификации системного администратора и снизит влияние человеческого фактора на защищённость ИС.

Доступны следующие профили конфигурации серверов приложений:

  • Веб-сервер Apache, nginx
  • Сервер приложений Apache Tomcat
  • Веб сервер IIS и .NET
  • Сервисы Linux
  • PHP
  • Remote Acces Checklist

Аудит СУБД


Практически в любой информационной системе СУБД содержит наиболее чувствительную информацию, поэтому важен своевременный контроль безопасности настроек, закрытия уязвимостей, установки критических обновлений.

В рамках сервиса аудита уязвимости СУБД мы осуществляем сканирование с использованием профилей конфигурации в формате SCAP и на соответствие рекомендациям вендоров.



Этапы предоставления услуги:


1
Согласование объёма сканирования, способов доступа в систему и используемых методик
2
Выполнение сканирования, поиск и анализ уязвимостей
3
Выдача протокола сканирования уязвимостей с подробным описанием по каждой уязвимости, рекомендациями на устранение.


Контроль конфигураций и оценка соответствия политикам безопасности


Сканирование ИС на соответствие требованиям стандартов безопасности, составление профиля настроек и контроль соответствия конфигурации серверов выбранному профилю безопасности. Данные работы могут быть использованы при аттестации объектов информатизации.


В перечень конфигураций для сканирования включены более 1000 программ, включая ПО MS Windows, Linux, СУБД MS SQL, Oracle Database, MySQL, PostgreSQL; средства виртуализации HyperV, VMware, Xen, сервера приложений u Web-сервера. Конфигурации безопасности, включенные в базовую версию сканера.


  • Контроль конфигураций осуществляется на соответствие рекомендаций вендоров и лучших практик.
  • Возможность составление индивидуальных профилей и настроек для клиента
  • Загрузка профилей и настроек в формате SCAP
  • По итогам выдается протокол по соответствию политике и рекомендации по настройке и устранению и соответствию несоответствий.

Репозиторий OVALdb


При сканировании используется один из крупнейших репозиториев контента безопасности – OVALdb, содержащий параметры конфигурации, обновления безопасности, критерии критичности и определения уязвимости с описанием и рекомендациями по устранению. Также используются базы данных уязвимостей CVE и базы уязвимостей БДУ ФСТЭК России.

Описание контента репозитория основано на языках, входящих в SCAP, а для описания уязвимостей используется язык OVAL (Open Vulnerability and Assessment Language). Содержимое репозитория синхронизируется с международными банками контента безопасности, такими как CIS, MITRE, NIST и другими. OVALdb обладает статусами "OVAL Adopter", "CVE Compatible" и "joval Compatible".


Основные преимущества

Автоматическое индексирование и обнаружение ссылок
Сложный механизм сканирования включает в себя целый ряд методов для сканирования web-приложений. Данный механизм позволяет проиндексировать до 5000 ссылок в каждом ресурсе.
Идентификация уязвимостей web-приложений
Сканирование web-приложений позволяет определить уровень безопасности, идентифицировать найденные уязвимости, «чувствительное содержание» и проанализировать собранные данные. Первоначально данный механизм ищет слабые места, такие как XSS, SQL-инъекции, источник раскрытия информации и обхода каталога.
Анализ угроз web-приложений с помощью построения отчетов
Механизм отчетов в WEBGuard WAS позволяет построить различные виды отчётов с найденными уязвимостями и методами их устранения с сортировкой по группам или по web-приложениям. Имеются отчёты типа ScoreCard и Interactive.
Сканирование с аутентификацией
Наличие имени пользователя и пароля позволяет автоматически проиндексировать HTML формы с аутентификацией. Множественные методы сканирования с аутентификацией поддерживаются для каждого сканирования. В том числе Form, HTTP Basic, NTLM и Digest.
Черный/Белый список
При помощи данных списков можно контролировать, какая часть web-приложения будет просканирована. Чёрный список предотвращает сканер от посещения определённых ссылок, в то время как Белый список обязывает сканер посетить те ссылки, которые содержатся в этом списке.
Поиск «чувствительного содержания»
Данная возможность позволяет находить в HTML формах содержание типа номеров социального страхования, номер кредитных карт, а также строк, определённых пользователем.

Отзывы

АКБ Систем
Использование облачных технологий позволяет нам выстраить ИТ-инфраструктуру в точном соотвествии с потребностями проекта и в кратчайшие сроки. Специалисты компании оперативно и грамотно помогают решить текущие вопросы в процессе эксплуатации выделенного сервера. У нас остались только самые позитивные впечатления. Работа специалистов и менеджеров на высоте!
Бочаров Е.К. Генеральный директор ООО "АКБ Систем"
МБИ Евразия

Пользуемся в компании арендой виртуального сервера. Понравился гибкий подход, доступная стоимость и стабильность сервера!

ЗАО МБИ Евразия
ГК "Русская кожа"

Мы перешли на виртуальную инфраструктуру в рамках стратегии цифровизации, которая предполагает использование гибких, масштабируемых, надёжных и экономичных решений. Инженерно-технические решения провайдера позволили бесшовно мигрировать в «облако», сохранив непрерывность наших бизнес-процессов. Все дальнейшие работы по настройке и обслуживанию инфраструктуры специалисты Cloud4Y выполнялись быстро и качественно.

Березин Александр Директор по ИТ, АО «Русская кожа»
ООО «ДорогаПро»

Компания ООО «ДорогаПро» благодарит Cloud4Y за организацию виртуального хостинга веб-сервисов компании.

С компанией Cloud4Y нас связывают годы плодотворного сотрудничества. Не припомню случая, когда компания или менеджеры повели себя непрофессионально. Высокий уровень выполнения работ, оперативная реакция технической поддержки, большой выбор сервисов, гибкий подход и доступные цены.

А. В. Хабаров Генеральный директор
МикроАрт

ООО «МикроАрт», используя облачный отказоустойчивый сервер на Linux для сбора и передачи данных с температурных датчиков, мы гарантировали стабильную работу собственного сервиса облачной телеметрии с Real-time аналитикой.

А. В. Джинчарадзе Директор
Blizzard Entertainment

Наша компания арендует сервера в ООО «Флекс» с 2015 года. Мы полностью удовлетворены уровнем сервиса, качеством и надёжностью предоставляемых услуг. Персональный подход, быстрая реакция техподдержки, удобная форма оплаты, предоставление серверов в кратчайшие сроки — всё это на высочайшем уровне. Мы рекомендуем ООО «Флекс» всем нашим партнёрам.

Майкл Фонг Управляющий директор Blizzard Entertainment
Киноискатель

Хочется выразить благодарность компании Cloud4Y за помощь в развертывании инфраструктуры проекта. Пока что все потребности удается реализовывать. Также нужно отметить службу поддержки, всегда на связи и оперативно помогает в решении вопросов, даже когда проблема была на нашей стороне. Надеюсь, сотрудничество будет столь же плодотворным и дальше.

Владимир Зайцев Руководитель по информационным технологиям
Федеральное агентство по делам молодёжи (Росмолодёжь)

Федеральное агентство по делам молодёжи (Росмолодёжь) — федеральный орган исполнительной власти в России, осуществляющий функции по оказанию государственных услуг и управлению государственным имуществом в сфере государственной молодёжной политики, реализации мероприятий, направленных на обеспечение здорового образа жизни молодёжи, нравственного и патриотического воспитания и на содействие реализации молодёжью своих профессиональных возможностей.

Благодарим ООО "Флекс" (Cloud4Y) за многолетнее сотрудничество в области информационных технологий и высокий профессионализм.

К. Д. Разуваева Руководитель ФАДМ
Инфралайф

Обратившись в Cloud4Y, мы сразу получили сертифицированный в соответствии с требованиями виртуальный дата-центр по модели IaaS. За весь период сотрудничества с компанией Cloud4Y можно выделить основные плюсы: стабильность работы предоставляемого сервиса и быстрое выполнение текущих заявок со стороны службы технической поддержки.

Все наши заявки обрабатываются быстро и результативно. Сервис Cloud4Y отличается доступностью и удобством использования.

С. В. Лаптев Генеральный директор
Микрокредитная компания «Главный займ»
Выбрав Cloud4Y, нам не нужно беспокоиться об обновлениях, патчах безопасности и настройках конфигурации. Облако просто использовать и такой подход экономичен, так как помогает компании снизить затраты на ИТ из-за меньшего количества специалистов, которые необходимы в штате организации. Мы увеличили производительность, возможно, по лучшей цене на рынке и получили отличную рентабельность инвестиций.
Е. С. Чернышов Генеральный директор
Остались вопросы?
Оставьте заявку и наши сотрудники свяжутся с вами.
А также мы предоставим вам 30 дней бесплатного доступа
Вверх!