Аудит информационной безопасности сайта.
Ведение бизнеса через сеть Интернет – ключевое условие успеха современной торговой компании. Все каналы продаж целесообразно интегрировать в единую корпоративную систему управления на платформе «1С:Предприятие».
Стоимость аудита безопасности
Таблица сравнения тарифных планов
Наименование
Black Box
120 000 руб.
Custom Box
180 000 руб.
White Box
680 000 руб.
Исследование, работы только по аудиту ИБ:
1
Консультации, Разработка TЗ на аудит, помощь в выборе ТП, предложение по набору услуг.
2
Исследование безопасности ОС и ПО сервера на уровне черного ящика.
10 000 руб.
10 000 руб.
3
Полноценное исследование безопасности сервера, его ОС и ПО.
75 000 руб.
4
Поиск проблем безопасности кода сайта методом «черного ящика».
80 000 руб.
80 000 руб.
80 000 руб.
5
Частичное исследование безопасности кода сайта.
30 000 руб.
6
Полное исследование безопасности абсолютного кода сайта.
400 000 руб.
7
Исследование безопасности сторонних компонентов кода сайта.
10 000 руб.
10 000 руб.
8
Исследование безопасности (корректности) публикации сайта.
10 000 руб.
10 000 руб.
9
Определение уровня угрозы обнаруженных проблем ИБ (OWASP).
Работы по устранению угроз ИБ сайта (дополнительные услуги):
10
Устранение проблем / угроз безопасности сервера (ОС / ПО).
10 000 руб.
11
Устранение проблем / угроз безопасности кода (устранение уязвимостей).
10 000 руб.
12
Устранение проблем / угроз безопасности, связанных с ошибками публикации сайта.
75 000 руб.
13
Перепроверка устранения уязвимостей по итоговому отчету.
10 000 руб.
Работы по восстановлению сайта после хакерской атаки (дополнительные услуги):
14
Восстановление нормальной работоспособности ресурса.
15 000 руб.
15 000 руб.
15
Устранение последствий хакерской атаки.
10 000 руб.
10 000 руб.
16
Поиск и устранение вредоносного кода на сайте.
10 000 руб.
10 000 руб.
Дополнительные услуги по обеспечению безопасности сайта:
17
Превентивная защита от DoS / DDoS по геолокационным данным. *
10 000 руб.
10 000 руб.
18
Устранение последствий хакерской атаки.
10 000 руб.
10 000 руб.
19
Фильтрация нежелательного трафика (спам боты, парсеры, сканеры и т.п.). *
10 000 руб.
10 000 руб.
Дополнительные услуги по обеспечению безопасности сайта:
20
Количество месяцев бесплатно
3 (тариф SOC, скидка на тарифы CERT, CERT+ADMIN).
6 (тариф CERT, скидка на тариф CERT+ADMIN).
Итого:
120 000 руб.
180 000 руб.
680 000 руб.
* Услуга предоставляется при подключении подписки на услуги ситуационного центра, тариф «CERT».
** Услуга предоставляется при подключении подписки на услуги ситуационного центра, тариф «CERT+ADMIN».
** Услуга предоставляется при подключении подписки на услуги ситуационного центра, тариф «CERT+ADMIN».
Описание тарифных планов
Тарифный план «Black Box» — Чёрный ящик.
Для непосредственного управления интернет-магазином предназначены специализированные системы, например "1С-Битрикс: Управление сайтом". Специализированная система обеспечивает взаимодействие между интернет-магазином и покупателями через Интернет.
Тарифный план «Custom Box» — Набор услуг по запросу клиента.
«Custom Box» - является продвинутой версией тарифного плана «Black Box» с большим выбором дополнительных работ по обеспечению безопасности исследуемого сайта.Тарифный план «Custom Box» идеально подходит для полноценного исследования безопасности как для сайтов не имевших ранее проблем с ИБ, так и для сайтов находящихся действием хакерской атаки, либо испытывающих проблемы в последствии хакерских атак. Большой выбор опциональных работ позволяет обеспечить надежную защиту сайта от взлома и хакерских атак.
По окончанию работ, входящих в тариф «Custom Box», предоставляется бесплатная подписка на услуги ситуационного центра ИБ, в соответствии с тарифом «SOC» сроком на 3 месяца
По окончанию работ, входящих в тариф «Custom Box», предоставляется бесплатная подписка на услуги ситуационного центра ИБ, в соответствии с тарифом «SOC» сроком на 3 месяца
Тарифный план «White Box» — Белый ящик.
«White Box» - максимально полное исследование безопасности сайта. Тариф «White Box» ориентирован на крупные интернет - проекты, где безопасность конечного сайта является неотъемлемой частью его разработки. По окончанию работ, входящих в тариф «White Box», предоставляется подписка на услуги ситуационного центра ИБ, в соответствии с тарифом «CERT» сроком на 3 месяца.
Наши кейсы
Исследуемые угрозы безопасности
- RCE - Remote code execution (выполнение кода на серверной стороне).
- SQL инъекции (несанкционированный доступ к БД сайта).
- Authentication and Session Management Bypass (Обход авторизации учетных записей).
- PHP инъекции (несанкционированное внедрение кода в серверный скрипт).
- CRLF выполнение несанкционированных команд в системе, атака в заголовки (header).
- Инъекции в LDAP (изменение LDAP операторов).
- Remote File Include (RFI) (удаленное включение файла).
- Local File Include (LFI) (локальное включение файла).
- Directory traversal attack (траверс директорий ФС сервера).
- SSRF (межсерверная подделка запросов).
- XSS (межсайтовый скриптинг, атака на клиента).
- CSRF (подделка межсайтовых запросов, атака на клиента).
- File Upload - возможность загрузки произвольных файлов на сервер.
- Комбинированные техники и методы взлома и атак.
- Нестандартные техники и методы взлома и атак.
- Ошибки выполнения скриптов, публикация системных ошибок.
- Исследование сайтов на уязвимости, не способные прямо привести к взлому сайта, но позволяющие злоумышленникам использовать сайт и его ресурсы в собственных целях, таких как рассылка спама, размещение «черных» SEO элементов и т.п.
Тарифный план «Black Box» — Чёрный ящик
Чёрный ящик: исследование ИБ сайта без предоставления учетных данных доступа. Исследование проводится по активному сайту, работающего в Сети Интернет. В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс. Исследование проводится в ручном режиме с использованием специального ПО.
Включенные работы:
- Поиск угроз безопасности сайта методом черного ящика.
- Поиск угроз безопасности, характерных для сайтов на CMS 1C-Bitrix.
- Определение уровня угрозы обнаруженных проблем ИБ (OWASP).
- Обнаруженные угрозы подтверждаются безопасным POC.
- Исследование безопасности ОС и ПО сервера на уровне черного ящика.
Стоимость аудита безопасности сайта по тарифу «Black Box»:
120 000 руб.
Тарифный план «Custom Box» — Набор услуг по запросу клиента.
Lorem ipsum dolor sit amet, consectetur adipisicing elit. Distinctio pariatur impedit nihil facilis quasi, quod officia aspernatur obcaecati amet odio dolore quam maiores natus provident eaque totam veritatis officiis quo!
Тарифный план «White Box» — Белый ящик
Lorem ipsum dolor sit amet, consectetur adipisicing elit. Distinctio pariatur impedit nihil facilis quasi, quod officia aspernatur obcaecati amet odio dolore quam maiores natus provident eaque totam veritatis officiis quo!
Классификация угроз безопасности для всех тарифных планов
Уровень угроз обнаруженных угроз безопасности определяется в соответствии с классификациями OWASP Top Ten Project 2017 RC и CWE/SANS Top 25 Most Dangerous Software Errors.
Для сайтов, работающих под управлением CMS «1С-Битрикс», нами разработан собственный классификатор TOP12 угроз, который также может быть отражен в итоговом отчете по результатам сайта.
Уязвимость / Атака / Техника взлома
Уровень угрозы
Баллы
1
Authentication Bypass
Обход аутентификации, несанкционированный
доступ
Критический
10
2
SQL инъекции всех типов
Внедрение произвольного кода в SQL запрос
Критический
7-10
3
PHP инъекции
инъекция в PHP код сайта
Критический
10
4
RCE - Remote code execution
Выполнение удалённого кода на сервере «черного ящика»
Критический
10
5
RFI - Remote File Include
Включение удаленного файла в код сайта
Критический
10
6
LFI - Local File Include
Подключение чтение локального файла на сервере
Критический
10
7
Хранимые XSS атаки
межсайтовый скриптинг
Критический
9
8
Отраженные XSS атаки
межсайтовый скриптинг
Высокий
6
9
СSRF атаки
межсайтовая подделка запроса
Высокий
3-10
Ошибки разработки и публикации сайта:
Уязвимость / Атака / Техника взлома
Уровень угрозы
Баллы
1
Загрузка произвольных файлов на сервер
Критический
10
2
Открытый доступ к системным файлам
Критический
7-10
3
Открытый доступ к бэкапам / дампам баз данных
Критический
10
Методы обнаружения угроз безопасности (уязвимостей)
Методы обнаружения уязвимостей в рамках исследований, предлагаемых в тарифных планах «Black Box» и «Custom Box» полностью соответствуют настоящим хакерским атакам и методикам взлома, при этом не представляя для сайта никакой угрозы. Исследование проводится по активному сайту, работающему в Сети Интернет, либо по предложенной dev версии сайта, что позволяет максимально полно оценить уровень безопасности ресурса.
В тарифном плане «White Box» включены работы по ручному исследованию кода сайта.
В рамках проведения исследований, включенных во все тарифы на Аудит безопасности сайта, не ставиться задача по обходу или нейтрализации модуля «Проактивная защита» 1С-Битрикс, равно как и иных способов защиты сайта.
Подтверждение эксплуатационных качеств обнаруженных угроз
Все обнаруженные уязвимости сайта подтверждаются фактом обнаружения, с примерами эксплуатации, без деструктивных последствий для работы сайта.
- Любые инъекции (SQL, XPath) или инклуды (RFI, LFI) подтверждаются фактомналичия, с практической безопасной эксплуатации уязвимости.
- Инъекции в БД подтверждаются фактом получения имени БД, имена таблиц, чтение выборочных данных из БД. Инклуды (RFI, LFI) подтверждаются операциями с файлами, в зависимости от типа угрозы.
- Уязвимости типа RCE - Remote code execution (удаленное выполнение кода на сервере) подтверждаются PHP кодом <? phpinfo(); ?> , либо любым другимбезвредным кодом.
- Уязвимости типа XSS - Сross Site Sсriрting (межсайтовый скриптинг) подтверждаются JS кодом <script>alert(‘XSS’);</script> , либо любым другим безвредным кодом, без эксплуатации атаки.
- Уязвимости типа CSRF - Сross Site Request Forgery (межсайтовая подделка запроса) подтверждаются фактическими признаками наличия уязвимости, без практической эксплуатации атаки. В случаях, когда угроза CSRF является критической для ИБ сайта, атака подтверждается выполнением безопасного эксплуатационного скрипта.
Подтверждение эксплуатационных качеств обнаруженных угроз
Итоговый отчет о проведенном аудите содержит структурированный список всехобнаруженных угроз безопасности для сайта, включая детализированную информацию по угрозам ИБ, в соответствии с тарифом.
Пример тестового отчета, с описанием угроз ИБ в файле
Отчёт по тестированию.docx
Скачать
Скачать
Дополнительно
В 2017 году появился спрос на услугу следующего содержания: Заказчиком услуги является разработчик интернет проекта (сервиса), который он в дальнейшем продает своему клиенту. Без стороннего аудита ИБ, или проведения исследования ИБ собственными силами, клиент не принимает (покупает) продукта.
Для заказчика услуги важен аудит ИБ интернет-проекта в виде совместной работы специалиста по безопасности с его разработчиками. Главные цели, которые преследует заказчик услуги:
1.
Истинная безопасность интернет проекта (результат совместной работы разработчика и специалиста по безопасности).
2.
Итоговый отчет, который в явном виде показывает абсолютное отсутствие классифицируемых по OWASP угроз ИБ. Этот отчет заказчик передает на независимый аудит ИБ, который проводится со стороны покупателя этого проекта.
В августе 2017 года, мы сопровождали интернет – проект, разработкой которого занималось одна крупная московская рекламная группа. Покупателем была компания KPMG, один из лидеров аудиторских компаний «Большой четвёрки», располагающим собственной службой ИТ безопасности:
https://home.kpmg.com/ru/ru/home/services/advisory/risk-consulting/information-protection-and- cybersecurity.html
Главная цель
прохождение проекта ИБ аудиторами компании KPMG и его «сдача»
Мы успешно справились с поставленной задачей в крайне ограниченные сроки. «Обезличенный» вариант – такого отчета прилагаю файлом Результат_тестирования.docx. Скачать (Проект работал не на CMS 1С-Битрикс, там вообще вся разработка, от сервера до кода, на продуктах Microsoft производилась.)
На сегодняшний день мы участвуем в подобном проекте, где в роли покупателя сайта – инфосистемы является государственная компания ПАО «МОЭК». Проект работает на CMS 1С-Битрикс.
Клиенты о нас
