Pažeidžiamumų vertinimo paslaugos

Nustatykite kiekvieną išnaudojamą silpnąją vietą visame jūsų tinkle, programose ir debesies infrastruktūroje prieš tai padarant užpuolikams. Mūsų struktūrizuotas vertinimas pateikia pagal sunkumą surikiuotą išvadų ataskaitą su aiškiomis šalinimo gairėmis, kuriomis jūsų komanda gali nedelsiant veikti.

Vertinimas, viršijantis skaitytuvo ataskaitą

Automatizuoti skaitytuai generuoja triukšmą. Pažeidžiamumų vertinimas filtruoja tą triukšmą į prioritizuotą realių, išnaudojamų silpnųjų vietų sąrašą — koreliuotą su naujausių CVE duomenų bazėmis, patvirtintą pagal jūsų tikrąją technologijų rinkinio struktūrą ir surikiuotą pagal verslo riziką, kurią jie atstovauja, kartu su CVSS balais.

Kiekvienas projektas apima jūsų išorinį tinklo perimetrą, žiniatinklio programų atakos paviršių, debesies konfigūracijos būklę ir programinės įrangos tiekimo grandinę. Išvestis yra ataskaita, parašyta tiek jūsų techninei komandai, tiek suinteresuotosioms šalims — pakankamai konkreti, kad skatintų šalinimo bilietus, pakankamai aiški, kad informuotų valdybą.

Keturi vertinimo darbo srautai

Tinklo nuskaitymas

Visapusis atvirų portų, atskleistų paslaugų, antraščių informacijos nutekėjimo ir žinomų CVE sąrašas per jūsų išorinius IP diapazonus. Nustatome netinkamas konfigūracijas, nepataisytas paslaugų versijas ir tinklo segmentacijos spragas, kuriančias šoninės judėjimo riziką.

Žiniatinklio programų vertinimas

OWASP Top 10 aprėptis per jūsų viešai prieinamas programas — SQL injekcija, XSS (atspindimas, DOM pagrįstas), SSTI, LFI, XXE, failų įkėlimo piktnaudžiavimas, HTTP užklausos kontrabanda, SSRF, IDOR, sugadinta autentifikacija, saugumo netinkamos konfigūracijos ir atskleisti jautrūs duomenys. Kiekviena išvada turi koncepcijos įrodymą ir šalinimo žingsnius.

Debesies konfigūracijos peržiūra

Jūsų AWS, Azure arba GCP aplinkos auditas pagal CIS standartus — viešai prieinami saugojimo segmentai, per daug leidimų turintys IAM vaidmenys, trūkstamas šifravimas ramybės būsenoje, neapsaugoti valdymo API ir registravimo spragos, kurios padarytų incidentą nematomu.

Ataskaita ir šalinimo gairės

Struktūrizuota išvadų ataskaita su vykdomoji santrauka, vieno pažeidžiamumo sunkumu (Kritinis / Aukštas / Vidutinis / Žemas / Informacinis), CVSS balais, įrodymų ekrano nuotraukomis ir žingsnis po žingsnio šalinimo gairėmis. Pristatoma per 5 darbo dienas nuo vertinimo pabaigos.

Pažeidžiamumų vertinimas — dažniausiai užduodami klausimai

Kas yra pažeidžiamumų vertinimas?

Pažeidžiamumų vertinimas yra sistemingas jūsų sistemų, tinklų ir programų saugumo silpnųjų vietų nustatymo, klasifikavimo ir prioritizavimo procesas. Skirtingai nuo skverbimosi testo, tikslas yra visapusis atradimas, o ne aktyvus išnaudojimas — suteikiant jums pilną rizikos poveikio vaizdą be viso atakos simuliavimo veiklos rizikos. Tai paprastai yra pirmasis žingsnis bet kurioje struktūrizuotoje saugumo programoje.

Kiek laiko trunka pažeidžiamumų vertinimas?

Vertinimo trukmė priklauso nuo apimties. Sutelktas išorinis tinklo ir žiniatinklio programų vertinimas vidutinio dydžio organizacijai paprastai trunka 3–5 darbo dienas aktyvaus testavimo, o rašytinė ataskaita pristatoma per 2 darbo dienas nuo testavimo pabaigos. Didesnės apimtys su keliomis programomis, debesies aplinkomis arba vidinės tinklo aprėptimi nustatomos individualiai.

Koks skirtumas tarp pažeidžiamumų vertinimo ir skverbimosi testo?

Pažeidžiamumų vertinimas nustato ir rikiuoja silpnąsias vietas jų aktyviai neišnaudodamas. Skverbimosi testas eina toliau — bandydamas sujungti pažeidžiamumus kartu, kaip tai darytų realus užpuolikas, siekiant parodyti realų poveikį, pvz., pasiekti neteisėtą prieigą prie duomenų arba privilegijų eskalavimą. Abu yra papildomi: pažeidžiamumų vertinimas suteikia jums plotį, skverbimosi testas — gylį. Dauguma atitikties sistemų reikalauja abiejų.

Ką gausite ataskaitoje?

Ataskaita apima vykdomąją santrauką, tinkamą netechniniams suinteresuotiesiems, visą techninių išvadų skyrių su vieno pažeidžiamumo CVSS balais, sunkumo įvertinimais, įrodymais (ekrano nuotraukomis arba užklausos/atsakymo poromis), paveiktų turto nuorodomis ir konkrečiais šalinimo žingsniais. Išvados taip pat kartografuojamos pagal atitinkamas atitikties kontroles (ISO 27001, SOC 2, PCI DSS), kur taikoma. Šalinimo peržiūros skambutis įtrauktas, siekiant pereiti jūsų komandą per išvadas.

Pradėkite pažeidžiamumų vertinimą

Papasakokite apie savo apimtį ir per vieną darbo dieną pateisime fiksuotos kainos pasiūlymą.

Susisiekti →    Skverbimosi testai →
AGENTŲ POKALBIS
Sistema: Saugi jungtis užmegzta. Laukiama įvesties...