Главная > Услуги
|
Вы уверены в надежности своей защиты?Аудит информационной безопасности Что спасает ваши сайты и приложения от взлома? Давно вы проводили диагностику своих ресурсов? ISA Web Technologies предлагает свое решение вопросов защиты информации.
Аудит информационной безопасностиИмитируя действия внешнего атакующего выявлять слабые места и устранять критические уязвимости – вот ключевой момент концепции защиты от ISAWT. Мысли как преступник и будешь на шаг впереди него.Аудит информационной безопасности |
|
ISAWT - это эмуляция хакерских атак на ваш веб-ресурс под вашим контролем и экспертный анализ веб-ресурса с применением собственных уникальных разработок.
|
|
Сканирование на наличие SQL инъекций 
Аудит информационной безопасностиВнедрение SQL-кода или SQL инъекция (англ. SQL injection) — один из самых распространённых способов взлома сайтов, программ и приложений, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. |
|
|
Аудит информационной безопасностиISAWT защищает ваш ресурс от потенциально возможного взлома путем выявления, анализа и устранения критических SQL-уязвимостей.Аудит информационной безопасности |
Аудит информационной безопасностиВнедрение SQL-кода позволяет получить доступ к различным видам баз данных (MySQL, MSSQL, MSAccess, Oracle, DB2, PostgreSQL) и прочитать содержимое любых таблиц, удалить, изменить или добавить данные, получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.Аудит информационной безопасности |
| Внедрение SQL-кода или SQL инъекция (англ. SQL injection) — один из самых распространённых способов взлома сайтов, программ и приложений, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. |
|
|
| Внедрение SQL-кода позволяет получить доступ к различным видам баз данных (MySQL, MSSQL, MSAccess, Oracle, DB2, PostgreSQL) и прочитать содержимое любых таблиц, удалить, изменить или добавить данные, получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. |
|
|
| ISAWT защищает ваш ресурс от потенциального взлома путем выявления, анализа и устранения критических SQL-уязвимостей. |
| Пакет 'Один на один' | Руб. | $ | € | Заявка |
|
1 ресурс / 1 сканирование |
5 699р | $84 | €74 | Подать заявку |
|
1 ресурс / 4 сканирования |
21 420р (5355р/сканирование) |
$316 ($79/сканирование) |
€280 (€70/сканирование) |
Подать заявку |
|
1 ресурс / 12 сканирований |
63 588р (5299р/сканирование) |
$940 ($78.3/сканирование) |
€833 (€69.4/сканирование) |
Подать заявку |
| Пакет 'Тройка' | Руб. | $ | € | Заявка |
|
3 ресурса / по 1 сканированию |
16 065р (5355р/сканирование) |
$237 ($79/сканирование) |
€210 (€70/сканирование) |
Подать заявку |
|
3 ресурса / по 4 сканирования |
62 388р (5199р/сканирование) |
$922 ($76.8/сканирование) |
€817 (€68.1/сканирование) |
Подать заявку |
|
3 ресурса / по 12 сканирований |
176 220р (4895р/сканирование) |
$2 606 ($72.4/сканирование) |
€2 309 (€64.1/сканирование) |
Подать заявку |
| Пакет '7Я' | Руб. | $ | € | Заявка |
|
5 ресурсов / по 1 сканированию |
26 495р (5299р/сканирование) |
$391 ($78.2/сканирование) |
€347 (€69.4/сканирование) |
Подать заявку |
|
5 ресурсов / по 4 сканирования |
99 980р (4999р/сканирование) |
$1 478 ($73.9/сканирование) |
€1 310 (€65.5/сканирование) |
Подать заявку |
|
5 ресурсов / по 12 сканирований |
269 700р (4495р/сканирование) |
$3 989 ($66.5/сканирование) |
€3 534 (€58.9/сканирование) |
Подать заявку |
Разработка стратегии защиты (Подробнее
)
)
|
|
|
|
Что такое «Разработка стратегии защиты»? Основой услуги «Разработка стратегии защиты» является сочетание автоматизированного и ручного статического анализа программного кода. Для чего необходима «Разработка стратегии защиты»? В ходе выполнения анализа выставляются отметки (якоря) внутри программной сессии проекта, где были обнаружены уязвимости. Уязвимости сортируются по видам и типам, составляется карта зависимостей уязвимостей друг от друга, определяется уровень критичности и возможные последствия, к которым могут привести найденные уязвимости. Итогом разработки стратегии защиты являются: структурированные данных о найденных уязвимостях, рекомендации по их устранению, общее резюме о структуре программного кода внутри проекта, а также предложения по его модификации и оптимизации. |
|
Статический анализ кода (англ. static code analysis) — анализ программного обеспечения, производимый (в отличие от
динамического анализа) без реального выполнения исследуемой программы. В зависимости от используемого инструмента глубина анализа может варьироваться от определения поведения отдельных операторов до анализа, включающего весь имеющийся исходный код (для выявления всех возможных изъянов безопасности веб-ресурса необходим анализ ВСЕГО программного кода). Способы использования полученной в ходе анализа информации также различны — от выявления мест, возможно содержащих ошибки, до формальных методов, позволяющих математически доказать какие-либо свойства уязвимостей и их зависимостей. |
Каким образом проводится разработка стратегии защиты?
Разработка стратегии защиты начинается с предпроектного планирования, которое включает:
• сбор всех программных, конфигурационных и лог файлов веб-ресурса;
• формирование каталога файлов/объектов для проведения ручного статического анализа с элементами автоматизации;
• вариативный расчет стоимости оказания услуги;
• определение сроков выполнения статического анализа.
Предпроектное планирование производится в срок от 2-х до 7-ми дней (в зависимости от масштабности проекта) по предварительной оплате.
Для проведения предпроектного планирования заказчик предоставляет:
1. Доступ к файловой системе веб-ресурса (web-менеджер, ftp). Возможен вариант получения архива с файлами веб-ресурса, но в этом случае будут наложены некоторые ограничения, которые могут повлиять на скорость решения определенных задач в процессе аудита. Поэтому, доступ к файловой системе через менеджер предпочтителен.
2. Доступ к структуре базы данных (phpmyadmin предпочтителен).
3. Доступ к настройкам веб-сервера, обслуживающего веб-ресурс (cpanel, isp-manager или другой вариант web-версии админ панели хостинга).
4. Онлайн-связь (текстовая) любым удобным способом для возможности отправки уведомлений в процессе проведения аудита безопасности, а также решения возникающих вопросов.
После согласования плана проекта проводится непосредственное исследование проекта в 3 этапа:
Разработка стратегии защиты начинается с предпроектного планирования, которое включает:
• сбор всех программных, конфигурационных и лог файлов веб-ресурса;
• формирование каталога файлов/объектов для проведения ручного статического анализа с элементами автоматизации;
• вариативный расчет стоимости оказания услуги;
• определение сроков выполнения статического анализа.
Предпроектное планирование производится в срок от 2-х до 7-ми дней (в зависимости от масштабности проекта) по предварительной оплате.
Для проведения предпроектного планирования заказчик предоставляет:
1. Доступ к файловой системе веб-ресурса (web-менеджер, ftp). Возможен вариант получения архива с файлами веб-ресурса, но в этом случае будут наложены некоторые ограничения, которые могут повлиять на скорость решения определенных задач в процессе аудита. Поэтому, доступ к файловой системе через менеджер предпочтителен.
2. Доступ к структуре базы данных (phpmyadmin предпочтителен).
3. Доступ к настройкам веб-сервера, обслуживающего веб-ресурс (cpanel, isp-manager или другой вариант web-версии админ панели хостинга).
4. Онлайн-связь (текстовая) любым удобным способом для возможности отправки уведомлений в процессе проведения аудита безопасности, а также решения возникающих вопросов.
После согласования плана проекта проводится непосредственное исследование проекта в 3 этапа:
| Этап |
Статический анализ кода |
Анализ уязвимостей |
Стратегия защиты |
| Время* | От 2 недель | От 3 недель | От 2 недель |
| Цель | Анализ программного кода для выявления имеющихся потенциальных и действующих уязвимостей. | Описание, определение видов и анализ уровня критичности уязвимостей из Отчета №1, сформированного на этапе «Статический анализ кода». | Формирование перечня рекомендаций по устранению выявленных уязвимостей, а также предложения по возможной модификации программного кода проекта. |
| Выполнение |
1. Анализ index-файла, на основании которого
составляется начальная логика работы веб-
ресурса.
2. Извлечение файлов всех подключаемых модулей. 3. Проверка входных данных от пользователя (суперглобальные массивы $_GET, $_POST, $_COOKIE, $_REQUEST, $_GLOBALS) 4. Анализ логических конструкций программного кода. 5. Ручной поиск уязвимостей программного кода во всех приоритетных программных файлах. 6. Анализ программного кода всех подключенных модулей с которыми производятся действия из пунктов 3-6. |
1. Подробный анализ обнаруженных
уязвимостей.
2. Определение вида уязвимостей (потенциальная/действующая), уровня их критичности (5 уровней от низкого до критического) и возможных последствий, к которым могут привести найденные уязвимости. 3. Составление карты зависимости уязвимостей друг от друга. |
1. Общее резюме о структуре программного
кода проекта.
2. Разработка методов устранения выявленных уязвимостей. 3. Рекомендации, образующие цепочки действий по нейтрализации найденных уязвимостей, а также методы полной реструктуризации уязвимых участков программного кода и создание иных безопасных альтернативных вариантов исполнения функционала, требующего такой переработки (если такие методы имеют место быть). |
| Результат | Отчет №1, содержащий список потенциально уязвимых структур внутри файлов/объектов с определением их типов, а так же зависимых связей без подробного исследования и описания потенциальных и действующих уязвимостей. |
Отчет №2, содержащий:
1. структурированные данные о найденных уязвимостях; 2. оценка уровня их критичности; 3. карта уязвимостей и их зависимостей друг от друга; 4. список программных файлов, имеющих зависимости с найденными уязвимостями. |
Протокол разработанной стратегии защиты
(Отчет №3), в котором содержатся:
1. резюме о структуре программного кода проекта; 2. рекомендации по устранению выявленных уязвимостей; 3. предложения по модификации и оптимизации безопасности программного кода. |
* Реальная продолжительность каждого этапа устанавливается в зависимости от масштабности исследуемого ресурса.
** Этапы «Статический анализ кода» и «Анализ уязвимостей» проводятся параллельно друг другу. Отчеты по данным этапам предоставляются вместе, в установленные договором сроки.
** Этапы «Статический анализ кода» и «Анализ уязвимостей» проводятся параллельно друг другу. Отчеты по данным этапам предоставляются вместе, в установленные договором сроки.
| На основании протокола сканирования, который составляется анализаторами в автоматическом режиме, наши специалисты выстраивают индивидуальную стратегию защиты в соответствии с выполняемыми задачами web-ресурса. На всех этапах разработки стратегии защиты необходимо тесное взаимодействие с представителем владельца ресурса. |
|
|
| Владелец ресурса может самостоятельно разрабатывать стратегию защиты на основании протокола сканирования. В этом случае ISAWT не несет ответственности за надежность и эффективность выбранных методов устранения уязвимостей. Конечной целью стратегии является устранение всех выявленных уязвимостей. |
| Стратегия защиты | Руб. | $ | € | Заявка |
| 1 ресурс | от 120 000р | от $1770 | от €1570 | Подать заявку |
| 3 ресурса |
от 330 000р (от 110000р/ресурс) |
от $4880 (от $1630/ресурс) |
от €4320 (от €1440/ресурс) |
Подать заявку |
| 5 ресурсов |
от 500 000р (от 100000р/ресурс) |
от $7400 (от $1480/ресурс) |
от €6550 (от €1310/ресурс) |
Подать заявку |
Внедрение стратегии защиты
Аудит информационной безопасности продвижениеРуководствуясь разработанной стратегией защиты, при тесном сотрудничестве с представителем владельца ресурса, наши специалисты устраняют все выявленные уязвимости, тем самым Аудит информационной безопасности защищают вашу информацию от потенциального взлома. |
|
Аудит информационной безопасности усредненноОднако, владелец ресурса может собственными средствами устранять уязвимости, выявленные при сканировании. В таком случае, ISAWT не несет никакой ответственности за качество и надежность внедренных решений при Аудит информационной безопасности устранении уязвимостей. |
| Руководствуясь разработанной стратегией защиты, при тесном сотрудничестве с представителем владельца ресурса, наши специалисты устраняют все выявленные уязвимости, тем самым защищают вашу информацию от потенциального взлома. |
|
|
| Однако, владелец ресурса может собственными средствами устранять уязвимости, выявленные при сканировании. В таком случае, ISAWT не несет никакой ответственности за качество и надежность внедренных решений при устранении уязвимостей. |
| Внедрение стратегии защиты | Руб. | $ | € | Заявка |
| 1 ресурс | от 200 000р | от $2960 | от €2620 | Подать заявку |
| 3 ресурса |
от 540 000р (от 180000р/ресурс) |
от $7990 (от $2660/ресурс) |
от €7080 (от €2360/ресурс) |
Подать заявку |
| 5 ресурсов |
от 800 000р (от 160000р/ресурс) |
от $11830 (от $2370/ресурс) |
от €10480 (от €2100/ресурс) |
Подать заявку |
Перехватчик изменений кода Interceptor
| Interceptor – это небольшая, но очень эффективная Аудит информационной безопасности программа, предназначенная для перехвата изменений в коде web-ресурса, вплоть до одного символа. |
|
Interceptor отслеживает попытки внедрения чужеродного кода и, в случае атаки, блокирует ресурс. Система оповещения перехватчика немедленно сообщает владельцу о попытке проникновения и код активации для разблокировки ресурса. Блокировка ресурса может осуществляться автоматически или Аудит информационной безопасности по команде владельца. Управление функциями осуществляется из личного кабинета на сайте http://isaweb.tech |
| Interceptor – это небольшая, но очень эффективная программа, предназначенная для перехвата изменений в коде web-ресурса, вплоть до одного символа. |
|
|
| Interceptor отслеживает попытки внедрения чужеродного кода и, в случае атаки, блокирует ресурс. Система оповещения перехватчика немедленно сообщает владельцу о попытке проникновения и код активации для разблокировки ресурса. Блокировка ресурса может осуществляться автоматически или по команде владельца. Управление функциями осуществляется из личного кабинета на сайте http://isaweb.tech |
| Перехватчик изменений кода Interceptor | Руб. | $ | € | Заявка |
| 1 лицензия | 2 000р | $29 | €26 | Подать заявку |
| 3 лицензии |
5 600р (1867р/лицензия) |
$82 ($27.3/лицензия) |
€73 (€24.3/лицензия) |
Подать заявку |
| 5 лицензий |
8 500р (1700р/лицензия) |
$125 ($25/лицензия) |
€111 (€22.2/лицензия) |
Подать заявку |