Тестирование стабильности или надёжности - Stability Testing
Стресс-тестирование - Stress Testing
Объёмное тестирование - Volume Testing
Заказать консультацию
Построение и поддержка процессов безопасной разработки
Консультации по построению процесса SSDLC
Внедрение критериев безопасности и процесса SSDLC
Сопровождение существующего процесса безопасной разработки
Virtual CISO
Заказать консультацию
Компьютерная криминалистика
Реагирование на инциденты ИБ
Расследование инцидентов ИБ
Рекомендации по разработке политики безопасности
Заказать консультацию
ИБ консалтинг и соответствие требованиям регуляторов
Построение системы управления информационной безопасностью (Выполнение стандарта ISO/IEC 27001)
ОУД4 (оценочный уровень доверия) применим со стандартом ГОСТ Р ИСО/МЭК 15408
Соответствие требованиям положения Банка России
Соответствие ФЗ РФ №152 «О персональных данных»
Заказать консультацию
Почему компании доверяют Singleton Security?
Многолетняя экспертиза
Глубокое понимание российского рынка информационной безопасности и практическая экспертиза в ИБ во всех основных отраслях бизнеса позволяют специалистам компании предлагать лучшие решения для заказчиков
Скорость работы
Оперативная реакция на запросы компаний. В Singleton Security четко выстроены проектные процессы и сформированы рабочие группы под любые типы задач. От подготовки ТЗ до запуска проекта — 1 неделя
Мультизадачность
Экспертиза участников команды Singleton Security способна справиться с самой масштабной задачей в сфере ИБ
Почему компании доверяют Singleton Security?
Глубокое понимание российского рынка информационной безопасности и практическая экспертиза в ИБ во всех основных отраслях бизнеса позволяют специалистам компании предлагать лучшие решения для заказчиков
Оперативная реакция на запросы компаний. В Singleton Security четко выстроены проектные процессы и сформированы рабочие группы под любые типы задач. От подготовки ТЗ до запуска проекта – 1 неделя
Экспертиза участников команды Singleton Security способна справиться с самой масштабной задачей в сфере ИБ
Команда разрабатывает решения, а не отрабатывает деньги заказчика. Специалисты всегда выполняют максимально возможный объем задач, а не обязательный минимум
Пул услуг Singleton Security сможет удовлетворить широкий спектр запросов в области ИБ. Мы предложим нестандартные подходы к решению любой нетривиальной, комплексной или локальной задачи
Комплексная сервисная поддержка оказывается до, во время и после реализации проекта. Компания может также проводить обучение заказчиков по различным аспектам ИБ
Опора на лучшие практики и требования мирового уровня WASC, NIST, OWASP гарантируют использование современных международных стандартов в работе
Компания Singleton Security имеет лицензию ФСТЭК России на проведение работ по технической защите конфиденциальной информации. Все участники команды обладают международными сертификатами в области ИБ
Отраслевые сертификаты
Компания Singleton Security имеет лицензию ФСТЭК России на проведение работ по технической защите конфиденциальной информации. Все участники команды обладают международными сертификатами в области ИБ
Работа сверх договора
Команда разрабатывает решения, а не отрабатывает деньги заказчика. Специалисты всегда выполняют максимально возможный объем задач, а не обязательный минимум
Индивидуальный подход
Пул услуг Singleton Security сможет удовлетворить широкий спектр запросов в области ИБ. Мы предложим нестандартные подходы к решению любой нетривиальной, комплексной или локальной задачи
Консультационная поддержка
Комплексная сервисная поддержка оказывается до, во время и после реализации проекта. Компания может также проводить обучение заказчиков по различным аспектам ИБ
Международные стандарты работы
Опора на лучшие практики и требования мирового уровня WASC, NIST, OWASP гарантируют использование современных международных стандартов в работе
Singleton Security – команда ведущих экспертов-практиков рынка ИБ
За последние 3 года участники команды провели 250+ тестов на проникновение
Руководитель отдела аудита информационной безопасности
Более 15 лет руководит командами аудиторов и пентестеров
Успешно выполнил 200+ разнообразных проектов по аудиту информационных систем и процессов, комплексному аудиту, расследованию инцидентов и случаев мошенничества, управлению рисками и внутреннему контролю.
Старший специалист группы анализа защищённости приложений
Профессионал в области анализа защищенности веб-приложений.
Специализируется на проектах с проведением анализа кода, внешнего тестирования на проникновение, анализа защищенности веб-приложений и мобильных приложений.
Отраслевая специализация: кредитно-финансовые организации, коммерческие компании, государственные учреждения, производственный сектор и пр.
Участник команды-победителей крупнейших российских турниров по кибербезопасности
Руководитель группы разработки программного обеспечения
Специализация: разработка веб-приложений и мобильных кроссплатформенных приложений.
Технологический стек: Flutter, Golang, Python, Ruby on Rails
Ярослав Макаров
Старший специалист группы анализа защищённости приложений
Студент МТУСИ, направление «Информационная безопасность телекоммуникационных систем»
Участник и призёр различных соревнований по информационной безопасности, в том числе CTF
Наира Нурова
Аналитик отдела аудита информационной безопасности
Более трех лет стажа работы в качестве аналитика, технологический стек: JS, GS, Python
Участник CTF-соревнований
Опыт разработки веб-приложений: интерактивные аналитические панели, системы трекинга
Специализация: анализ векторов атак в веб-приложениях, аналитика категорий уязвимостей, анализ бизнес-рисков и определение рекомендаций по повышению уровня защищенности исследуемых систем
Проверка максимально большого числа узлов инфраструктуры и демонстрация цепочки возможной компрометации всей инфраструктуры сети
подключение к выбранному сегменту сети
анализ трафика протоколов канального и сетевого уровней
инструментальное сканирование ресурсов внутренней сети
поиск уязвимостей на обнаруженных ресурсах
проведение сетевых атак, получение локальных и доменных учетных записей, повышение привилегий
анализ результатов и подготовка рекомендаций
Дополнительно может быть включена оценка безопасности беспроводных точек Wi-Fi доступа:
изучение характеристик
получение ключей шифрования
проведение атак на аппаратное обеспечение Wi-Fi доступа
установка поддельной точки доступа
проведение атак на клиентов
Заказать услугу
Анализ исходного кода веб-приложений
анализ исходного кода на наличие возможных уязвимостей и недостатков, влияющих на безопасность и/или эффективность работы приложения
оценка уровня безопасности сборки приложения
Заказать услугу
Экспресс-анализ защищённости любых информационных систем для выявления уязвимостей системы
Данные услуги проводятся с целью ускоренного показа возможности демонстрации дискредитации данных или системы заказчику в сокращённом бюджете и в сжатый срок
Заказать услугу
Нагрузочное тестирование
Комплексная оценка уровня производительности системы
Результаты тестирования:
выявление максимальных показателей производительности системы с удовлетворением требованиям качества обслуживания, времени отклика и пр.
выявление потенциальных рисков отказа в обслуживании
Заказать услугу
Оценка осведомлённости сотрудников в вопросах ИБ
Исследование уровня осведомленности сотрудников в вопросах кибербезопасности, подготовка рекомендаций по его повышению
Заказать услугу
Тренинги по информационной безопасности
безопасность приложений для разработчиков
построение безопасной ИТ-инфраструктуры и наступательная кибербезопасность
реагирование на инциденты для операторов SOC и Администраторов
разработка обучающих программ под задачи вашей компании
Заказать услугу
Расследование инцидентов
Выявление источника атаки на компанию и причины возникновения инцидента. В ходе расследования устраняются последствия атаки и разрабатывается перечень мер по предотвращению аналогичных ситуаций
Заказать услугу
Зачем компаниям проводить аудит защищённости информационных систем?
Организовать эффективную защиту внутреннего периметра и внешнего контура
Аудит позволит проанализировать, как и с каким типом атак в систему может проникнуть нарушитель. В результате вы сможете защититься от возможных угроз
Оптимизировать затраты на защиту
Составление ранжированного перечня потенциальных угроз безопасности компании позволит концентрировать усилия в первую очередь на устранение критических угроз и предотвратить финансовые потери
Повысить репутацию
Проводите регулярный аудит своих систем безопасности и минимизируйте риски возникновения новых угроз. Выстроив эффективную систему защиты, вы сможете сохранить конфиденциальные данные компании, клиентов и партнёров в безопасности
Компрометация и кража данных
сбор персональной информации для несанкционированного использования
Утечки информации
неконтролируемое распространение информации за пределы организации
Атаки на веб-приложения
с целью получения конфиденциальных данных пользователей
Кибершпионаж
несанкционированное, часто незаконное получение доступа к защищённой информации с различными целями
Вредоносное ПО
программное обеспечение для нарушения нормальной работы компьютеров или приложений
Фишинг
вид интернет-мошенничества c целью получения доступа к конфиденциальным данным пользователей
С какими угрозами сталкиваются компании?
Уязвимость нулевого дня
программная уязвимость, обнаруженная злоумышленниками до того, как о ней узнали производители программы
DDoS-атаки
хакерская атака на вычислительную систему с целью довести её до отказа
Веб-атаки
метод мошенничества с использованием веб-системы и службы в качестве вектора угрозы
Ботнет
компьютерная сеть из некоторого количества хостов с запущенными ботами
Программы-вымогатели
зловредное ПО для вымогательства, блокирует доступ к компьютерной системе
Спам
непрерывный поток сообщений с бессмысленным содержанием, угрозами, рекламным содержанием или вирусами
видео, созданные с помощью искусственного интеллекта
акт захвата компьютера для майнинга криптовалют
Дипфейки с использованием AI
Криптоджекинг
Атаки на веб-приложения
с целью получения конфиденциальных данных пользователей
Кибершпионаж
несанкционированное, часто незаконное получение доступа к защищённой информации с различными целями
Фишинг
вид интернет-мошенничества c целью получения доступа к конфиденциальным данным пользователей
Репутационный ущерб
Задержка в принятии оперативных мер в ликвидации инцидента приводит к снижению лояльности клиентов, негативным упоминаниям в СМИ и влияет на операционные бизнес-показатели
Штрафы за нарушение законодательства
Активно дорабатывается законопроект об оборотных штрафах за утечки персональных данных в компаниях. Размер штрафа для юридического лица может составить от 5 млн до 500 млн рублей
Какой ущерб может быть нанесен бизнесу?
Финансовые потери
На ликвидацию последствий атак компании тратят более 50% доходов. Период полного восстановления занимает от 2 дней до 7 дней простоя и дольше
Судебные иски от пострадавших клиентов
За 2 года количество судебных исков о получении компенсации после утечки персональных данных из-за действий мошенников выросло на 60%. Ответчиком по искам выступают компании-операторы персональных данных
На ликвидацию последствий атак компании тратят более 50% доходов. Период полного восстановления занимает от 2 дней до 7 дней простоя и дольше
Задержка в принятии оперативных мер в ликвидации инцидента приводит к снижению лояльности клиентов, негативным упоминаниям в СМИ и влияет на операционные бизнес-показатели
Активно дорабатывается законопроект об оборотных штрафах за утечки персональных данных в компаниях. Размер штрафа для юридического лица может составить от 5 млн до 500 млн рублей
За 2 года количество судебных исков о получении компенсации после утечки персональных данных из-за действий мошенников выросло на 60%. Ответчиком по искам выступают компании-операторы персональных данных
Как проходит работа над проектом в Singleton Security
Получение исходных данных
Получение исходных данных от заказчика и проверка их корректности
1
Сценарии компрометации
Составление возможных сценариев компрометации приложения с использованием полученных данных для демонстрации возможных угроз и рисков безопасности приложения
Поддержка
Оказание консультативной поддержки по результатам аудита безопасности, выполнению рекомендаций и повторной проверке корректности устранения уязвимостей
Подготовка
Изучение объекта тестирования, сбор информации о цели, согласование дополнительной информации, полученной в ходе исследования
Тестирование на проникновение / анализ защищенности
Исследование бизнес-логики приложения, поиск «тонких» мест в механизмах приложения, поиск уязвимостей и подготовка примеров эксплуатации
Анализ степени критичности
Определение критически опасных потенциальных угроз и составление поэтапного плана по их устранению
Разработка рекомендаций, формирование отчета
Предоставление заключения о результатах аудита с практическими рекомендациями по снижению рисков ИБ
2
3
6
5
4
7
Как проходит работа над проектом в Singleton Security
Получение исходных данных от заказчика и проверка их корректности
Изучение объекта тестирования, сбор информации о цели, согласование дополнительной информации, полученной в ходе исследования
Исследование бизнес-логики приложения, поиск «тонких» мест в механизмах приложения, поиск уязвимостей и подготовка примеров эксплуатации
Составление возможных сценариев компрометации приложения с использованием полученных данных для демонстрации возможных угроз и рисков безопасности приложения
Определение критически опасных потенциальных угроз и составление поэтапного плана по их устранению
Предоставление заключения о результатах аудита с практическими рекомендациями по снижению рисков ИБ
Оказание консультативной поддержки по результатам аудита безопасности, выполнению рекомендаций и повторной проверке корректности устранения уязвимостей
PTES
Стандарт выполнения тестирования на проникновение: подходы и руководство по основным аспектам тестирования
OSSTMM
Методология тестирования безопасности с открытым исходным кодом, описывает визуальное отображение основных категорий ИБ
ISSAF
Стандарт технической оценки аспектов ИБ в приложениях, ИС и сетях; описывает мероприятия по аудиту ИБ
WASC
Классификация недостатков и классов атак, ведущих к компрометации веб-приложений
NIST 800-115
Перечень наиболее опасных рисков ИБ для веб и мобильных приложений, по мнению мирового экспертного сообщества
PCI DSS
Международный стандарт безопасности и защиты данных платёжных карт
Стандарты CIS
Набор показателей, методов и рекомендаций для оценки защищенности ИТ-систем
CVSS
Какие методики использует в работе Singleton Security?
Открытый стандарт для оценки степени опасности уязвимостей
MITRE ATT&CK
Центр тактик и техник злоумышленников, используемых для определения рисков, расстановки приоритетов и концентрации усилий по защите
Методика PETA
Методика проектного подхода к тестированию информационных систем
OWASP
Стандарт для разработки, внедрения и поддержания процессов и процедур тестирования
PTES
Серый, Белый и Чёрный ящики
NIST 800-115
Стандарт ключевых элементов тестирования безопасности
OWASP
Перечень наиболее опасных рисков ИБ для веб и мобильных приложений, по мнению мирового экспертного сообщества
ISSAF
Стандарт оценки приложения, системы и средств управления сетью
MITRE ATT&CK
Центр тактик и техник злоумышленников, используемых для определения рисков, расстановки приоритетов и концентрации усилий по защите
CVSS
Открытый отраслевой стандарт для оценки уязвимостей
PCI DSS
Международный стандарт обеспечения безопасности данных платёжных карт
Стандарты CIS
Набор показателей, методов и рекомендаций для оценки защищенности ИТ-систем
ISSAF
Какие методики использует в работе Singleton Security?
Стандарт технической оценки аспектов ИБ в приложениях, ИС и сетях; описывает мероприятия по аудиту ИБ
WASC
Классификация недостатков и классов атак, ведущих к компрометации веб-приложений
NIST 800-115
Стандарт для разработки, внедрения и поддержания процессов и процедур тестирования
Методика PETA
Методика проектного подхода к тестированию информационных систем
Penetration Testing Execution Standard
The Open Source Security Testing Methodology Manual
Information System Security Assessment Framework
Web Application Security Consortium) Threat Classification
Open Web Application Security Project
Payment Card Industry Data Security Standard
Center for Internet Security
Common Vulnerability Scoring System
Партнёры Singleton Security крупнейшие российские компании
Их выбору можно доверять
Благодарности наших клиентов
У вас есть вопросы? Получите бесплатную консультацию!