Компания «Код безопасности» расширяет перечень профессиональных сервисов и открывает новое направление услуг – анализ безопасности ПО. Интерес к данному виду деятельности продиктован его высокой рыночной динамикой, а также растущим спросом компаний. Реализацией проектов по проведению тестов на проникновение займется выделенная команда специалистов компании в Пензе.
Направление анализа безопасности ПО на предмет уязвимостей пользуется стабильным спросом как у государственных структур, так и у коммерческого сектора. Привлечение к аудиту информационно-телекоммуникационной инфраструктуры и программного обеспечения этичных хакеров («белых шляп») позволяет поддерживать необходимый уровень защищенности за счет своевременной идентификации и нейтрализации ключевых рисков информационной безопасности.
Спрос на аудит безопасности диктуют и новые инициативы регуляторов. Так, в рамках программы «Цифровая экономика» на обеспечение проведения тестов на проникновение предполагается выделить порядка 800 млн руб. Усиливается и регулирование финансовой отрасли в части ИБ. Летом 2018 г. были внесены поправки в положение ЦБ 382-П: согласно документу, кредитным организациям следует ежегодно проводить тестирование на проникновение, а раз в два года осуществлять внешний комплексный аудит кибербезопасности.
«В «Коде безопасности» работают высококвалифицированные эксперты, а процесс разработки в компании соответствует требованиям ГОСТ: в жизненном цикле каждого продукта проводятся процедуры, направленные на выявление уязвимостей и их своевременное устранение, – рассказал Дмитрий Зрячих, технический директор компании «Код безопасности». — Так что компания обладает необходимой экспертизой в полной мере. Для развития компетенций сотрудников в части анализа защищенности, а также для углубления наших знаний в части векторов и моделей новых атак принято решение о создании выделенного подразделения, которое будет заниматься анализом защищенности. Это также даст возможность улучшить продукты, сделать их более безопасными».
Заказчикам «этичных хакеров» будут доступны следующие виды услуг:
- комплексный аудит информационной безопасности (information security audit)
- тестирование на проникновение (penetration testing):
o информационных и телекоммуникационных систем
o веб-приложений и интернет-сервисов
o программно-аппаратных решений
- анализ защищенности программного обеспечения (software security analysis):
o от драйверов до приложений для платформ Mac, Linux, Windows
o мобильных приложений Android, iOS
o встроенного (embedded) программного обеспечения
- расследование инцидентов в сфере информационной безопасности (cyber security forensics)
- консалтинг в сфере информационной безопасности.
В результате выполнения работ по любому из направлений заказчик получает не просто отчет, а полное понимание уровня защищенности своей ИТ-инфраструктуры и практические рекомендации по эффективной защите от возможной хакерской атаки.
В течение первого года основные усилия «этичных хакеров» будут сконцентрированы на развитии команды, укреплении и расширении спектра компетенций, а также на установлении деловых связей с партнерами и клиентами, расширении портфеля реализованных проектов. На текущий момент успешно выполнен ряд проектов по направлениям анализа защищенности сетевых инфраструктур, мобильных приложений, веб-решений, сетевого оборудования и программно-аппаратных комплексов. Проекты выполнялись как в интересах подразделений «Кода безопасности», так и для других компаний.
