Аудит информационной
безопасности сайта.

Ведение бизнеса через сеть Интернет – ключевое условие успеха современной торговой компании. Все каналы продаж целесообразно интегрировать в единую корпоративную систему управления на платформе «1С:Предприятие».
Стоимость аудита безопасности
Black Box
120 000 руб.
Custom Box
180 000 руб.
White Box
680 000 руб.

Таблица сравнения тарифных планов

Наименование
Black
Box
120 000 руб.
Custom
Box
180 000 руб.
White
Box
680 000 руб.
Исследование, работы только по аудиту ИБ:
1
Консультации, Разработка TЗ на аудит, помощь в выборе ТП, предложение по набору услуг.
2
Исследование безопасности ОС и ПО сервера на уровне черного ящика.
3
Полноценное исследование безопасности сервера, его ОС и ПО.
4
Поиск проблем безопасности кода сайта методом «черного ящика».
5
Частичное исследование безопасности кода сайта.
6
Полное исследование безопасности абсолютного кода сайта.
7
Исследование безопасности сторонних компонентов кода сайта.
8
Исследование безопасности (корректности) публикации сайта.
9
Определение уровня угрозы обнаруженных проблем ИБ (OWASP).
Работы по устранению угроз ИБ сайта (дополнительные услуги):
10
Устранение проблем / угроз безопасности сервера (ОС / ПО).
11
Устранение проблем / угроз безопасности кода (устранение уязвимостей).
12
Устранение проблем / угроз безопасности, связанных с ошибками публикации сайта.
13
Перепроверка устранения уязвимостей по итоговому отчету.
Работы по восстановлению сайта после хакерской атаки (дополнительные услуги):
14
Восстановление нормальной работоспособности ресурса.
15
Устранение последствий хакерской атаки.
16
Поиск и устранение вредоносного кода на сайте.
Дополнительные услуги по обеспечению безопасности сайта:
17
Превентивная защита от DoS / DDoS по геолокационным данным. *
18
Устранение последствий хакерской атаки.
19
Фильтрация нежелательного трафика (спам боты, парсеры, сканеры и т.п.). *
Дополнительные услуги по обеспечению безопасности сайта:
20
Количество месяцев бесплатно
3 (тариф SOC, скидка на тарифы CERT, CERT+ADMIN).
6 (тариф CERT, скидка на тариф CERT+ADMIN).
Итого:
120 000 руб.
180 000 руб.
680 000 руб.
* Услуга предоставляется при подключении подписки на услуги ситуационного центра, тариф «CERT».
** Услуга предоставляется при подключении подписки на услуги ситуационного центра, тариф «CERT+ADMIN».

Описание тарифных планов

Тарифный план «Black Box» — Чёрный ящик.
Для непосредственного управления интернет-магазином предназначены специализированные системы, например "1С-Битрикс: Управление сайтом". Специализированная система обеспечивает взаимодействие между интернет-магазином и покупателями через Интернет.
Тарифный план «Custom Box» — Набор услуг по запросу клиента.
«Custom Box» - является продвинутой версией тарифного плана «Black Box» с большим выбором дополнительных работ по обеспечению безопасности исследуемого сайта.Тарифный план «Custom Box» идеально подходит для полноценного исследования безопасности как для сайтов не имевших ранее проблем с ИБ, так и для сайтов находящихся действием хакерской атаки, либо испытывающих проблемы в последствии хакерских атак. Большой выбор опциональных работ позволяет обеспечить надежную защиту сайта от взлома и хакерских атак.

По окончанию работ, входящих в тариф «Custom Box», предоставляется бесплатная подписка на услуги ситуационного центра ИБ, в соответствии с тарифом «SOC» сроком на 3 месяца
Тарифный план «White Box» — Белый ящик.
«White Box» - максимально полное исследование безопасности сайта. Тариф «White Box» ориентирован на крупные интернет - проекты, где безопасность конечного сайта является неотъемлемой частью его разработки. По окончанию работ, входящих в тариф «White Box», предоставляется подписка на услуги ситуационного центра ИБ, в соответствии с тарифом «CERT» сроком на 3 месяца.

Наши кейсы

Аксон
Тип проекта:
Интернет торговля
Отрасль:
Товары для дома
Класс продукта:
Интернет-магазин на 1С-Битрикс
Аксон
Байкал сервис
Тип проекта:
Интернет перевозчик
Отрасль:
Транспортная компания
Класс продукта:
Интернет-магазин на 1С-Битрикс
Байкал сервис
Колесо
Тип проекта:
Интернет торговля
Отрасль:
Продажа шин и дисков
Класс продукта:
Интернет-магазин на 1С-Битрикс
Колесо
Motor.kz
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Motor.kz
Adrenalin.ru
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Adrenalin.ru
Мир музыки
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Мир музыки
Подарки тут
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Подарки тут
Semenapost
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Semenapost
Jazz-shop
Тип проекта:
Онлайн-бронь
Отрасль:
Бухгалтерия
Класс продукта:
Интернет-магазин на 1С-Битрикс
Jazz-shop
Lazalka
Тип проекта:
Онлайн-бронь
Отрасль:
Бухгалтерия
Класс продукта:
Интернет-магазин на 1С-Битрикс
Lazalka
Seedpost
Тип проекта:
Онлайн-бронь
Отрасль:
Бухгалтерия
Класс продукта:
Интернет-магазин на 1С-Битрикс
Seedpost
Бератор
Тип проекта:
Онлайн-бронь
Отрасль:
Бухгалтерия
Класс продукта:
Интернет-магазин на 1С-Битрикс
Бератор
Бухгалтерия
Тип проекта:
Онлайн-бронь
Отрасль:
Бухгалтерия
Класс продукта:
Интернет-магазин на 1С-Битрикс
Бухгалтерия
Метео-тв
Тип проекта:
Онлайн-бронь
Отрасль:
Бухгалтерия
Класс продукта:
Интернет-магазин на 1С-Битрикс
Метео-тв
101Hotels
Тип проекта:
Онлайн-бронь
Отрасль:
Туризм
Класс продукта:
Интернет-магазин на 1С-Битрикс
101 Отель
Тасс
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Тасс
Bauer
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Bauer
Mir Cli
Тип проекта:
Online-бронь
Отрасль:
Туризм
Класс продукта:
Интернет-магазин на 1С-Битрикс
Mir Cli
Orbsoft
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Orbsoft
Подарки тут
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Подарки тут
С.Пудовъ
Тип проекта:
Online-бронь
Отрасль:
Туризм
Класс продукта:
Интернет-магазин на 1С-Битрикс
С.Пудовъ
AUTO-LEGION
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Auto-Legion
KADAM
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Kadam
SA.RU
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
sa.ru
SVRAUTO
Тип проекта:
Новостной сайт
Отрасль:
Информационное агентство
Класс продукта:
Интернет-магазин на 1С-Битрикс
Svrauto

Исследуемые угрозы безопасности

  • RCE - Remote code execution (выполнение кода на серверной стороне).
  • SQL инъекции (несанкционированный доступ к БД сайта).
  • Authentication and Session Management Bypass (Обход авторизации учетных записей).
  • PHP инъекции (несанкционированное внедрение кода в серверный скрипт).
  • CRLF выполнение несанкционированных команд в системе, атака в заголовки (header).
  • Инъекции в LDAP (изменение LDAP операторов).
  • Remote File Include (RFI) (удаленное включение файла).
  • Local File Include (LFI) (локальное включение файла).
  • Directory traversal attack (траверс директорий ФС сервера).
  • SSRF (межсерверная подделка запросов).
  • XSS (межсайтовый скриптинг, атака на клиента).
  • CSRF (подделка межсайтовых запросов, атака на клиента).
  • File Upload - возможность загрузки произвольных файлов на сервер.
  • Комбинированные техники и методы взлома и атак.
  • Нестандартные техники и методы взлома и атак.
  • Ошибки выполнения скриптов, публикация системных ошибок.
  • Исследование сайтов на уязвимости, не способные прямо привести к взлому сайта, но позволяющие злоумышленникам использовать сайт и его ресурсы в собственных целях, таких как рассылка спама, размещение «черных» SEO элементов и т.п.
Тарифный план «Black Box» —
Чёрный ящик

Чёрный ящик: исследование ИБ сайта без предоставления учетных данных доступа. Исследование проводится по активному сайту, работающего в Сети Интернет. В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс. Исследование проводится в ручном режиме с использованием специального ПО.

Включенные работы:

  • Поиск угроз безопасности сайта методом черного ящика.
  • Поиск угроз безопасности, характерных для сайтов на CMS 1C-Bitrix.
  • Определение уровня угрозы обнаруженных проблем ИБ (OWASP).
  • Обнаруженные угрозы подтверждаются безопасным POC.
  • Исследование безопасности ОС и ПО сервера на уровне черного ящика.

Стоимость аудита безопасности сайта по тарифу «Black Box»:

120 000 руб.
Тарифный план «Custom Box» —
Набор услуг по запросу клиента.
Lorem ipsum dolor sit amet, consectetur adipisicing elit. Distinctio pariatur impedit nihil facilis quasi, quod officia aspernatur obcaecati amet odio dolore quam maiores natus provident eaque totam veritatis officiis quo!
Тарифный план «White Box» —
Белый ящик
Lorem ipsum dolor sit amet, consectetur adipisicing elit. Distinctio pariatur impedit nihil facilis quasi, quod officia aspernatur obcaecati amet odio dolore quam maiores natus provident eaque totam veritatis officiis quo!

Классификация угроз безопасности
для всех тарифных планов

Уровень угроз обнаруженных угроз безопасности определяется в соответствии с классификациями OWASP Top Ten Project 2017 RC и CWE/SANS Top 25 Most Dangerous Software Errors.

Для сайтов, работающих под управлением CMS «1С-Битрикс», нами разработан собственный классификатор TOP12 угроз, который также может быть отражен в итоговом отчете по результатам сайта.
Уязвимость / Атака / Техника взлома
Уровень угрозы
Баллы
1
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Критический
10
2
SQL инъекции всех типов
Внедрение произвольного кода в SQL запрос
Критический
7-10
3
PHP инъекции
инъекция в PHP код сайта
Критический
10
4
RCE - Remote code execution
Выполнение удалённого кода на сервере «черного ящика»
Критический
10
5
RFI - Remote File Include
Включение удаленного файла в код сайта
Критический
10
6
LFI - Local File Include
Подключение чтение локального файла на сервере
Критический
10
7
Хранимые XSS атаки
межсайтовый скриптинг
Критический
9
8
Отраженные XSS атаки
межсайтовый скриптинг
Высокий
6
9
СSRF атаки
межсайтовая подделка запроса
Высокий
3-10
Ошибки разработки и публикации сайта:
Уязвимость / Атака / Техника взлома
Уровень угрозы
Баллы
1
Загрузка произвольных файлов на сервер
Критический
10
2
Открытый доступ к системным файлам
Критический
7-10
3
Открытый доступ к бэкапам / дампам баз данных
Критический
10

Методы обнаружения угроз безопасности (уязвимостей)

Методы обнаружения уязвимостей в рамках исследований, предлагаемых в тарифных планах «Black Box» и «Custom Box» полностью соответствуют настоящим хакерским атакам и методикам взлома, при этом не представляя для сайта никакой угрозы. Исследование проводится по активному сайту, работающему в Сети Интернет, либо по предложенной dev версии сайта, что позволяет максимально полно оценить уровень безопасности ресурса.
В тарифном плане «White Box» включены работы по ручному исследованию кода сайта.

В рамках проведения исследований, включенных во все тарифы на Аудит безопасности сайта, не ставиться задача по обходу или нейтрализации модуля «Проактивная защита» 1С-Битрикс, равно как и иных способов защиты сайта.

Подтверждение эксплуатационных качеств обнаруженных угроз

Все обнаруженные уязвимости сайта подтверждаются фактом обнаружения, с примерами эксплуатации, без деструктивных последствий для работы сайта.
  • Любые инъекции (SQL, XPath) или инклуды (RFI, LFI) подтверждаются фактомналичия, с практической безопасной эксплуатации уязвимости.
  • Инъекции в БД подтверждаются фактом получения имени БД, имена таблиц, чтение выборочных данных из БД. Инклуды (RFI, LFI) подтверждаются операциями с файлами, в зависимости от типа угрозы.
  • Уязвимости типа RCE - Remote code execution (удаленное выполнение кода на сервере) подтверждаются PHP кодом  <? phpinfo(); ?> , либо любым другимбезвредным кодом.
  • Уязвимости типа XSS - Сross Site Sсriрting (межсайтовый скриптинг) подтверждаются JS кодом  <script>alert(‘XSS’);</script> , либо любым другим безвредным кодом, без эксплуатации атаки.
  • Уязвимости типа CSRF - Сross Site Request Forgery (межсайтовая подделка запроса) подтверждаются фактическими признаками наличия уязвимости, без практической эксплуатации атаки. В случаях, когда угроза CSRF является критической для ИБ сайта, атака подтверждается выполнением безопасного эксплуатационного скрипта.

Подтверждение эксплуатационных качеств
обнаруженных угроз

Итоговый отчет о проведенном аудите содержит структурированный список всехобнаруженных угроз безопасности для сайта, включая детализированную информацию по угрозам ИБ, в соответствии с тарифом.
Пример тестового отчета, с описанием угроз ИБ в файле
Отчёт по тестированию.docx
Скачать

Дополнительно

В 2017 году появился спрос на услугу следующего содержания: Заказчиком услуги является разработчик интернет проекта (сервиса), который он в дальнейшем продает своему клиенту. Без стороннего аудита ИБ, или проведения исследования ИБ собственными силами, клиент не принимает (покупает) продукта.

Для заказчика услуги важен аудит ИБ интернет-проекта в виде совместной работы специалиста по безопасности с его разработчиками. Главные цели, которые преследует заказчик услуги:

1.
Истинная безопасность интернет проекта (результат совместной работы разработчика и специалиста по безопасности).
2.
Итоговый отчет, который в явном виде показывает абсолютное отсутствие классифицируемых по OWASP угроз ИБ. Этот отчет заказчик передает на независимый аудит ИБ, который проводится со стороны покупателя этого проекта.

В августе 2017 года, мы сопровождали интернет – проект, разработкой которого занималось одна крупная московская рекламная группа. Покупателем была компания KPMG, один из лидеров аудиторских компаний «Большой четвёрки», располагающим собственной службой ИТ безопасности:
https://home.kpmg.com/ru/ru/home/services/advisory/risk-consulting/information-protection-and- cybersecurity.html

Главная цель

прохождение проекта ИБ аудиторами компании KPMG и его «сдача»

Мы успешно справились с поставленной задачей в крайне ограниченные сроки. «Обезличенный» вариант – такого отчета прилагаю файлом Результат_тестирования.docx. Скачать (Проект работал не на CMS 1С-Битрикс, там вообще вся разработка, от сервера до кода, на продуктах Microsoft производилась.)

На сегодняшний день мы участвуем в подобном проекте, где в роли покупателя сайта – инфосистемы является государственная компания ПАО «МОЭК». Проект работает на CMS 1С-Битрикс.

Клиенты о нас