— в настоящий момент в сети доступно большое количество инструментов и техник атак на сайты, воспользоваться которыми может даже «школьник»;
— несмотря на встроенные системы безопасности фреймворков, на которых разрабатываются сайты, имеет место быть даже такие уязвимости, как SQLi и прочее;
— согласно статистике, 7 из 10 сайтов имеют уязвимости со статусом «Critical», что позволяет злоумышленнику получить доступ к конфиденциальной информации и скомпрометировать ресурс, или использовать веб-сайт для атаки на внутреннюю сеть;
— аудит безопасности сайта в автоматическом режиме, проводимый раз в квартал, позволяет перекрыть большинство подобных атак. Кроме того, даже полноценный аудит (как в автоматическом, так и в ручном режимах) не перекрывает 100% уязвимостей (вам об этом скажет любой эксперт) — необходимо также проводить аудит исходного кода для 100% безопасности.
Если посчитать стоимость полноценного аудита безопасности: Blackbox (от 100 000 руб.) + аудит исходного кода (Whitebox, от 150 000 руб.) — то стоимость таких работ для типичного e-commerce, к примеру, составит от 250 тыс. рублей, а то и больше — от 500 000 рублей. Согласитесь, не каждая компания может себе такое позволить.
Таким образом, для максимальной компенсации рисков при минимальном бюджете можно ограничиться ежеквартальным аудитом безопасности сайта, который позволит обнаружить и устранить большинство известных векторов атак всего за 15 000 рублей за каждый аудит. Можно, конечно, приобрести сканер безопасности и производить такие проверки самостоятельно — но! для работы с подобными инструментами необходима качественная практическая подготовка в области ИБ — иначе такой скан будет или нерезультативным, или его последствия окажутся печальными.
Результаты проведенного аудита безопасности e-commerce сайта в автоматическом режиме (в обезличенном виде) вы можете скачать по ссылке. Я постарался изложить всю суть мыслей автора по данной статье, если что-то упустил — поправь меня, пожалуйста, LukaSafonov.
Не совсем понятна суть претензии. Каждая статья — уникальна и, как заметил мой коллега, мы действительно рассказываем о нашей деятельности. С таким же успехом можно спросить — «почему вы пишите постоянно об информационной безопасности». Каждая опубликованная статья анализируется, основным показателем является итоговое количество «плюсов».
Акция бессрочна, но решение о проведении первичного аудита принимается индивидуально. Если собираетесь воспользоваться услугой — напишите, пожалуйста, на info@pentestit.ru с указанием адреса тестируемого ресурса.
Для «Zero Security: A» — 12 000 (без учета комиссии за перевод) для физ. лиц, 20 000 для юр. лиц.
Для «Корпоративных лабораторий» — в зависимости от тарифа, Стандарт — 30 000 р., Профи — 60 000 р., Эксперт — 100 000 р.
— в настоящий момент в сети доступно большое количество инструментов и техник атак на сайты, воспользоваться которыми может даже «школьник»;
— несмотря на встроенные системы безопасности фреймворков, на которых разрабатываются сайты, имеет место быть даже такие уязвимости, как SQLi и прочее;
— согласно статистике, 7 из 10 сайтов имеют уязвимости со статусом «Critical», что позволяет злоумышленнику получить доступ к конфиденциальной информации и скомпрометировать ресурс, или использовать веб-сайт для атаки на внутреннюю сеть;
— аудит безопасности сайта в автоматическом режиме, проводимый раз в квартал, позволяет перекрыть большинство подобных атак. Кроме того, даже полноценный аудит (как в автоматическом, так и в ручном режимах) не перекрывает 100% уязвимостей (вам об этом скажет любой эксперт) — необходимо также проводить аудит исходного кода для 100% безопасности.
Если посчитать стоимость полноценного аудита безопасности: Blackbox (от 100 000 руб.) + аудит исходного кода (Whitebox, от 150 000 руб.) — то стоимость таких работ для типичного e-commerce, к примеру, составит от 250 тыс. рублей, а то и больше — от 500 000 рублей. Согласитесь, не каждая компания может себе такое позволить.
Таким образом, для максимальной компенсации рисков при минимальном бюджете можно ограничиться ежеквартальным аудитом безопасности сайта, который позволит обнаружить и устранить большинство известных векторов атак всего за 15 000 рублей за каждый аудит. Можно, конечно, приобрести сканер безопасности и производить такие проверки самостоятельно — но! для работы с подобными инструментами необходима качественная практическая подготовка в области ИБ — иначе такой скан будет или нерезультативным, или его последствия окажутся печальными.
Результаты проведенного аудита безопасности e-commerce сайта в автоматическом режиме (в обезличенном виде) вы можете скачать по ссылке. Я постарался изложить всю суть мыслей автора по данной статье, если что-то упустил — поправь меня, пожалуйста, LukaSafonov.
Для «Корпоративных лабораторий» — в зависимости от тарифа, Стандарт — 30 000 р., Профи — 60 000 р., Эксперт — 100 000 р.
Для «Корпоративных лабораторий» — 12 июня
З.Ы. Отличная статья, Ребята молодцы!