Сканер уязвимостей системы

Анализ уязвимостей информационной системы с использованием автоматизированных сканеров и крупнейших баз данных CVE.

Сканирование уязвимостей информационной системы

Сервис сканирования информационных систем на наличие уязвимых компонентов и ошибок в конфигурациях системного и прикладного ПО.

Выполняем сканирование информационного ресурса (сервера, СУБД, рабочие места пользователей) с использованием сканера уязвимостей RedCheck, баз уязвимостей OVALdb и БДУ ФСТЭК России, а также с применением соответствующих профилей настройки безопасности клиентского информационного ресурса.

Сценарии применения:

Сканирование информационных систем на наличие уязвимостей
Анализ конфигурации системы, в том числе и на соответствие стандартов информационной безопасности

Название услуги

Сканер уязвимостей

Стоимость услуги

По запросу

Сканирование на наличие уязвимостей

Анализ информационной системы на наличие неустановленных критических обновлений безопасности, слабой парольной политики и ошибок в конфигурации ПО. Контроль наличия уязвимого или неподдерживаемого программного обеспечения и нарушений выбранных политик безопасности.

Проводим следующие виды аудита

Аудит уязвимости
Аудит в режиме «пентест»
Аудит конфигурации сетевого оборудования
Аудит конфигурации среды виртуализации
Аудит СУБД, серверов приложений
Аудит безопасности АСУ ТП

Поиск уязвимостей осуществляется с использованием базы сигнатур открытого репозитория OVALdb. База сигнатур ежедневно обновляется и синхронизируется с базой NVD (National Vulnerability Database).

Анализ уязвимостей информационной системы осуществляется с использованием автоматизированных сканеров и крупнейших баз данных CVE.

Аудит в режиме «пентест»

Аудит в режиме пентеста осуществляется в режиме чёрного ящика с миннимальными знаниями об ИС и отсутствием привилегий пользователя. В процессе определяются параметры сканируемого сервера, ОП, порты, протоколы, наличие сервисов. По различным признакам определяются версии установленного ПО и уязвимости для сканированного хоста с использованием базы OVALdb.

Аудит конфигурации среды виртуализации

Выполняем комплексную оценку безопасности платформ виртуализации, включая:

аудит конфигурации серверов виртуализации и управления
определение уязвимости и неустановленных критических обновлений
контроль соответствия настроек рекомендациям вендора и Security Hardening

Аудит серверов приложений

В современных ИС сервера приложений имеют огромное количество параметров и настроек, от которых зависит безопасность приложений. Для эффективного контроля безопасной конфигурации сервера предлагаем использовать профили конфигурации безопасности серверов приложений таких как Apache, Nginx, Microsoft IIS, Microsoft .NET Framework.

Это позволит снизить требования к количеству персонала и квалификации системного администратора и снизит влияние человеческого фактора на защищённость ИС.

Доступны следующие профили конфигурации серверов приложений:

Веб-сервер Apache, nginx
Сервер приложений Apache Tomcat
Веб сервер IIS и .NET
Сервисы Linux
PHP
Remote Acces Checklist

Аудит СУБД

Практически в любой информационной системе СУБД содержит наиболее чувствительную информацию, поэтому важен своевременный контроль безопасности настроек, закрытия уязвимостей, установки критических обновлений.

В рамках сервиса аудита уязвимости СУБД мы осуществляем сканирование с использованием профилей конфигурации в формате SCAP и на соответствие рекомендациям вендоров.

Этапы предоставления услуги:

Согласование объёма сканирования, способов доступа в систему и используемых методик

Выполнение сканирования, поиск и анализ уязвимостей

Выдача протокола сканирования уязвимостей с подробным описанием по каждой уязвимости, рекомендациями на устранение.

Контроль конфигураций и оценка соответствия политикам безопасности

Сканирование ИС на соответствие требованиям стандартов безопасности, составление профиля настроек и контроль соответствия конфигурации серверов выбранному профилю безопасности. Данные работы могут быть использованы при аттестации объектов информатизации.

В перечень конфигураций для сканирования включены более 1000 программ, включая ПО MS Windows, Linux, СУБД MS SQL, Oracle Database, MySQL, PostgreSQL; средства виртуализации HyperV, VMware, Xen, сервера приложений u Web-сервера. Конфигурации безопасности, включенные в базовую версию сканера.

Контроль конфигураций осуществляется на соответствие рекомендаций вендоров и лучших практик.
Возможность составление индивидуальных профилей и настроек для клиента
Загрузка профилей и настроек в формате SCAP
По итогам выдается протокол по соответствию политике и рекомендации по настройке и устранению и соответствию несоответствий.

Репозиторий OVALdb

При сканировании используется один из крупнейших репозиториев контента безопасности – OVALdb, содержащий параметры конфигурации, обновления безопасности, критерии критичности и определения уязвимости с описанием и рекомендациями по устранению. Также используются базы данных уязвимостей CVE и базы уязвимостей БДУ ФСТЭК России.

Описание контента репозитория основано на языках, входящих в SCAP, а для описания уязвимостей используется язык OVAL (Open Vulnerability and Assessment Language). Содержимое репозитория синхронизируется с международными банками контента безопасности, такими как CIS, MITRE, NIST и другими. OVALdb обладает статусами "OVAL Adopter", "CVE Compatible" и "joval Compatible".

Основные преимущества

Автоматическое индексирование и обнаружение ссылок

Сложный механизм сканирования включает в себя целый ряд методов для сканирования web-приложений. Данный механизм позволяет проиндексировать до 5000 ссылок в каждом ресурсе.

Идентификация уязвимостей web-приложений

Сканирование web-приложений позволяет определить уровень безопасности, идентифицировать найденные уязвимости, «чувствительное содержание» и проанализировать собранные данные. Первоначально данный механизм ищет слабые места, такие как XSS, SQL-инъекции, источник раскрытия информации и обхода каталога.

Анализ угроз web-приложений с помощью построения отчетов

Механизм отчетов в WEBGuard WAS позволяет построить различные виды отчётов с найденными уязвимостями и методами их устранения с сортировкой по группам или по web-приложениям. Имеются отчёты типа ScoreCard и Interactive.

Сканирование с аутентификацией

Наличие имени пользователя и пароля позволяет автоматически проиндексировать HTML формы с аутентификацией. Множественные методы сканирования с аутентификацией поддерживаются для каждого сканирования. В том числе Form, HTTP Basic, NTLM и Digest.

Черный/Белый список

При помощи данных списков можно контролировать, какая часть web-приложения будет просканирована. Чёрный список предотвращает сканер от посещения определённых ссылок, в то время как Белый список обязывает сканер посетить те ссылки, которые содержатся в этом списке.

Поиск «чувствительного содержания»

Данная возможность позволяет находить в HTML формах содержание типа номеров социального страхования, номер кредитных карт, а также строк, определённых пользователем.

Отзывы

Федеральное агентство по делам молодёжи (Росмолодёжь)

Федеральное агентство по делам молодёжи (Росмолодёжь) — федеральный орган исполнительной власти в России, осуществляющий функции по оказанию государственных услуг и управлению государственным имуществом в сфере государственной молодёжной политики, реализации мероприятий, направленных на обеспечение здорового образа жизни молодёжи, нравственного и патриотического воспитания и на содействие реализации молодёжью своих профессиональных возможностей.

Благодарим ООО "Флекс" (Cloud4Y) за многолетнее сотрудничество в области информационных технологий и высокий профессионализм.

К. Д. Разуваева Руководитель ФАДМ

Роснефть-Лояльность

Услуги по предоставлению отказоустойчивой облачной инфраструктуры для CRM системы и аналитического ПО оказываются качественно и в соответствии с действующим договором.

Савицкая Н. А. Генеральный директор ООО "РН-ЛОЯЛЬНОСТЬ"

Микрокредитная компания «Главный займ»

Выбрав Cloud4Y, нам не нужно беспокоиться об обновлениях, патчах безопасности и настройках конфигурации. Облако просто использовать и такой подход экономичен, так как помогает компании снизить затраты на ИТ из-за меньшего количества специалистов, которые необходимы в штате организации. Мы увеличили производительность, возможно, по лучшей цене на рынке и получили отличную рентабельность инвестиций.

Е. С. Чернышов Генеральный директор

Югория Жизнь

Переместив персональные данные клиентов в защитный контур, аттестованный по первому уровню защищенности персональных данных УЗ1, мы закрыли все вопросы и избежали высоких единовременных затрат.
Мы благодарны Cloud4Y за то, что мы нашли надежного поставщика облачных услуг и отличного партнера. Наше сотрудничество длится уже не первый год, и с каждым годом мы наращиваем объем потребляемых услуг.
Хочется отметить комфортную схему расчетов, оперативную пред - и постпродажную поддержку, выгодные опциональные услуги и оперативную работу технической поддержки.

Чусовитин А.В. Главный бухгалтер

Viasat

Когда компания почувствовала необходимость в развертывании такого же удобного и надежного облачного решения для организации корпоративной почты. Cloud4Y развернул для нас почтовый сервер, что позволило оптимизировать взаимодействие между членами нашей команды.
В Cloud4Y и команде мы видим надежного партнера. Компания развивается, чтобы предвидеть и удовлетворить растущие потребности рынка в эпоху, когда автоматизация и технологизация бизнеса приравниваются к одной из главных составляющих успеха.

Виасат Глобал

Платёжный Центр

За время сотрудничества с компанией мы не испытывали проблем ни с производительностью, ни с отказами в работе сервисов. Выделенные ресурсы всегда соответствуют заявленным в договоре, что является большим преимуществом!

Более того, все обращения в техподдержку рассматривались очень оперативно. Специалисты оставались на связи до полного разрешения вопроса.

Компания «Платёжный Центр» выражает благодарность и надеется на дальнейшее плодотворное сотрудничество.

П. А. Плохута IT-директор

МБИ Евразия

Пользуемся в компании арендой виртуального сервера. Понравился гибкий подход, доступная стоимость и стабильность сервера!

ЗАО МБИ Евразия

ФАДН России

Для обеспечения функционирования и развития настоящей системы ФАДН России необходимо было решить 2 задачи: обеспечение отказоустойчивой аттестованной в соответствии с ФЗ-152 инфраструктурой, а также аттестация нашей части инфраструктуры в соответствии с законодательством «О персональных данных» 152-ФЗ по наивысшему уровню защиты информации. Агентство также интересовала финансовая сторона вопроса, при сохранности высокого уровня услуг и технической поддержки.

Все вышеперечисленные задачи удалось решить в полном объёме с облачным оператором Cloud4Y.

Д. Е. Савельев Начальник Управления анализа, прогноза и работы с иностранными гражданами

Blizzard Entertainment

Наша компания арендует сервера в ООО «Флекс» с 2015 года. Мы полностью удовлетворены уровнем сервиса, качеством и надёжностью предоставляемых услуг. Персональный подход, быстрая реакция техподдержки, удобная форма оплаты, предоставление серверов в кратчайшие сроки — всё это на высочайшем уровне. Мы рекомендуем ООО «Флекс» всем нашим партнёрам.

Майкл Фонг Управляющий директор Blizzard Entertainment

Фонд содействия реформированию ЖКХ

ООО «Флекс» выполняет в полном объеме взятые на себя обязательства по договору. Все утвержденные регламенты и SLA соблюдаются в полном объеме. Процессы оказания услуг выстроены, техническая поддержка выполняет задачи в соответствии с взятыми на себя обязательствами по скорости и качеству решения возникающих вопросов.

С.Л. Сучков Заместитель генерального директора

Остались вопросы?

Оставьте заявку и наши сотрудники свяжутся с вами.

А также мы предоставим вам 30 дней бесплатного доступа

Имя * Название компании E-mail * Телефон * Даю Cогласие на обработку персональных данных, согласен и ознакомлен с Политикой конфиденциальности.

Полезные материалы:

Создание системы защиты и оценка защищенности ИСПДн Подключение к СМЭВ Сканирование веб-приложений