Мы отталкиваемся от актуальных атак и предлагаем комплекс конкретных мер, который целенаправленно защищает от них на каждой стадии
Наши методики основаны на опыте использования MITRE ATT&CK, CIS Controls, ISO/IEC 27 002, NIST 800−53, документов ФСТЭК и ЦБ, статистике, а также различных hardening guides и security benchmarks
Найти слабые места
Проверить защиту от атак, узнать, что требует улучшения, и как его осуществить
Аудит практической безопасности
Зная как развиваются атаки, мы оцениваем насколько существующие механизмы защиты препятствуют их продвижению и показываем как оптимальным образом выстроить или усовершенствовать защиту от актуальных атак
Когда нужно: проверить эффективность защитных механизмов, понять как оптимальным образом выстроить реальную защиту от актуальных атак
Используя тот же арсенал, что есть у реальных нарушителей, мы проверяем возможность проникновения с использованием актуальных тактик будь то свежие уязвимости, ошибки конфигурации или фишинговые рассылки
Когда нужно: проверить насколько вероятны успешные актуальные атаки, понять величину имеющегося риска и снизить его
Глубокое изучение и проверка настроек защитных функций на соответствие лучшим практикам (benchmarks/ hardening guides), предлагаемым разработчиками и специализированными организациями (CIS, NIST и другие)
Когда нужно: детально проверить настройки безопасности или создать типовые профили конфигурации/чек-листы
Тестирование на проникновение
Имитация действий искушенного нарушителя, который целенаправленно атакует Вашу компанию, постепенно продвигаясь глубже и глубже используя всевозможные тактики и слабые места в выстроенной системы защиты
Когда нужно: проверить выстроенную систему защиты на подверженность таргетированным атакам, найти и обезвредить слабые места
Нет уязвимостей — нет успешных атак. Вы получаете регулярное сканирование, приоритизацию уязвимостей, способы их закрытия, управление процессом нейтрализации, оценку и отслеживание динамики состояния
Не каждый инцидент наносит ущерб, но каждый инцидент является частью цепочки, которая заканчивается ущербом. Мы осуществляем сбор и корреляцию событий из множества источников для своевременного выявления и реагирования на инциденты с целью минимизации ущерба
В случайные моменты времени мы производим те же атаки, что и настоящие нарушители. Вы видите состояние реальной защищенности, его динамику и можете принимать обоснованные решения
Обеспечение безопасности приложений с помощью любого варианта интеграции: поиск уязвимостей по мере развития приложений (белый/черный ящик), консультирование по архитектуре, обеспечение безопасной разработки (SSDLC) и организация bug bounty программ
Несколько фактов
Полученных в процессе наших исследований
Более 50 млн. хостов с критичными уязвимостями
Более 32 тыс. баз данных Elasticsearch и MongoDB, открытых для всех
Более 1,5 млн. web-серверов с открытым доступом к файлам (в т.ч. более 10 тысяч содержат копии баз данных)
Более 88 тыс. хостов используют SMBv1 и уязвимы к множеству атак
Только реальная защищенность, которая нужна
Defence in depth
Наш подход основывается на том, что система защиты — это далеко не только набор средств защиты. Это, в том числе, вопрос архитектуры, используемых технологий, процессов и настроек. Бывает лучше убрать саму возможность проникновения, реализовав соответствующие настройки и уменьшив поверхность атаки, а не внедрять дорогие средства защиты. Мы предлагаем варианты, комплексно защищающие от конкретных атак (техник/этапов).
Максимизация ROI
В условиях бесконечного бюджета, задача обеспечения безопасности была бы сильно проще. Мы знаем, как создать оптимальную защиту с точки зрения баланса эффективности и инвестиций.
Связь с реальностью
Вместо оценок важности (критичности, опасности и т. д.) вроде «высокий» / «средний» / «низкий» мы используем влияние мер/механизмов защиты на этапы атак и распространенность этих атак, чтобы наглядно показать важность или ее отсутствие тех или иных мер/механизмов для конкретной компании.
Практическая безопасность от Акрибии — это надежно