Не оставить нарушителю вариантов
Оценка текущих и определение недостающих барьеров на пути атакующего
Мы знаем как развиваются атаки и проверяем механизмы защиты, препятствующие им на каждом этапе.

Это позволяет выстроить барьеры защиты ровно в тех местах, где они нужны.

Аудит практической безопасности

  • Оценка механизмов защиты по исчерпывающему списку
    По пути следования атак мы проверяем, насколько эффективно реализованы механизмы защиты, препятствующие им
  • Дорожная карта — приоритизированный список практических мер, которые закрывают потенциальные каналы атак
    Все меры связаны с атаками и ориентированы исключительно на реальную безопасность, поэтому приоритеты прозрачны, понятны и обоснованны
  • Понимание как качественнее и оптимальнее внедрить меры защиты
    Всегда существует несколько вариантов, среди которых мы помогаем выбрать лучший для данного конкретного случая
Область аудита
Мы анализируем подверженность всем популярным векторам атак
  • Объекты
    • Внешний периметр
    • Внутренняя инфраструктура
    • Сотрудники
  • Действия нарушителя
    • Проникновение
    • Продвижение по сети
    • Закрепление и нанесение ущерба
  • Способы проникновения
    • Эксплуатация уязвимостей
    • Использование ошибок в конфигурациях
    • Фишинг
    • Подбор и кража учетных данных
  • Минимизация ущерба
    • Восстановление работоспособности систем и данных
    • Мониторинг
    • Реагирование на инциденты
Что мы делаем
Мы проверяем все, что влияет на реальную защищенность
  • 1
    Проверяем реализацию механизмов защиты
    Оценка более 100 механизмов защиты, непосредственно влияющих на реализуемость атак: от сложности паролей до запрета отдельных небезопасных функций
  • 2
    Сканируем на уязвимости
    Мы используем несколько специализированных сканеров для оценки наличия уязвимостей на периметре и внутри сети
  • 3
    Оцениваем архитектуру
    Изучение и анализ архитектуры на предмет влияния на возможные атаки и минимизацию их последствий, выявление критичных с точки зрения безопасности мест
  • 4
    Проверяем критичные настройки
    AD, сетевое оборудование, серверы, рабочие станции и средства защиты
  • 5
    Уделяем особое внимание популярным угрозам
    Таким как фишинг, шифровальщики, подбор паролей и т. д.
Что мы проверяем
Выполнение более 100 механизмов защиты, основанных на опыте использования MITRE ATT@CK, CIS Controls, ISO/IEC 27 002, документов ФСТЭК и ЦБ, а также различных hardening guides и security benchmarks
  • Идентификация и аутентификация
    Защита от подбора и кражи учетных данных, а также обхода механизмов аутентификации
  • Разграничение и контроль доступа
    Ограничение доступа к критичным системам и данным, уменьшение поверхности атак, выстраивание барьеров для продвижения по сети
  • Защита сети

    Уменьшение поверхности атак, безопасная архитектура, противодействие проникновению и продвижению
  • Защита серверов и рабочих станций
    Настройки безопасности, противодействие повышению привилегий, запуску вредоносного программного обеспечения и получению несанкционированного доступа
  • Обновление и уязвимости

    Оперативное выявление и закрытие критичных уязвимостей, управление уязвимостями
  • Резервирование и восстановление
    Минимизация ущерба и непрерывность информационных систем и бизнеса
  • Логирование и мониторинг
    Своевременное выявление и расследование инцидентов
  • Осведомленность

    Противодействие социальной инженерии, эффективное управление информационной безопасностью
  • Реагирование на инциденты
    Оперативное прекращение атак до нанесения ущерба или его минимизация, недопущение повторения атак
Варианты работы
  • Аудит
    Оценка на момент аудита и понимание дальнейших действий
  • Сервис
    Последовательное выстраивание оптимальной защиты с учетом изменяющихся условий

Сервис управления практической безопасностью

Мы поможем планомерно выстроить и поддерживать соразмерную рискам систему защиты, обеспечим навигацию среди всего многообразия механизмов и средств защиты
Актуальность
Благодаря регулярному аудиту Вы всегда имеете актуальную оценку защищенности и дорожную карту, учитывающие внешние и внутренние изменения, а также реализацию защитных мер
Управляемость
Помогаем планомерно реализовывать механизмы защиты и процессы ИБ в режиме консультирования или полностью возьмем процесс на себя
Защищенность
Поддерживаем работу механизмов защиты и процессов ИБ там, где это выгодно отдать на аутсорсинг, а также осуществляем поддержку при реагировании на инциденты
Оптимальность
Чутко следим за балансом между эффектом для бизнеса и вложениями в защиту, консультируем по существующим вариантам защиты от рисков и реализации механизмов защиты, оптимизации управления информационной безопасностью

Несколько фактов

Полученных с помощью нашего продукта Netlas
  • Более 50 млн. хостов с критичными уязвимостями
  • Более 32 тыс. баз данных Elasticsearch и MongoDB, открытых для всех
  • Более 1,5 млн. web-серверов с открытым доступом к файлам (в т.ч. более 10 тысяч содержат копии баз данных)
  • Более 88 тыс. хостов используют SMBv1 и уязвимы к множеству атак

Только реальная защищенность, которая нужна

Defence in depth
Наш подход основывается на том, что система защиты — это далеко не только набор средств защиты. Это, в том числе, вопрос архитектуры, используемых технологий, процессов и настроек. Бывает лучше убрать саму возможность проникновения, реализовав соответствующие настройки и уменьшив поверхность атаки, а не внедрять дорогие средства защиты. Мы предлагаем варианты, комплексно защищающие от конкретных атак (техник/этапов).
Максимизация ROI
В условиях бесконечного бюджета, задача обеспечения безопасности была бы сильно проще. Мы знаем, как создать оптимальную защиту с точки зрения баланса эффективности и инвестиций.
Связь с реальностью
Вместо оценок важности (критичности, опасности и т. д.) вроде «высокий» / «средний» / «низкий» мы используем влияние мер/механизмов защиты на этапы атак и распространенность этих атак, чтобы наглядно показать важность или ее отсутствие тех или иных мер/механизмов для конкретной компании.

Практическая безопасность от Акрибии — это надежно

  • Квалификация
    Мы имеем значительный опыт как в управлении безопасностью, так и в реализации конкретных механизмов защиты от конфигурирования СЗИ до управления инцидентами
  • Ориентированность на реальную защищенность
    Результат нашей работы состоит в реальной защищенности, динамику которой можно отследить и оценить
  • Продвинутые технологии
    В течение более чем 9 лет мы разрабатываем и совершенствуем наши технологии практической безопасности (например, Netlas)

Оставьте заявку

Мы свяжемся с вами для уточнения деталей запроса и предоставим подробную информацию по интересующей вас теме.
Контакты для связи
Контактные данные обрабатываются на условиях полной конфиденциальности.
Отправляя заявку, вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Все еще не уверены?
Узнайте, что говорят о нас наши клиенты.
Посмотрите, с кем мы уже работаем, и каковы наши конкурентные преимущества.