Заказчик заключил с нами рамочный договор на регулярное проведение тестирований на проникновение внутренних и внешних систем, в том числе и отдельных компонентов и средств защиты информации. Это позволило систематизировать и оптимизировать процесс тестирования, обеспечив его регулярность и эффективность.

Организовать регулярные комплексные анализы защищенности целевых систем путем тестирования на проникновение с применением широкого спектра существующих инструментов и с подробным описанием используемых методик. Консолидировать выявленные уязвимости и сформировать полноценные дорожные карты не только по их устранению, но и для постоянного повышения уровня защищенности целевых систем. В целях уменьшения последующих трудозатрат провести консультации внутренних команд, проработав планы по устранению уязвимостей и предоставив дополнительных рекомендаций по сопровождению систем.

Наша команда систематически проводила тестирования на проникновение более чем 20 целевых систем Заказчика, включая системы управления доступом, системы дистанционного банковского обслуживания (ДБО), торговые платформы, системы видеоконференцсвязи, мобильные приложения на базе IOS и Android, а также отдельные внешние и внутренние целевые ресурсы. Дополнительно были проведены тестирования отдельных API и внутренних компонентов, таких как интеграционные шлюзы и балансировщики.

Работы включали использование методов Dynamic Application Security Testing (DAST) и Static Application Security Testing (SAST) с подробным описанием применяемых подходов. По результатам анализа наши специалисты подготовили рекомендации по устранению выявленных уязвимостей, разработали планы повышения уровня защищенности и сформировали дорожные карты, адаптированные под актуальные потребности Заказчика.

В процессе выполнения работ команда активно консультировала Заказчика и совместно с его сотрудниками разрабатывала и адаптировала планы по устранению выявленных угроз. Дополнительно реализован процесс ведения базы знаний о проведенных тестированиях на проникновение, что позволило централизовать и систематизировать данные для будущего использования.

Благодаря сотрудничеству Заказчик получилком плексную оценку защищенности своих целевых систем, включая внутренние и внешние ресурсы. Результаты анализа конфигураций систем и средств защиты информации были представлены с применением лучших практик безопасности. Подготовленные дорожные карты и рекомендации позволили Заказчику минимизировать риски несанкционированного доступа и обеспечить долгосрочную устойчивость системы. В рамках проекта наша команда создала процесс ведения базы знаний, который также поможет Заказчику поддерживать и улучшать уровень защищенности информационных систем.