Защита приложений (Application Security)
Помогаем оценить текущий уровень защищенности, предотвратить внешние атаки и встроить информационную безопасность в жизненный цикл разработки
Получите консультацию
Оставьте свои контактные данные, наши специалисты свяжутся с вами в ближайшее время
Решаемые задачи
Защита веб-ресурсов от внешних атак
Защита контейнерных сред
Защита от вредоносных ботов
Разграничение прав доступа к ресурсам
Защита веб-ресурсов от внешних атак
Внедрение межсетевого экрана уровня Web-приложений (WAF) позволяет защитить приложения от внешних атак, сохранить их целостность и доступность для пользователей
Защита контейнерных сред
Платформа защиты контейнерной среды (CNAPP) позволяет автоматически выявлять уязвимости образов контейнеров и небезопасные настройки оркестратора, контролировать сетевое взаимодействие между компонентами
Защита от вредоносных ботов
Позволит настроить средства защиты и заблокировать вредоносную активность, снизить нагрузку на ваши ресурсы
Разграничение прав доступа к ресурсам
С помощью системы класса Web Access Management (WAM) вы сможете выстроить политики управления доступом к приложениям с использованием механизмов двухфакторной аутентификации и единого входа в систему (SSO)
Контроль запросов к базе данных
Система мониторинга активности (DAM) помогает защитить базы данных от вредоносных запросов и утечек, контролировать запросы пользователей, администраторов БД и фиксировать подозрительную активность
Оценка уровня защищенности
В результате аудита безопасности веб-, мобильных приложений, контейнерных сред и API вы получите список наиболее критичных уязвимостей своих интернет-ресурсов и рекомендации по их устранению
Встраивание средств защиты в конвейер сборки
Интегрируем проверки безопасности в существующий процесс CI/CD, делаем средства защиты частью жизненного цикла разработки
Построение стратегии перехода к DevSecOps
Аудит жизненного цикла разработки позволит получить готовую стратегию перехода к безопасному циклу разработки (Secure SDLC, DevSecOps), оптимизировать затраты на переход
Межсетевой экран уровня веб-приложений (WAF)
- Защищает веб-приложения и API от внешних атак из списка OWASP Top-10, L7 DDoS и др.
- Система балансирует нагрузку на серверы приложений, предотвращает эксплуатацию имеющихся в приложении уязвимостей, поддерживает целостность ресурсов и требуемые показатели их доступности для клиентов
Наши решения
Платформа для защиты контейнерных сред (CNAPP)
- Автоматически проверяет конфигурацию кластера на соответствие требованиям безопасности, выявляет уязвимости и открытые секреты в образах, блокирует вредоносное сетевое взаимодействие между контейнерами
Система управления уязвимостями
- Выявляет имеющиеся уязвимости элементов инфраструктуры, позволяет приоритезировать их для выстраивания эффективного процесса управления (Vulnerability Management, VM)
Система контроля доступа к веб-ресурсам (Web Access Management)
- Позволяет выстроить требуемую политику управления доступом к приложениям, с использованием механизмов двухфакторной аутентификации и единого входа в систему (SSO)
Система мониторинга активности баз данных (Database Activity Monitoring)
- Защищает базы данных от вредоносных запросов и утечек, контролирует запросы пользователей, администраторов БД и фиксирует подозрительную активность
Дополнительные услуги
Аудит безопасности приложений
Позволяет оценить текущий уровень защищенности приложений, получить приоритезированный список имеющихся уязвимостей и инструкции по их устранению
Экспертная настройка средств защиты приложений
Повышает эффективность работы имеющихся средств защиты, позволяет встроить их в действующие процессы компании (в т.ч. в разработку)
Построение цикла безопасной разработки (Secure SDLC, DevSecOps)
Позволяет получить готовую стратегию по переходу к безопасному циклу разработки, встроить ИБ в действующие процессы и оптимизировать затраты на трансформацию
Наши кейсы
Ситуация
Помимо защиты веб-ресурсов было необходимо выявить и устранить уязвимости, которые могли бы быть использованы внешними злоумышленниками
Решение
Мы предложили заказчику решение на базе вендора F5. Оно позволяет анализировать запросы к веб-приложениям, контролировать сетевой трафик на эксплойты и выявлять возможности развития сетевых атак. В ходе проекта было проведено обследование существующего скопа интернет-ресурсов клиента, спроектирована целевая схема системы и произведены установка и настройка систем
Результат
Более 70 приложений и веб-порталов заказчика защищены от кибератак. Клиент смог снизить простои из-за инцидентов информационной безопасности и минимизировать репутационные и финансовые риски
Крупный ритейлер
Обеспечение безопасности интернет-ресурсов крупного ритейлера
Ситуация
Помимо защиты веб-ресурсов было необходимо выявить и устранить уязвимости, которые могли бы быть использованы внешними злоумышленниками
Решение
Мы предложили заказчику решение на базе вендора F5. Оно позволяет анализировать запросы к веб-приложениям, контролировать сетевой трафик на эксплойты и выявлять возможности развития сетевых атак. В ходе проекта было проведено обследование существующего скопа интернет-ресурсов клиента, спроектирована целевая схема системы и произведены установка и настройка систем
Результат
Более 70 приложений и веб-порталов заказчика защищены от кибератак. Клиент смог снизить простои из-за инцидентов информационной безопасности и минимизировать репутационные и финансовые риски
Крупный ритейлер
Обеспечение безопасности интернет-ресурсов крупного ритейлера
Ситуация
Клиент захотел повысить безопасность как конечного продукта, так и каждого этапа его создания. Так как уязвимости в ПО зачастую являются следствием ошибок или неучтенных требований информационной безопасности (ИБ) и могут приводить к несанкционированному доступу внешних злоумышленников к критическим системам
Решение
Наши специалисты ИБ разработали концепт по усилению безопасности на этапе DevOps, таким образом сформировав процесс DevSecOps. Для этого были проанализированы действующие процессы разработки ПО и применяемые технические средства. А после подготовлены рекомендации, соответствующие лучшим мировым стандартам в области ИБ
Результат
Специалистами КРОК были выработаны предложения по:
- реализации процессов обеспечения безопасности в ходе разработки (DevSecOps)
- использованию специализированных средств по защите информации
При выполнении рекомендаций клиент сможет повысить качество и безопасность ПО, минимизировать финансовые и репутационные риски, связанные с разработкой уязвимого для мошенников программного обеспечения
- реализации процессов обеспечения безопасности в ходе разработки (DevSecOps)
- использованию специализированных средств по защите информации
При выполнении рекомендаций клиент сможет повысить качество и безопасность ПО, минимизировать финансовые и репутационные риски, связанные с разработкой уязвимого для мошенников программного обеспечения
Крупный ритейлер
Создание концепта DevSecOps
Ситуация
Клиент захотел повысить безопасность как конечного продукта, так и каждого этапа его создания. Так как уязвимости в ПО зачастую являются следствием ошибок или неучтенных требований информационной безопасности (ИБ) и могут приводить к несанкционированному доступу внешних злоумышленников к критическим системам
Решение
Наши специалисты ИБ разработали концепт по усилению безопасности на этапе DevOps, таким образом сформировав процесс DevSecOps. Для этого были проанализированы действующие процессы разработки ПО и применяемые технические средства. А после подготовлены рекомендации, соответствующие лучшим мировым стандартам в области ИБ
Результат
Специалистами КРОК были выработаны предложения по:
- реализации процессов обеспечения безопасности в ходе разработки (DevSecOps)
- использованию специализированных средств по защите информации
При выполнении рекомендаций клиент сможет повысить качество и безопасность ПО, минимизировать финансовые и репутационные риски, связанные с разработкой уязвимого для мошенников программного обеспечения
- реализации процессов обеспечения безопасности в ходе разработки (DevSecOps)
- использованию специализированных средств по защите информации
При выполнении рекомендаций клиент сможет повысить качество и безопасность ПО, минимизировать финансовые и репутационные риски, связанные с разработкой уязвимого для мошенников программного обеспечения
Крупный ритейлер
Создание концепта DevSecOps
Команда
Андрей Заикин
Руководитель направления "Информационная безопасность"
Руководитель направления "Информационная безопасность"
Полина Мельник
Менеджер по продвижению решений
Менеджер по продвижению решений
Адрес: 111033, Москва, ул. Волочаевская, д. 5, корпус 1
Время работы: 10.00 — 20.00
Тел.: +7 (495) 974-22-74, +7 (495) 797-47-99
Время работы: 10.00 — 20.00
Тел.: +7 (495) 974-22-74, +7 (495) 797-47-99
©
КРОК, 2022