Розробка архітектури безпеки

Для застосунків та системи

Чим раніше буде врахована інформаційна безпека в життєвому циклі застосунку, тим менше становитиме вартість та строки її імплементації:

План проекту

Картика 1

1. Визначення початкових вимог

  • Бізнес вимоги
  • Вимоги регуляторів та законодавства
  • Вимоги вендорів
  • Кращі практики з налаштування систем ІБ
Ресурс 9@2x

2. Моделювання загроз

  • Аналіз можливих загроз
  • Визначення відповідних контролів
Картинка 2

3. Архітектура захисту

  • Архітектура застосунку
  • Архітектура мережі та засоби захисту
Ресурс 6@2x

4. Технічні контролі

  • Ідентифікація
  • Аутентифікація
  • Авторизація
  • Керування сесіями
  • Валідація вхідних даних
  • Криптографія
  • Керування помилками
Картинка 5

5. Процеси (нетехнічні контролі)

  • Тестування
  • Навчання розробників
  • Аналіз ризиків
  • Моніторинг та логування
  • Встановлення патчів
  • Керування інцидентами
  • Керування змінами
  • Фізична безпека
  • Керування потужностями
  • Керування вразливостями
  • Тести на проникнення

У вимогах ми враховуємо OWASP Top 10 та SANS CWE 25

CWE_SANS top 25

Топ 25 найнебезпечніших помилок програмного забезпечення CWE/SANS

  • CWE-89 Некоректна фільтрація даних, що використовуються в SQL (‘SQL-ін’єкція’)
  • CWE-78 Некоректна фільтрація даних, що використовуються в OS (‘Ін’єкція OS’)
  • CWE-79 Некоректна фыльтрація вхідних даних при створенні web-сторінки (‘XSS’)
  • CWE-434 Необмежене закачування файлу небезпечного типу
  • CWE-352 Підробка запиту з перехресним посиланням (міжсайтового скриптинга) (CSRF)
  • CWE-601 Перенаправлення з URL до недовіреного сайту (‘відкрите перенаправлення’)
  • CWE-120 Копіювання в буфер без перевірки розміру даних (‘Переповнення буфера’)
  • CWE-22 Некоректне обмеження імені шляху до каталогу (‘обхід каталогу’)
  • CWE-494 Завантаження коду без перевірки цілісності
  • CWE-829 Додавання функціональності з недовіреної сфери керування
  • CWE-676 Використання потенційно небезпечної функції
  • CWE-131 Неправильне обчислення розміру буфера
  • CWE-134 Неконтрольований рядок форматування
  • CWE-190 Цілочисельне переповнення або циклічне повернення
  • CWE-306 Відсутність аутентифікації для критичної функції
  • CWE-862 Відсутність авторизації
  • CWE-798 Використання вбудованих облікових даних
  • CWE-311 Відсутність шифрування критичних даних
  • CWE-807 Довіра ненадійним вхідних даним в прийнятті рішень з безпеки
  • CWE-250 Виконання з надмірними повноваженнями
  • CWE-863 Некоректна авторизація
  • CWE-732 Некоректне привласнення дозволу на критичний ресурс
  • CWE-327 Використання зламаного або небезпечного алгоритму шифрування
  • CWE-307 Некоректне обмеження числа додаткових спроб аутентифікації
  • CCWE-759 Використання хешування без використання випадкового числа (пароля)
owasp top10

Топ-10 найбільш критичних ризиків безпеки WEB-застосунків від OWASP

  • A1 ін’єкція коду
  • A2 Некоректна аутентифікація та керування сесією
  • A3 Витік чутливих даних
  • A4 Впровадження зовнішніх XML- сутностей (XXE)
  • A5 Порушення контролю доступу
  • A6 Небезпечна конфігурація
  • A7 Міжсайтовий скриптинг (XSS)
  • A8 Небезпечна десеріалізація
  • A9 Використання компонентів з відомими вразливостями
  • A10 Відсутність журналювання та моніторингу

Використовувані практики

Замовити послугу

Отримати комерційну пропозицію або консультацію експерта

Заповніть форму і ми з Вами зв’яжемося.