Kibernetinio saugumo rinkoje šiandien lengva pasiklysti tarp gausybės techninių žargonų. Dauguma vadovų ir komandų tiesiog ieško racionalaus atsakymo, į ką investuoti norint apsaugoti verslą. Efektyvus saugumas nėra aklas visų paslaugų pirkimas iš eilės. Užtenka objektyviai įvertinti savo verslo procesus ir skaitmeninį turtą, kurį šiuo metu valdote.
Šiame gide padėsime atmesti tai, kas jūsų įmonės dabartiniame etape būtų tiesiog pinigų švaistymas. Supažindinsime su pagrindiniais saugumo vertinimo formatais - nuo bazinio skenavimo iki nuolatinio etinių hakerių darbo, ir parodysime jų tiesioginę įtaką verslui.
Užuot siūlę „viską viename“ sprendimą, padėsime identifikuoti savo situaciją ir pasirinkti tik tai, kas vertingiausia dabar. Žemiau pateikta savianalizė padės per kelias minutes atsijoti nereikalingą informacinį triukšmą. Perskaitę įrašą turėsite aiškų vaizdą ir argumentus kitam pokalbiui su savo IT komanda ar paslaugų tiekėjais.
Ar kuriate savo produktą?
Ar produktas keičiasi kas savaitę ar mėnesį?
Ar labiausiai neramina kodas?
Ar valdote serverius ar tinklą?
Ar turite saugumo specialistą?
Rekomenduojama kryptis
Paslaugų palyginimas
Atverkite kriterijų, kad matytumėte kiekvienos paslaugos detales.
Paaiškinimas Tinklo ekspozicija Atakos scenarijai Kodo rizikos Nuolatinis ritmas
Tinklo skenavimas
Tinklo ekspozicijaNustatoma, ar tinkle pasiekiami nesaugūs įrenginiai.
Įsilaužimo testavimas
Atakos scenarijaiRealių kibernetinių atakų scenarijų simuliacija, siekiant nustatyti nesaugias vietas.
Saugaus kodo peržiūra
Kodo rizikosAuditas, kurio tikslas parodyti rizikingas vietas kode.
Nuolatinė saugumo priežiūra
Nuolatinis ritmasNuolatinis saugumo gerinimas ir įsilaužimų stebėjimas.
Kada rinktis? Bazinis startas Auditas / sutartis Produktas / due diligence Dažni pokyčiai
Tinklo skenavimas
Bazinis startasMinimalus biudžetas, bazinis auditas arba greita IT ūkio inventorizacija.
Įsilaužimo testavimas
Auditas / sutartisStambaus kliento auditas, svarbi sutartis, ISO, NIS2 ar PCI-DSS reikalavimas.
Saugaus kodo peržiūra
Produktas / due diligenceKeičiasi programuotojų komanda, kuriamas produktas arba ruošiamasi due diligence.
Nuolatinė saugumo priežiūra
Dažni pokyčiaiKodas, sistemos ar aplinka keičiasi kas savaitę ar kasdien.
Kam geriausiai tinka? Viešos sistemos Oficialiai ataskaitai Tech produktams Agile / DevOps
Tinklo skenavimas
Viešos sistemosOrganizacijoms, kurios turi viešai pasiekiamų sistemų ir nori suprasti, ką iš interneto matytų užpuolikas.
Įsilaužimo testavimas
Oficialiai ataskaitaiE-komercijai, logistikai, paslaugų sektoriui ir B2B įmonėms, kurioms reikia oficialios ataskaitos.
Saugaus kodo peržiūra
Tech produktamsSaaS, fintech ir startuoliams, kurių kodas yra pagrindinis įmonės turtas.
Nuolatinė saugumo priežiūra
Agile / DevOpsĮmonėms, kurios nuolat plėtoja programinę įrangą, greitai augantiems startuoliams ir programavimo paslaugas teikiančioms komandoms.
Pagrindinė vertė Greita apžvalga Rizikų prioritetai Logika ir architektūra Rizika mažėja ritmu
Tinklo skenavimas
Greita apžvalgaGreitai parodo žinomas, viešai matomas spragas.
Įsilaužimo testavimas
Rizikų prioritetaiParodomi galimų įsilaužimų scenarijų rizikos lygiai.
Saugaus kodo peržiūra
Logika ir architektūraRanda logines ir architektūrines klaidas, kurios nebūtinai matosi iš išorės.
Nuolatinė saugumo priežiūra
Rizika mažėja ritmuGreitai ir dėsningai mažinamos saugumo rizikos, kylančios iš greitai besikeičiančio projekto ar infrastruktūros.
Kada šios paslaugos nereikia? Ribota ataka iš išorės Nėra rankinio scope Nėra nuosavo kodo Retas keitimasis
Tinklo skenavimas
Ribota ataka iš išorėsKai daugiausia verslo logikos yra koncentruota ties keliais objektais: statiniu puslapiu, mobiliąja programėle, tinklapiu su ribotu funkcionalumu, be didelės infrastruktūros ar daug darbo stočių.
Įsilaužimo testavimas
Nėra rankinio scopeKai nenaudojate savo kurtų sprendimų ar neturite svarbaus web, API arba mobile funkcionalumo, kurį reikėtų testuoti rankiniu būdu.
Saugaus kodo peržiūra
Nėra nuosavo kodoKai įmonė nekuria ir nevaldo nuosavo kodo.
Nuolatinė saugumo priežiūra
Retas keitimasisKai sistemos keičiasi kartą per pusmetį ar rečiau.
Tipinis rezultatas Sąrašas radinių PoC ir rekomendacijos Taisymo kryptys Retest ir santrauka
Tinklo skenavimas
Sąrašas radiniųSkenavimo radiniai, pažeidžiami servisai, konfigūracijos problemos.
Įsilaužimo testavimas
PoC ir rekomendacijosAtaskaita su PoC, rizikų prioritetais ir rekomendacijomis.
Saugaus kodo peržiūra
Taisymo kryptysKodo radiniai, paaiškinimai techninei komandai ir taisymo kryptys.
Nuolatinė saugumo priežiūra
Retest ir santraukaReguliarūs radiniai, retest ir periodinė rizikų santrauka.
Sprendimą rinkitės pagal skaitmeninį turtą
Jeigu pagrindinis jūsų skaitmeninis turtas yra serveriai, VPN, administravimo panelės ar išplėtotas IT ūkis, verta pradėti nuo tinklo skenavimo arba tinklo testavimo. Jeigu svarbiausias turtas yra web aplikacija, API, mobile aplikacija, custom verslo logika ir klientų duomenys, didesnę vertę duoda įsilaužimo testavimas.
Jeigu daugiausia rizikos slypi jūsų pačių kuriamame kode, saugaus kodo peržiūra kartais yra geresnis pirmas žingsnis nei įsilaužimo testavimas, nes kodo peržiūra trunka greičiau, kainuoja mažiau ir padeda pamatyti architektūrinius trūkumus iš vidaus. Kai skaitmeninis turtas nuolat keičiasi, auga infrastruktūra ir daugėja release'ų, didžiausią vertę duoda nuolatinė saugumo priežiūra - tarpinis žingsnis tarp vienkartinių auditų ir dedikuoto saugumo specialisto samdymo.
Jeigu vis dar neaišku, nuo kurios vietos pradėti, nebūtina iškart rinktis pilnos apimties vertinimo. Per trumpą pokalbį aptarsime jūsų skaitmeninį turtą, rizikas ir pasiūlysime realistišką pirmą žingsnį.