Защита Web-приложений, государственных и коммерческих порталов

По данным Verizon Data Breach Investigations Report (DBIR) 2017, 30% всех атак приходится на веб-приложения, из которых 98% имели уязвимости. Сегодня киберпреступники в большей степени используют уязвимости веб-приложений, а не конечного сетевого оборудования. Отсутствие единых стандартов программирования приводит к ошибкам при разработке веб-приложений и появлению серьезных уязвимостей в веб-сервисах, использующих эти приложения.

Применяемые традиционные средства защиты веб-приложений (IPS, NGFW) обеспечивают только базовые защитные механизмы и имеют большой процент ложных срабатываний.

Государственный сектор

Соблюдение требований приказов ФСТЭК № 17 и 21 в части защиты внешних информационных систем.

Обеспечение защиты государственных порталов услуг и других систем ключевой информационной инфраструктуры (КИИ) согласно 187 ФЗ от 26.07.2017.

Банковский сектор

Выполнение рекомендации ЦБ РС БР ИББС-2.6-2014 (прил. 2 на стр. 23).

Обеспечение соответствия требованию 6.6 стандарта безопасности данных в индустрии платежных карт (PCI DSS).

Предлагаемые решения

Для защиты Web-приложений от направленных атак, помимо стандартных средств защиты, мы предлагаем использование межсетевых экранов уровня приложений. Мы реализуем проекты как на базе отечественного решения Positive Technologies Web Application Firewall, так и с использованием зарубежного аналога Сitrix Netscaler Web Application Firewall.

def-web-arch.png

Решение позволяет

  • Обеспечить защиту от угроз нулевого дня благодаря автоматическому обучению и поведенческому анализу.
  • Снизить риски возникновения атаки, направленной на конечного пользователя или web-сервис.
  • Уменьшить количество уязвимостей исходного кода за счет применения виртуальных патчей.
  • Выполнить корреляцию угроз и повысить эффективность защиты приложения и расследования инцидентов.
  • Обеспечить соответствие внутренним (ЦБ РС БР ИББС-2.6-2014) и внешним (PCI DSS) отраслевым стандартам и нормативным актам (приказы ФСТЭК).

Наши услуги

  • Проектирование технических мер защиты.
  • Внедрение средств защиты:
    • Поставка средств защиты;
    • Пуско-наладочные работы;
    • Испытания (включая опытную эксплуатацию).
  • Сопровождение средств защиты:
    • Консультации по работе;
    • Периодический анализ рисков и корректировка политик безопасности;
    • Адаптация в случаях изменений в нормативных документах