Анализ безопасности приложений

Мы предлагаем:

Анализ защищенности мобильных, настольных и серверных приложений;
Тестирование методом белого и черного ящика;
Анализ уязвимостей инфраструктуры функционирования Вашей IT-системы.

Почему мы:

Нашими экспертами проведено более 500 исследований программного обеспечения;
Исследования основывается как на ГОСТ/ISO 15408, так и на лучших практиках;
Более 10 дипломированных специалистов, осуществляющих деятельность под лицензиями ФСТЭК и ФСБ.

Важно:

Работы проводятся без деструктивного воздействия. Эксплуатация уязвимостей строго по согласованию с Заказчиком.

Анализ безопасности приложений - услуги RTM Group

Узнать стоимость?

Перейти

Эксперты по анализу безопасности приложений

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты

Анализ безопасности приложений, известный как пентест, является важной частью обеспечения защиты информационных систем. Проведение пентеста позволяет выявить уязвимости и слабые места в приложениях, таких как веб-приложения, мобильные приложения или программное обеспечение. В процессе анализа используются различные методы и техники, чтобы проверить систему на наличие уязвимостей, а затем предоставить детальный отчет с рекомендациями по их устранению. Это помогает организациям улучшить безопасность своих приложений и защититься от потенциальных кибератак.

Работы по анализу

Мероприятия по анализу делятся на несколько групп:

Поиск уязвимостей клиентской и серверной части. Заказчик предоставляет для работы исходный код и скомпилированное приложение, которое необходимо проверить. Осуществляется комплексный анализ. Специалист следит за доступом программы к файлам, основной памяти и ресурсам операционной системы. Найденные в результате уязвимости делятся по типам и степени критичности.
Возможные утечки. Специалист анализирует данные: оперативную память и временные файлы. Наиболее распространенный канал для утечки – беспроводные сети. В этом случае злоумышленник может полностью просматривать трафик и даже подключаться к сетям, нарушая их целостность и доступность. Анализ предусматривает проверку надежности методов криптозащиты при хранении и передаче данных, а также ключей шифрования.
Превышение полномочий. Проверка заявленного перечня разрешений реальным, а также нужны ли они при реализации функциональных возможностей приложения.

По результатам проверки составляется отчет, в котором подробно указывается каждый пункт проверки, а также рекомендации по выявленным уязвимостям и атакам.

Где заказать?

RTM Group – команда специалистов с большим профессиональным и практическим опытом. Доверив анализ приложений, можете быть уверены в объективном и обоснованном результате, который не придется оспаривать.

Видео по анализу безопасности приложений

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по анализу безопасности приложений

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги	Стоимость
Консультация	Бесплатно
Анализ безопасности приложений	от 350 000 руб.
Аудит программного кода	от 100 000 руб.
Пентест web-приложения Срок – от 5 рабочих дней	от 200 000 руб.
Пентест сайта Срок — от 5 рабочих дней	от 200 000 руб.
Тестирование на проникновение (пентест) и анализ уязвимостей Срок — от 2 недель Подробное описание	от 150 000 руб.
Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету. Работа с физическими лицами временно не осуществляется.

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

Объективность

Объективная оценка о состоянии информационной безопасности

Наш ключевой профиль

Работы по направлению ИТ и кибербезопасности

Наши отзывы по анализу безопасности приложений

Ниязов А.Н.

02.08.2019

АО «МТИ Банк» рекомендует ООО РТМ Технологии как исполнителя проектов по информационной безопасности ввиду ответственности, пунктуальности и профессионализма. Пентест выполнен в строгом соответствии с техническим заданием, в сжатые сроки и без какого-либо вреда для процессов Банка. Отчетные и закрывающие документы предоставлены в полном объеме без необходимости исправления и доработки. С уважением, Председатель Правления Ниязов А.Н.

Бобров Б.Б.

26.08.2019

Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.

Благодарность от ООО «Казанская академия управления проектами»

Мергасова Е.П.

07.12.2018

Позвольте выразить Вам от себя лично и от лица компании ООО «КазАУП» огромную признательность и благодарность за оперативное формирование информационного письма в Арбитражный суд г. Москвы. Хочу отметить менеджера Светлану Ульянову за оперативность в подготовке документов и особую благодарность - эксперту Вашей компании к.ф.-м.н. Музалевскому Федору Александровичу за профессиональное понимание задачи и разговор на «одном языке». Суд отказал нашей стороне в привлечении экспертной оценки, тем не менее, наша компания выиграла данный процесс. Я думаю, немаловажным был тот факт, что мы обратились в Вашу компанию и наличие информационного письма послужило подтверждением того, что мы готовы доказывать свою правоту. Директор Мергасова Е.П.

Услуги для вас

Пентест сайта и веб-приложений

— Для чего нужен пентест сайта
— Методика тестирования на проникновение сайта
— Где заказать пентест сайта

Пентест — услуги тестирования на проникновение и анализа уязвимостей

- Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
- Пример технического задания на проведение пентеста по 851-П, 821-П, 757-П
- Почему RTM Group?
- Цена проведения пентеста

Аудит безопасности веб-приложений

- Задачи аудита
- Объекты
- Этапы аудита
- Где заказать аудит?

Анализ защищенности программного обеспечения

— Как правильно анализ кода, аудит ПО или тестирование?
— Аудит методом «белого ящика»
— Анализ методом «серого ящика»
— Анализ методом «черного ящика»
— Что входит в аудит?
— Где заказать аудит кода?

Продукты и решения для вас

Anti-DDoS и WAF

Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.

Security Awareness

Security Awareness — это категория продуктов и решений, направленных на формирование киберграмотности и повышение осведомленности сотрудников о потенциальных угрозах. Человеческий фактор остаётся одним из ключевых векторов атак, поскольку ошибки, невнимательность или недостаток знаний могут привести к утечке данных, успешным фишинговым атакам и другим инцидентам.

Менеджер паролей

Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.

Многофакторная аутентификация

Пароли уже не обеспечивают достаточного уровня безопасности, поскольку их можно украсть, подобрать или перехватить. Именно поэтому многие компании и сервисы внедряют многофакторную аутентификацию (MFA), позволяющую значительно усложнить несанкционированный доступ к учётным записям.

МФУ и печатная техника

МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.

ПК (АРМ)

ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.

Сервер

Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.

СХД

Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.

Удаленный доступ и управление конфигурациями устройств

UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.

Цифровая криминалистика

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.