Bizning metodologiyamiz
Aksariyat xavfsizlik vositalari zaifliklar ro'yxatini chiqarib tashlaydi va sizni tushunish uchun qoldiradi. Biz buning aksini qilamiz: biz sizning muhitingiz bilan o'tiramiz, har bir so'rovni bajaramiz, har bir qatlamni hujjatlashtiramiz va ertaga harakat qilishingiz mumkin bo'lgan ustuvor rejani sizga topshiramiz.
Maqsad zaifliklar ro'yxati emas - bu sizga qayerda duch kelganingizni, nima uchun muhimligini va birinchi navbatda nima qilish kerakligini aniqroq tushunishdir. Bu skanerlash va baholash o'rtasidagi farq.
Biz aslida nima ishlayotganingizni xaritalashdan boshlaymiz: tizimlar, hisoblar, perimetrlar, integratsiya. Siz ko'rmaydigan narsani himoya qila olmaysiz.
Edge, dastur, tarmoq, backend, ma'lumotlar. Har bir qatlam o'z tahlilini oladi - bitta perimetrni skanerlash emas.
Qizil/to'q sariq/yashil ustuvorliklar va aniq keyingi qadamlar bilan yozma xavfsizlik balli. Saqlash, baham ko'rish, harakat qilish sizniki.
1-domen - kirishni boshqarish va identifikatorlar
Har bir buzilish hisob bilan boshlanadi. Biz identifikatsiyani oxirigacha tekshiramiz: odamlar, imtiyozlar, SSO, offboarding va favqulodda vaziyatlarda ruxsat.
Ko'p faktorli autentifikatsiya hamma joyda qo'llaniladi, autentifikator-ilova zaxirasi bilan.
Alohida ma'mur hisoblari bilan to'liq audit jurnali kuchayishi.
Oflayn saqlangan favqulodda hisob, shuning uchun katalog xizmatidagi uzilish sizni bloklamaydi.
Asosiy vositalarda SSO, ikkinchi darajali ilovalarda SAML/OIDC simlari hali ham kutilmoqda.
Har bir bo'lim bo'limlari va qo'shuvchilar oqimiga ega bo'lgan jamoaviy parol menejeri.
Har bir tizim uchun hujjatlashtirilgan offboarding skripti - yetim kirish yo'q.
2-domen - Ma'lumotlarni himoya qilish va zaxiralash strategiyasi
Biz butun himoyalanish davrini tekshiramiz: nima shifrlangan, nima zaxiralangan, qanchalik tez-tez tekshiriladi va qanchalik tez qaytib kelishingiz mumkin.
Kundalik zaxira nusxalari har chorakda sinov muhitini tiklash sinovi va vaqtli tiklash bilan birlashtirilgan.
Har bir noutbukda diskni shifrlash va saqlash va ma'lumotlar bazalarida platforma tomonidan boshqariladigan kalitlar.
Amaldagi faol axborotni himoya qilish belgilariga ega joriy, imzolangan siyosat.
Tizim uchun hujjatlashtirilgan tiklash vaqti va tiklash nuqtasi maqsadlari.
Runbooks, nomi ko'rsatilgan egasi va sanasi ko'rsatilgan audit dalillari bilan choraklik kadens.
Ustuvorliklar, bog'liqliklar va yillik ko'rsatmalar bilan yozma DR rejasi.
Zaxira sikli biz siz bilan birga ishlaymiz
Avtomatlashtirilgan kundalik suratlar, tranzit va dam olishda shifrlangan.
Har chorakda qum qutisiga tiklash - hech qanday uzr va istisnolar yo'q.
Haqiqiy RTOga qarshi haqiqiy tiklanish - va'dalar bilan emas, balki soatlarda o'lchanadi.
Ma'lumotlar yaxlitligini tekshirish + ro'yxatdan o'tish, auditorlar uchun dalil sifatida arxivlangan.
Zaxira - bu hodisa emas, bu tsikl - muhim bo'lgan yagona qadam - tiklash.
3-domen - Infratuzilma va tarmoq xavfsizligi
Internetga qaragan qirralar, ofis WiFi, VLAN chegaralari, yamoq kadans. Biz sizning perimetringiz orqali ochiq internet so'rovini ish yuklariga kuzatib boramiz.
Biz haqiqiy topologiyani xaritalashtiramiz - umumiy IP-lar, WAF qoidalari, VLAN-lar va kirish - keyin har bir sakrashni kutilgan konfiguratsiyaga qarshi tekshiring.
Umumiy domenlarda tariflarni cheklash va botlarni boshqarish bilan chekka xavfsizlik.
Katalog tomonidan qo'llab-quvvatlanadigan autentifikatsiyaga ega WPA3-Enterprise - umumiy WPA2 paroli emas.
Xodimlar, IoT va Mehmonlar uchun alohida VLAN-lar — tekis ofis LAN yo'q.
Hujjatlangan istisnolardan tashqari, 30 kun ichida operatsion tizim va ilovalar yangilanadi.
Chiquvchi DNS filtrlash va ko'rib chiqilgan xavfsizlik devori qoidalari.
Ichki xizmatlarda identifikatsiyadan xabardor kirish, tarmoqqa yashirin ishonch yo'q.
4-domen - Voqealarga javob berish va uzluksizlik
Hodisaga javob berish rejasi hujjat emas, balki mushakdir. Biz rejani, matkap kadansini, tashqi kontaktlarni va hodisadan keyingi pastadirni tekshiramiz.
Rollar, eskalatsiya yo'llari va aniq aloqa daraxti bilan joriy IR rejasi.
Biz nimani tekshiramiz: Versiya, oxirgi ko'rib chiqish sanasi, egalik va saqlash joyi - va unda ko'rsatilgan odamlar hali ham bu erda ishlaydimi.
Yilda ikki marta aylanadigan stsenariylar bilan stol usti mashqlari, shuning uchun jamoa o'yin kitobini biladi.
Biz nimani tekshiramiz: Oxirgi mashq sanasi, bajarilgan stsenariylar, olingan darslar va rejaga kiritilgan o'zgarishlar.
IR rejasida 24/7 raqamlari bilan CERT, sug'urtalovchi, yuridik maslahatchi va sud ekspertizasi.
Biz nimani tekshiramiz: Inqiroz paytida siz muzokaralar olib bormasligingiz uchun har bir kontakt valyuta va oldindan tasdiqlangan doirada sinovdan o'tgan.
Xodimlar, mijozlar, tartibga soluvchilar va matbuot uchun oldindan tayyorlangan xolding bayonotlari - yuridik jihatdan ko'rib chiqilgan.
Biz nimani tekshiramiz: Har bir auditoriya uchun shablonlar, imzolangan eskalatsiya chegaralari va holat yangilanishlari uchun yagona haqiqat manbai.
14 kun ichida tuzilmalangan o'limdan so'ng, yopilish uchun harakat elementlari kuzatiladi.
Biz nimani tekshiramiz: Aybsiz shablon, harakatlar reestri va voqea sodir bo'lganidan keyin 90 kundan keyin nazoratni qayta tekshirish uchun kalendar eslatmasi.
5-domen - muvofiqlik va uchinchi tomon xavfi
GDPR registrlari, inventarlarni qayta ishlash, ma'lumotlar sub'ektiga kirish, sotuvchi sharhlari. Biz yozuvlarni va uchinchi tomon xavf-xatarini tekshiramiz va sizga amalda bo'lgan registrni qoldiramiz.
Domenlaringizga sozlangan xavfsiz havola, biriktirma va fishingga qarshi siyosatlar bilan elektron pochta platformasini filtrlash.
Har bir faoliyat, qonuniy asos, saqlash muddati va egasi bilan yangilangan reestr.
Egasi, SLA va shablonlari bilan hujjatlashtirilgan ma'lumotlar sub'ektiga kirish so'rovi jarayoni.
Ishlab chiqarish yoki shaxsiy ma'lumotlarga kirish huquqiga ega bo'lgan har bir yetkazib beruvchi uchun xavfga asoslangan baholash.
Registr bilan arxivlangan shaxsiy ma'lumotlarga tegadigan har bir yangi tizim yoki yetkazib beruvchi uchun PIA.
Muvofiqlik dalillari bitta qidiriladigan joyda - siyosatlar, imzolar, ma'lumotlar jurnallari, sharhlar.
Yetkazib beriladigan
Yuqoridagi beshta domendan olingan har bir topilma bitta yozma hisobotga to'g'ri keladi, siz tarjimonsiz ishlashingiz mumkin bo'lgan uch bosqichli tizim bo'yicha baholanadi. Bu biz ketganimizdan keyin sizning qo'lingizda qoladi.
Kirish nazorati, ma'lumotlarni himoya qilish, infratuzilma, hodisalarga javob berish, muvofiqlik - har birida holat, topilma va dalillar.
Har bir bo'shliq uchun: ustuvorlik, egasi, harakatlarni baholash va aniq keyingi harakat - noaniq "ko'rib chiqish va yaxshilash" emas.
Hisobotga kiritilgan arxitektura diagrammalari, rasm nasrga mos kelishi uchun sog'lom/xavf ostida/tanqidiy bilan belgilangan.
Xavfsizlik ballingiz
Siz jargon bilan to'la qog'ozni olmaysiz. Siz ball olasiz: har bir element, nima ishlayotganini va nimaga e'tibor berish kerakligini darhol aniqlang.
Kritik zaiflik - zudlik bilan harakat qilish kerak. Iloji bo'lsa kun davomida tuzatamiz.
E'tibor kerak - buni 30 kun ichida rejalashtiring. Biz sizga qadamlarni beramiz.
Hammasi yaxshi - bu qism to'g'ri ishlov berilgan. Yozma ravishda tasdiqlangan.
Har bir baholash uchun oʻrtacha 8–12 ta masala topiladi. Nimani topsak, tuzatamiz - iloji bo'lsa, o'sha kuni.
Majburiy emas - o'sha kundagi tezkor g'alabalar
To'liq baholashdan keyin vaqtimiz bo'lsa, biz haftalar emas, bir necha daqiqa davom etadigan o'zgarishlarni qo'llaymiz, shuning uchun siz uyg'onganingizdan ko'ra xavfsizroq yotasiz.
Botlarni boshqarish, brauzer yaxlitligini tekshirish va ularga kerak bo'lgan yo'llar uchun xavfsizlik darajasini yoqing. Besh daqiqa, haqiqiy ta'sir.
Kontakt formasiga, login va parolni tiklashga tegishli cheklovlar qo'ying. Boshlashdan oldin eng oson suiiste'mol vektorlarini kesib tashlaydi.
1-darajada topilgan sobiq xodimlar, eski administrator hisoblari va foydalanilmagan API kalitlarini bekor qiling. Hisobotdagi eng arzon yutuq.
HSTS, X-Frame-Options, asosiy CSP-ga o'ting. Chekkada bitta konfiguratsiya o'zgarishi amalga oshirildi, abadiy saqlanadi.
Halol ogohlantirish: Tez g'alabalar faqat to'liq baholash bo'sh vaqt bilan tugasa bo'ladi. Biz chuqurlikni hech qachon tuzatishlar uchun almashtirmaymiz - to'liq tekshiruvdan o'tish mumkin, tuzatishlar esa bonusdir.
Nima uchun Korur farq qiladi
Ko'p vositalar sizga skanerni sotadi. Juda kam odam sizning ofisingizda bir kun o'tirib, nima topganini tushuntiradi. Mana farq.
Siz har bir darajada nima qilayotganimizni aniq ko'rasiz - na qora quti, na mulkiy sir. Metodologiya - bu yetkazib berish.
Inventarizatsiya, chekka, dastur, tarmoq, backend, ma'lumotlar, integratsiya. Ko'pgina skanerlar bir qatlamni qamrab oladi; yo'lni qoplaymiz.
Muammoni bir necha daqiqada hal qilish mumkin bo'lsa, biz uni davom ettirishdan oldin hal qilamiz. Siz shunchaki ro'yxat bilan emas, balki natijalar bilan ketasiz.
Hamkorlik xizmatimiz orqali Xavfsizlik reytingi jonli bo'lib qoladi - tavsiyalarga amal qilganingizdan so'ng, sizning holatingiz o'zgarishini ko'rasiz.
Biz topadigan hamma narsa sizning auditoringiz, texnik direktoringiz va kelajakdagi yollovchilaringiz o'qishi mumkin bo'lgan hujjatda joylashgan. Bilim bizni tark etmaydi.
Qachon tayyor bo'lsangiz
Bir to'liq kun. Ish olib borilayotgan joyda. Ruxsat etilgan narx. Siz Xavfsizlik reytingi hisoboti va agar vaqt bo'lsa - allaqachon kiritilgan yaxshilanishlar to'plami bilan ketasiz.
