Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

Мобильные приложения

Большинство привычных действий мы совершаем с помощью мобильных приложений. Мобильные устройства и приложения хранят огромное количество данных, поэтому их безопасности следует уделять не меньше внимания, чем продвинутым возможностям и удобному интерфейсу.

Уязвимости мобильных приложений могут привести к краже персональных, платежных и учетных данных (в том числе и от сторонних сервисов). Они также могут позволить злоумышленникам получить доступ к мобильному устройству и использовать его в своих целях (спам, ботнеты и др.). А через корпоративные мобильные приложения возможно развить атаку на смежные компоненты инфраструктуры.

Анализ защищенности мобильных приложений выявит угрозы информационной безопасности, поможет предотвратить утечки данных и нелегитимные действия.

Как будем действовать

Безопасность мобильного приложения складывается из защищенности трех компонентов: клиентской части, серверной части и канала связи. Мы проводим анализ защищенности всех этих компонентов.

Эксперты Digital Security проводят анализ по методике OWASP Mobile и выявляют все возможные недостатки безопасности. Например, мы проверяем механизмы хранения и обработки данных, безопасность канала передачи данных, процессы, связанные с аутентификацией и разграничением прав доступа. Проводим анализ безопасности сторонних компонентов (например, сервисов аналитики) и данных, передаваемых им. В рамках аудита также проверяется возможность внедрения кода на стороне приложения и другие потенциальные действия злоумышленника.

Объекты исследования
Мобильное приложение
Серверное API
мобильного приложения
Канал передачи
данных
Исходный код
приложения/серверной
части (опционально)

Безопасность приложений для iOS, Android и других платформ имеет свои особенности, поэтому мы
применяем специализированные подходы в зависимости от ОС. Тестирование мобильных приложений
Digital Security поможет обнаружить и устранить недостатки безопасности

Об этом нас часто спрашивают

Мы ответили на популярные вопросы, которые нам задают об услуге
«Мобильные приложения».
Возможно, эта информация будет вам полезна.

Потребуется ли особая сборка приложения или можно использовать ту, что доступна в App Store/Google Play?

Это зависит от поставленных целей. Провести детальный анализ значительно быстрее с помощью «тестовой» сборки приложения со снятыми защитными механизмами. Однако если задача – посмотреть, как злоумышленник справится с обходом самозащиты приложения и прочими механизмами безопасности, лучше использовать обычную версию, распространяемую в официальных сторах приложений.

Наше приложение доступно на iOS и Android и имеет одинаковую функциональность для обеих платформ. Обязательно ли проводить анализ двух приложений или можно сэкономить?

В современной разработке действительно бывает, что приложения имеют максимально идентичную функциональность на обеих платформах. На наш взгляд, Android предоставляет разработчикам значительно большую свободу, однако риск ошибки также возрастает. Поэтому, если вам придется выбирать из двух платформ, советуем провести анализ Android-приложения.

Мы хотим провести анализ защищенности только мобильного приложения, без серверного API.
Это возможно?

Да, это возможно, но пользы от такого анализа значительно меньше. Несмотря на то, что по методологии OWASP Mobile ряд уязвимостей действительно относятся непосредственно к мобильному приложению, полноценно оценить безопасность без взаимодействия с серверным API практически невозможно.

Хотим проверить безопасность приложения, но есть риск, что к началу аудита оно будет готово не до конца, например, вместо ряда кнопок – «заглушки».
Это помешает?

Не помешает, мы можем провести аудит приложения в текущем состоянии. Но стоит понимать, что покрытие не будет не полным. Если вы задумываетесь о безопасности приложения на стадии разработки, вам будут полезны услуги Secure SDLС и DevSecOps .

Вам может быть интересно
Другие услуги
Мобильный банкинг – это основной способ получения финансовых услуг для огромного числа клиентов и важное конкурентное преимущество для самого банка. Конечно, при условии, что приложение удобное и безопасное.
Даже опытный разработчик при написании кода может допустить ошибки, которые не повлияют на работу приложения, но могут быть использованы злоумышленником. Аудит исходного кода покажет все, что находится «под капотом» системы.
Операционную систему можно сравнить с жизненно важным органом устройства, а недостатки безопасности в ОС подвергают риску и само устройство, и инфраструктуру, частью которой оно является.
Современные подходы к разработке предполагают высокую частоту выпуска релизов и не менее высокие требования к безопасности. Чтобы этим требованиям соответствовать, необходимо проводить анализ защищенности каждого релиза.
Связаться с экспертом

Заполните форму, и мы ответим на все ваши вопросы

    Мы используем куки. Никогда такого не было, объясните

    ОК