Анализ защищенности приложений
Пентестер или специалист по тестированию на проникновение / анализу защищенности выполняет различные классы исследований по выявлению уязвимостей на внешнем и внутреннем периметре организации, а также в рамках тестирования беспроводных сетей и социально-инженерного тестирования. Сочетания различных векторов атак, методов и инструментов исследования позволяет получить комплексную картинку уязвимостей в инфраструктуре и приложениях организации, выявить недостатки в процедурах повышения осведомленности персонала компании (например, непонимание администраторами требований к безопасной настройке систем, или незнание сотрудниками правил цифровой гигиены и антифишинга). Наши специалисты помогут сформулировать актуальные для вас сценарии и глубину исследования, сформировать модель потенциального нарушителя (субъекта, проводящего атаку) и получить максимальный результат за разумные деньги.
Этим иностранным словом обозначается класс специалистов, сфокусированных на выявлении уязвимостей в исходном коде и бизнес-логике приложений, в отличии от пентестеров appsec-и всегда разбираются в программировании и разработке программного обеспечения, и сфокусированы не на среде функционирования приложения (уровне инфраструктуры, сетевого периметра и прочего), но прежде всего на уровне кода, процессах проектирования и разработки приложения, что не отменяет их компетенций в части динамического тестирования приложения на стендах (ведь после устранения уязвимостей в коде, надо все равно убедится, что получившейся релиз достаточно безопасен - а значит необходимо проверить возможность реализации актуальных для приложения атак так, как это делают и пентестеры). В зависимости от ваших потребностей мы можем не только провести классический аудит исходного кода приложения, но и провести анализ всего цикла безопасной разработки, включая соответствие вашего проекта лучшим практикам DevSecOps с использованием одной из моделей зрелости жизненного цикла (например, BSIMM).
