← Все направления Безопасность и комплаенс

Безопасность · 01

Аудиты, которые поставляют исправления.

Application, infrastructure и облачная безопасность, ревьюимая инженерами, которые сами могут написать патчи. Сдаём находки и код для исправления — не PDF и goodbye.

Написать партнёру Все направления

§В этом направлении

01The problem we solve
02Что поставляем
03Что получаете
04Инструменты, которые используем
05Подходит
06Как идёт проект
07Как сотрудничать
08Common questions

§ 01The problem

Какую проблему решаем

Большинство security-аудитов сдают PDF с 200 находками, отсортированными по severity, и нулевым контекстом. Ваша команда тратит недели, расшифровывая, что важно, что нет, и как чинить. Сдаём находки в паре с конкретными исправлениями — или реализуем их сами, если команда перегружена.

§ 02Capabilities

Что поставляем

01Ревью application security: OWASP Top 10, авторизация, аутентификация
02Облачный security-аудит: IAM, networking, секреты, конфигурация
03Ревью container- и Kubernetes-безопасности
04API- и webhook-безопасность
05Аудит зависимостей и supply chain
06Sweep секретов в коде и инфраструктуре
07Pentesting-проект, включая authenticated тестирование
08Remediation: чиним то, что нашли, в вашем коде
09Threat modelling для вашего конкретного бизнеса
10Executive summary, написанный для не-инженеров

§ 03Deliverables

Что получаете

Письменный отчёт с находками, severity и конкретным remediation
Pull request'ы на высокоприоритетные исправления (мы делаем работу)
Executive summary для совета и руководства
Опция re-audit после remediation

§ 04Stack

Инструменты, которые используем

Semgrep · CodeQL

Trivy · Grype · Snyk

Prowler · ScoutSuite

AWS Inspector · GuardDuty

OWASP ZAP · Burp Suite

trufflehog · gitleaks

Threat modelling: STRIDE

§ 05Ideal for

Подходит

→ Компаниям, готовящимся к SOC 2, ISO 27001 или security questionnaire
→ Фаундерам перед запуском продукта, обрабатывающего чувствительные данные
→ Инженерным командам, унаследовавшим недокументированную кодовую базу
→ Советам директоров, нуждающимся в независимой assurance до раунда

§ 06Process

Как идёт проект

01
Скоупинг
Согласовываем, что в скоупе, какие методы тестирования разрешены, как выглядит успех. Записываем.
02
Аудит
Ручное ревью в комбинации с тулингом. Не запускаем сканер и не называем это done.
03
Отчёт
Находки ранжированы по реалистичному импакту, с конкретным remediation для каждой.
04
Remediation
Парим с вашей командой, чтобы починить критические находки, или реализуем исправления сами.

§ 07Engagement

Как сотрудничать

Targeted-аудит

2 — 3 недели

Конкретная поверхность (приложение, облако, API). Письменный отчёт с remediation.

Full Security Audit

4 — 6 недель

Приложение + облако + supply chain + pentesting. Полное покрытие.

Audit + Remediation

Audit + 4 — 8 недель

Чиним находки рядом с вашей командой. Часто — самый дешёвый способ закрыть гэп быстро.

§ 08Common questions

Frequently asked.

01Почините ли вы то, что найдёте?

Да. Мы инженеры в первую очередь, аудиторы во вторую. Большая часть нашей security-работы заканчивается зашипленными исправлениями, а не стопкой тикетов.

02Можно ли использовать этот аудит для SOC 2?

Это не SOC 2 аудит (другая история), но находки и remediation напрямую кормят подготовку к SOC 2 — и большинство контролей.

Есть задача, которую стоит решить как следует?

Напишите, какой результат нужен. Мы честно скажем, во что это обойдётся — письменно, в течение недели.

Начать разговор