Bezpieczeństwo IT

Audyty bezpieczeństwa i testy penetracyjne

Bezpieczeństwo IT
Audyty bezpieczeństwa i testy penetracyjne

Czy nasza usługa jest dla Ciebie?

Potrzebujesz ochronić dane i zachować ciągłość działania.
Chcesz zaimplementować narzędzia bezpieczeństwa, ale nie masz zasobów.
Potrzebujesz spersonalizowanych raportów, aby spełnić wymagania zgodności i wymogi prawne.
Masz zespół techniczny, ale potrzebujesz wyższego poziomu wiedzy na temat bezpieczeństwa.
Chcesz mieć pewność, że Twoja wewnętrzna infrastruktura jest bezpieczna i odporna na nieuprawnione działania pracowników lub partnerów pracujących wewnątrz sieci, które spowodują ujawnienie tajemnic firmy.

Dzięki połączeniu wiedzy i technologii Soflab Technology pomaga organizacjom zoptymalizować bezpieczeństwo i jakość w całym cyklu życia oprogramowania.

Niezawodność, bezpieczeństwo i szybkość w działaniu

W Soflab Technology korzystamy z wiedzy doświadczonych specjalistów, aby zaoferować rozwiązania bezpieczeństwa IT odpowiadające na kluczowe wyzwania, przed którymi stoją dziś organizacje. Dbanie o bezpieczeństwo rozwiązań IT oraz danych w nich zawartych stało się krytyczne dla ochrony zasobów firmy i jej ciągłości działania. Soflab pomaga skutecznie dbać o to, aby nie doszło do zdarzeń mogących zagrozić biznesowej przyszłości firmy i odpowiedzialności prawnej osób nią zarządzających.

Zapobiegaj stratom finansowym

Chroń markę przed utratą reputacji

Zarządzaj ryzykiem

Określ rzeczywisty poziom zabezpieczeń organizacji

Odpowiadaj na zaawansowane zagrożenia

Spełnij wymogi zgodności z przepisami

UMÓW SIĘ NA BEZPŁATNĄ KONSULTACJĘ

Umów się na bezpłatną konsultację

Wysyłając poniższy formularz zgadzasz się na przetwarzanie Twoich danych zgodnie z Polityką prywatności.

Co robimy?

„Najlepszą obroną jest atak”, „lepiej zapobiegać niż leczyć” – te stwierdzenia rzadko znajdują zastosowanie jednocześnie w tej samej sytuacji. Wyjątkiem jest bezpieczeństwo IT. Prewencja raczej nie kojarzy się z działaniami ofensywnymi, a jednak w przypadku testów penetracyjnych okazuje się, że aby skutecznie bronić się przed atakiem, warto wcześniej zaatakować własny system. Atak należy przeprowadzić w sytuacji kontrolowanej, aby znaleźć wszelkie słabe punkty systemu, lub błędy konfiguracyjne.

Portfolio naszych usług

Weryfikacja dokumentacji projektowej pod kątem założeń bezpieczeństwa
Zapewniamy kompleksowe uzgodnienie każdego projektu z aktualnie obowiązującymi regulacjami prawnymi, w tym RODO. Dołączenie specjalisty od bezpieczeństwa do zespołu wdrożeniowego już na etapie projektowania danego rozwiązania, pozwala na uniknięcie wielu błędów oraz daje szanse na duże oszczędności w późniejszym etapie cyklu życia aplikacji lub infrastruktury IT.

Testy penetracyjne
Wykonujemy testy penetracyjne, czyli kontrolowane próby przełamania zabezpieczeń, w zależności od potrzeb Klientów bez znajomości szczegółów budowy systemu (testy black-box), z częściową wiedzą (grey-box), jak i testy połączone z przeglądem kodu (testy white-box).

Testy bezpieczeństwa przeprowadzamy w oparciu o standardy OWASP (Open Web Application Security Project), w szczególności OWASP TOP 10 Classification, OWASP ASVS (Application Security Verifiication Standard) i OWASP Testing Guide 4.0 (w tym najlepsze praktyki w testowaniu bezpieczeństwa).

Wykonujemy testy bezpieczeństwa aplikacji mobilnych z wykorzystaniem emulatorów oraz na fizycznych urządzeniach mobilnych, w oparciu o klasyfikację podatności i zagrożeń z listy TOP 10 Mobile Risks organizacji OWASP.

Audyt konfiguracji zabezpieczeń infrastruktury, poszczególnych systemów/usług
Audyt przeprowadzamy za pomocą technik manualnych oraz przy użyciu narzędzi automatycznych.
Obejmuje:

analizę,
weryfikację podejścia do konfiguracji,
sprawdzenie bezpieczeństwa konfiguracji z użyciem narzędzi automatycznych
i analizę ryzyka opartego na wynikach i zalecenia optymalizacji bezpieczeństwa.

Przedmiotem testów są m.in.:

uprawnienia,
nieautoryzowany dostęp,
konfiguracja
oraz brakujące poprawki.

Testowanie odporności na ataki DoS/DDoS
Celem jest wykrycie braku ochrony przed niechcianymi działaniami, co prowadzi do zablokowania dostępu do danej usługi w Internecie. Weryfikujemy najczęstsze rodzaje ataków DDoS:

UDP flood attack
Wykonywane przez dedykowane skrypty, które generują pakiety UDP o losowych rozmiarach i przedziałach czasowych przypisanych do szacowanego obciążenia.
HTTP flood attack
Na podstawie symulacji różnych metod (POST i GET) obsługiwanych przez aplikację. Wygenerowany ruch aplikacji nie będzie odpowiadał standardowemu użytkownikowi, ale oczekiwanemu obciążeniu zasobów.

Audyt statyczny kodu źródłowego
Głównym celem jest zidentyfikowanie nieskutecznych konstrukcji i fragmentów kodu, które odzwierciedlają złe praktyki programistyczne lub błędy bezpieczeństwa. Analiza statyczna pozwala:

zwiększyć wydajność i stabilność,
unikać typowych błędów programowania,
narzucać zasady i standardy kodowania,
zwiększyć bezpieczeństwo na każdym kolejnym etapie testowania.

Analiza oparta jest na standardach OWASP, w szczególności na klasyfikacji OWASP Top 10 i OWASP Mobile Top 10, ale także na weryfikacji zgodności z: SANS 25, HIPAA, Mitre CWE, CVE NIST, PCI DSS, MISRA, BSIMM.

Testy socjotechniczne, testy procedur i zabezpieczeń fizycznych
Nasi audytorzy przeprowadzą kontrolowany atak socjotechniczny, aby zweryfikować poziom zabezpieczeń, przestrzegania procedur bezpieczeństwa oraz poziom świadomości bezpieczeństwa informacji w organizacji np.:

próba nakłonienia pracownika do uruchomienia oprogramowania z dostarczonego pendrive;
kampania e-mailingowa;
próba nieautoryzowanego wejścia do budynku.

Możliwe jest przeprowadzenie szkolenia dla pracowników z zakresu bezpieczeństwa teleinformatycznego i aktualnych zagrożeń technicznych i socjotechnicznych.

UMÓW SIĘ NA BEZPŁATNE DEMO

Umów się na demo

Wysyłając poniższy formularz zgadzasz się na przetwarzanie Twoich danych zgodnie z Polityką prywatności.

Jak to robimy?

Każda zapora może zostać przerwana, jest to tylko kwestia czasu i umiejętności. Zawsze jest ryzyko. Nasza usługa polega na tym, aby je zminimalizować.

Identyfikujemy podatności firmy oraz funkcjonujących w niej systemów na świadome i nieświadome incydenty bezpieczeństwa.
Oceniamy zdolność do wykrywania i wytrzymania typowych ataków.
Pomagamy w określeniu krytycznych zmian lub działań w zakresie bezpieczeństwa i w przygotowaniu planu działań budujących bezpieczeństwo w firmie.

Angażujemy się w różnych momentach cyklu rozwoju oprogramowania. To wyróżniające nas na rynku podejście pozwala nam wspierać naszych Klientów na każdym etapie projektu, umożliwiając zaplanowanie niezbędnych prac testowych, identyfikacje potencjalnych zagrożeń i wyznaczenie założeń projektowych dla wdrażanego rozwiązania. Dostarczamy praktyczne wnioski w przejrzystej formie. Raport wyników zawiera opis rekonstrukcji błędu, możliwe zagrożenia i działania naprawcze.

Techniki testowania

Podczas testów zostaną wykorzystane ręczne i automatyczne techniki testowania. Obie wzajemnie się uzupełniają:

Wykorzystujemy różne narzędzia automatyczne, jak np. Nessus, Burp Proxy Professional, OWASP ZAP, SOAP UI, Metasploit oraz własny framework programistyczny, co zmniejsza ryzyko pomijania luk bezpieczeństwa przez jeden z programów.
Audyt ręczny obejmuje manualną weryfikację aplikacji lub podatności i służy do wykrywania błędów logicznych, lub zaimplementowanej funkcjonalności. Ręczne przeprowadzanie ataków pozwala na efektywne pomijanie lub analizę filtrów ochrony zaimplementowanej w aplikacji oraz systemach firewall.

Dlaczego Soflab?

know-how na podstawie wielu projektów w różnych branżach

zespół kompetentnych ekspertów

gotowe, sprawdzone, oparte na praktyce procedury testowania

doświadczenie i dobór odpowiednich technologii i narzędzi

autorska metodyka testów Soflab Test Approach

własny Testlab urządzeń do testów aplikacji mobilnych

Chcesz dowiedzieć się więcej? Napisz do nas!

Imię i nazwisko *

E-mail *

Nazwa firmy

Telefon

Wiadomość *

Wyrażam zgodę na:

przetwarzanie moich danych osobowych w związku z realizacją zapytania/zgłoszenia *

przesyłanie informacji dotyczących mojego zapytania/zgłoszenia poprzez wiadomość sms lub e-mail *

otrzymywanie informacji marketingowych i/lub handlowych Soflab Technology Sp. z o.o. drogą elektroniczną poprzez wiadomość sms lub e-mail.

Nowe pole

Zgody możesz wycofać w dowolnym momencie wysyłając wiadomość na adres: wycofanie.zgody.RODO@soflab.pl Podanie przez Ciebie danych osobowych jest dobrowolne, ale niezbędne do udzielenia odpowiedzi na Twoje zapytanie. Administratorem Twoich danych osobowych jest firma Soflab Technology Sp. z o.o. z siedzibą w Katowicach (40-568) przy ul. Ligockiej 103. W przypadku pytań dotyczących przetwarzania Twoich danych osobowych możesz się z nami skontaktować: soflab@soflab.pl

Masz prawo dostępu do treści swoich danych osobowych i ich sprostowania, usunięcia, ograniczenia lub sprzeciwu wobec ich przetwarzania, jak również prawo ich przeniesienia. W przypadku, gdy uznasz, że Twoje dane są niewłaściwie wykorzystywane lub chronione, masz możliwość wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych).

Twoje dane osobowe będą przetwarzane w okresie udzielania odpowiedzi na Twoje zapytanie, a w celach marketingu i przesyłania informacji handlowych do wycofania Twojej zgody.

Możesz skontaktować się z nami telefonicznie od pn do pt od 8:00 do 16:00

+48 22 122 82 43

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.