Bezpieczeństwo IT

Audyty bezpieczeństwa i testy penetracyjne

  Czy nasza usługa jest dla Ciebie?

  • Potrzebujesz ochronić dane i zachować ciągłość działania.
  • Chcesz zaimplementować narzędzia bezpieczeństwa, ale nie masz zasobów.
  • Potrzebujesz spersonalizowanych raportów, aby spełnić wymagania zgodności i wymogi prawne.
  • Masz zespół techniczny, ale potrzebujesz wyższego poziomu wiedzy na temat bezpieczeństwa.
  • Chcesz mieć pewność, że Twoja wewnętrzna infrastruktura jest bezpieczna i odporna na nieuprawnione działania pracowników lub partnerów pracujących wewnątrz sieci, które spowodują ujawnienie tajemnic firmy.

Dzięki połączeniu wiedzy i technologii Soflab Technology pomaga organizacjom zoptymalizować bezpieczeństwo i jakość w całym cyklu życia oprogramowania.

  Niezawodność, bezpieczeństwo i szybkość w działaniu

W Soflab Technology korzystamy z wiedzy doświadczonych specjalistów, aby zaoferować rozwiązania bezpieczeństwa IT odpowiadające na kluczowe wyzwania, przed którymi stoją dziś organizacje. Dbanie o bezpieczeństwo rozwiązań IT oraz danych w nich zawartych stało się krytyczne dla ochrony zasobów firmy i jej ciągłości działania. Soflab pomaga skutecznie dbać o to, aby nie doszło do zdarzeń mogących zagrozić biznesowej przyszłości firmy i odpowiedzialności prawnej osób nią zarządzających.

Zapobiegaj stratom finansowym

Chroń markę przed utratą reputacji

Zarządzaj ryzykiem

Określ rzeczywisty poziom zabezpieczeń organizacji

Odpowiadaj na zaawansowane zagrożenia

Spełnij wymogi zgodności z przepisami

  Co robimy?

„Najlepszą obroną jest atak”, „lepiej zapobiegać niż leczyć” – te stwierdzenia rzadko znajdują zastosowanie jednocześnie w tej samej sytuacji. Wyjątkiem jest bezpieczeństwo IT. Prewencja raczej nie kojarzy się z działaniami ofensywnymi, a jednak w przypadku testów penetracyjnych okazuje się, że aby skutecznie bronić się przed atakiem, warto wcześniej zaatakować własny system. Atak należy przeprowadzić w sytuacji kontrolowanej, aby znaleźć wszelkie słabe punkty systemu, lub błędy konfiguracyjne.

  Portfolio naszych usług

Weryfikacja dokumentacji projektowej pod kątem założeń bezpieczeństwa
Zapewniamy kompleksowe uzgodnienie każdego projektu z aktualnie obowiązującymi regulacjami prawnymi, w tym RODO. Dołączenie specjalisty od bezpieczeństwa do zespołu wdrożeniowego już na etapie projektowania danego rozwiązania, pozwala na uniknięcie wielu błędów oraz daje szanse na duże oszczędności w późniejszym etapie cyklu życia aplikacji lub infrastruktury IT.

Testy penetracyjne
Wykonujemy testy penetracyjne, czyli kontrolowane próby przełamania zabezpieczeń, w zależności od potrzeb Klientów bez znajomości szczegółów budowy systemu (testy black-box), z częściową wiedzą (grey-box), jak i testy połączone z przeglądem kodu (testy white-box).

Testy bezpieczeństwa przeprowadzamy w oparciu o standardy OWASP (Open Web Application Security Project), w szczególności OWASP TOP 10 Classification, OWASP ASVS (Application Security Verifiication Standard) i OWASP Testing Guide 4.0 (w tym najlepsze praktyki w testowaniu bezpieczeństwa).

Wykonujemy testy bezpieczeństwa aplikacji mobilnych z wykorzystaniem emulatorów oraz na fizycznych urządzeniach mobilnych, w oparciu o klasyfikację podatności i zagrożeń z listy TOP 10 Mobile Risks organizacji OWASP.

Audyt konfiguracji zabezpieczeń infrastruktury, poszczególnych systemów/usług
Audyt przeprowadzamy za pomocą technik manualnych oraz przy użyciu narzędzi automatycznych.
Obejmuje:

  • analizę,
  • weryfikację podejścia do konfiguracji,
  • sprawdzenie bezpieczeństwa konfiguracji z użyciem narzędzi automatycznych
  • i analizę ryzyka opartego na wynikach i zalecenia optymalizacji bezpieczeństwa.

Przedmiotem testów są m.in.:

  • uprawnienia,
  • nieautoryzowany dostęp,
  • konfiguracja
  • oraz brakujące poprawki.

Testowanie odporności na ataki DoS/DDoS
Celem jest wykrycie braku ochrony przed niechcianymi działaniami, co prowadzi do zablokowania dostępu do danej usługi w Internecie. Weryfikujemy najczęstsze rodzaje ataków DDoS:

  • UDP flood attack
    Wykonywane przez dedykowane skrypty, które generują pakiety UDP o losowych rozmiarach i przedziałach czasowych przypisanych do szacowanego obciążenia.
  • HTTP flood attack
    Na podstawie symulacji różnych metod (POST i GET) obsługiwanych przez aplikację. Wygenerowany ruch aplikacji nie będzie odpowiadał standardowemu użytkownikowi, ale oczekiwanemu obciążeniu zasobów.

Audyt statyczny kodu źródłowego
Głównym celem jest zidentyfikowanie nieskutecznych konstrukcji i fragmentów kodu, które odzwierciedlają złe praktyki programistyczne lub błędy bezpieczeństwa. Analiza statyczna pozwala:

  • zwiększyć wydajność i stabilność,
  • unikać typowych błędów programowania,
  • narzucać zasady i standardy kodowania,
  • zwiększyć bezpieczeństwo na każdym kolejnym etapie testowania.

Analiza oparta jest na standardach OWASP, w szczególności na klasyfikacji OWASP Top 10 i OWASP Mobile Top 10, ale także na weryfikacji zgodności z: SANS 25, HIPAA, Mitre CWE, CVE NIST, PCI DSS, MISRA, BSIMM.

Testy socjotechniczne, testy procedur i zabezpieczeń fizycznych
Nasi audytorzy przeprowadzą kontrolowany atak socjotechniczny, aby zweryfikować poziom zabezpieczeń, przestrzegania procedur bezpieczeństwa oraz poziom świadomości bezpieczeństwa informacji w organizacji np.:

  • próba nakłonienia pracownika do uruchomienia oprogramowania z dostarczonego pendrive;
  • kampania e-mailingowa;
  • próba nieautoryzowanego wejścia do budynku.

Możliwe jest przeprowadzenie szkolenia dla pracowników z zakresu bezpieczeństwa teleinformatycznego i aktualnych zagrożeń technicznych i socjotechnicznych.

  Jak to robimy?

Każda zapora może zostać przerwana, jest to tylko kwestia czasu i umiejętności. Zawsze jest ryzyko. Nasza usługa polega na tym, aby je zminimalizować.

  • Identyfikujemy podatności firmy oraz funkcjonujących w niej systemów na świadome i nieświadome incydenty bezpieczeństwa.
  • Oceniamy zdolność do wykrywania i wytrzymania typowych ataków.
  • Pomagamy w określeniu krytycznych zmian lub działań w zakresie bezpieczeństwa i w przygotowaniu planu działań budujących bezpieczeństwo w firmie.

Angażujemy się w różnych momentach cyklu rozwoju oprogramowania. To wyróżniające nas na rynku podejście pozwala nam wspierać naszych Klientów na każdym etapie projektu, umożliwiając zaplanowanie niezbędnych prac testowych, identyfikacje potencjalnych zagrożeń i wyznaczenie założeń projektowych dla wdrażanego rozwiązania. Dostarczamy praktyczne wnioski w przejrzystej formie. Raport wyników zawiera opis rekonstrukcji błędu, możliwe zagrożenia i działania naprawcze.

  Techniki testowania

Podczas testów zostaną wykorzystane ręczne i automatyczne techniki testowania. Obie wzajemnie się uzupełniają:

  • Wykorzystujemy różne narzędzia automatyczne, jak np. Nessus, Burp Proxy Professional, OWASP ZAP, SOAP UI, Metasploit oraz własny framework programistyczny, co zmniejsza ryzyko pomijania luk bezpieczeństwa przez jeden z programów.
  • Audyt ręczny obejmuje manualną weryfikację aplikacji lub podatności i służy do wykrywania błędów logicznych, lub zaimplementowanej funkcjonalności. Ręczne przeprowadzanie ataków pozwala na efektywne pomijanie lub analizę filtrów ochrony zaimplementowanej w aplikacji oraz systemach firewall.

  Dlaczego Soflab?

know-how na podstawie wielu projektów w różnych branżach

zespół kompetentnych ekspertów

gotowe, sprawdzone, oparte na praktyce procedury testowania

doświadczenie i dobór odpowiednich technologii i narzędzi

autorska metodyka testów Soflab Test Approach

własny Testlab urządzeń do testów aplikacji mobilnych

Chcesz dowiedzieć się więcej? Napisz do nas!

Zgody możesz wycofać w dowolnym momencie wysyłając wiadomość na adres: wycofanie.zgody.RODO@soflab.pl Podanie przez Ciebie danych osobowych jest dobrowolne, ale niezbędne do udzielenia odpowiedzi na Twoje zapytanie. Administratorem Twoich danych osobowych jest firma Soflab Technology Sp. z o.o. z siedzibą w Katowicach (40-568) przy ul. Ligockiej 103. W przypadku pytań dotyczących przetwarzania Twoich danych osobowych możesz się z nami skontaktować: soflab@soflab.pl

Masz prawo dostępu do treści swoich danych osobowych i ich sprostowania, usunięcia, ograniczenia lub sprzeciwu wobec ich przetwarzania, jak również prawo ich przeniesienia. W przypadku, gdy uznasz, że Twoje dane są niewłaściwie wykorzystywane lub chronione, masz możliwość wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych).

Twoje dane osobowe będą przetwarzane w okresie udzielania odpowiedzi na Twoje zapytanie, a w celach marketingu i przesyłania informacji handlowych do wycofania Twojej zgody.