Czy nasza usługa jest dla Ciebie?
- Potrzebujesz ochronić dane i zachować ciągłość działania.
- Chcesz zaimplementować narzędzia bezpieczeństwa, ale nie masz zasobów.
- Potrzebujesz spersonalizowanych raportów, aby spełnić wymagania zgodności i wymogi prawne.
- Masz zespół techniczny, ale potrzebujesz wyższego poziomu wiedzy na temat bezpieczeństwa.
- Chcesz mieć pewność, że Twoja wewnętrzna infrastruktura jest bezpieczna i odporna na nieuprawnione działania pracowników lub partnerów pracujących wewnątrz sieci, które spowodują ujawnienie tajemnic firmy.
Dzięki połączeniu wiedzy i technologii Soflab Technology pomaga organizacjom zoptymalizować bezpieczeństwo i jakość w całym cyklu życia oprogramowania.
Niezawodność, bezpieczeństwo i szybkość w działaniu
W Soflab Technology korzystamy z wiedzy doświadczonych specjalistów, aby zaoferować rozwiązania bezpieczeństwa IT odpowiadające na kluczowe wyzwania, przed którymi stoją dziś organizacje. Dbanie o bezpieczeństwo rozwiązań IT oraz danych w nich zawartych stało się krytyczne dla ochrony zasobów firmy i jej ciągłości działania. Soflab pomaga skutecznie dbać o to, aby nie doszło do zdarzeń mogących zagrozić biznesowej przyszłości firmy i odpowiedzialności prawnej osób nią zarządzających.
Zapobiegaj stratom finansowym
Chroń markę przed utratą reputacji
Zarządzaj ryzykiem
Określ rzeczywisty poziom zabezpieczeń organizacji
Odpowiadaj na zaawansowane zagrożenia
Spełnij wymogi zgodności z przepisami
Co robimy?
„Najlepszą obroną jest atak”, „lepiej zapobiegać niż leczyć” – te stwierdzenia rzadko znajdują zastosowanie jednocześnie w tej samej sytuacji. Wyjątkiem jest bezpieczeństwo IT. Prewencja raczej nie kojarzy się z działaniami ofensywnymi, a jednak w przypadku testów penetracyjnych okazuje się, że aby skutecznie bronić się przed atakiem, warto wcześniej zaatakować własny system. Atak należy przeprowadzić w sytuacji kontrolowanej, aby znaleźć wszelkie słabe punkty systemu, lub błędy konfiguracyjne.
Portfolio naszych usług
Weryfikacja dokumentacji projektowej pod kątem założeń bezpieczeństwa
Zapewniamy kompleksowe uzgodnienie każdego projektu z aktualnie obowiązującymi regulacjami prawnymi, w tym RODO. Dołączenie specjalisty od bezpieczeństwa do zespołu wdrożeniowego już na etapie projektowania danego rozwiązania, pozwala na uniknięcie wielu błędów oraz daje szanse na duże oszczędności w późniejszym etapie cyklu życia aplikacji lub infrastruktury IT.
Testy penetracyjne
Wykonujemy testy penetracyjne, czyli kontrolowane próby przełamania zabezpieczeń, w zależności od potrzeb Klientów bez znajomości szczegółów budowy systemu (testy black-box), z częściową wiedzą (grey-box), jak i testy połączone z przeglądem kodu (testy white-box).
Testy bezpieczeństwa przeprowadzamy w oparciu o standardy OWASP (Open Web Application Security Project), w szczególności OWASP TOP 10 Classification, OWASP ASVS (Application Security Verifiication Standard) i OWASP Testing Guide 4.0 (w tym najlepsze praktyki w testowaniu bezpieczeństwa).
Wykonujemy testy bezpieczeństwa aplikacji mobilnych z wykorzystaniem emulatorów oraz na fizycznych urządzeniach mobilnych, w oparciu o klasyfikację podatności i zagrożeń z listy TOP 10 Mobile Risks organizacji OWASP.
Audyt konfiguracji zabezpieczeń infrastruktury, poszczególnych systemów/usług
Audyt przeprowadzamy za pomocą technik manualnych oraz przy użyciu narzędzi automatycznych.
Obejmuje:
- analizę,
- weryfikację podejścia do konfiguracji,
- sprawdzenie bezpieczeństwa konfiguracji z użyciem narzędzi automatycznych
- i analizę ryzyka opartego na wynikach i zalecenia optymalizacji bezpieczeństwa.
Przedmiotem testów są m.in.:
- uprawnienia,
- nieautoryzowany dostęp,
- konfiguracja
- oraz brakujące poprawki.
Testowanie odporności na ataki DoS/DDoS
Celem jest wykrycie braku ochrony przed niechcianymi działaniami, co prowadzi do zablokowania dostępu do danej usługi w Internecie. Weryfikujemy najczęstsze rodzaje ataków DDoS:
- UDP flood attack
Wykonywane przez dedykowane skrypty, które generują pakiety UDP o losowych rozmiarach i przedziałach czasowych przypisanych do szacowanego obciążenia. - HTTP flood attack
Na podstawie symulacji różnych metod (POST i GET) obsługiwanych przez aplikację. Wygenerowany ruch aplikacji nie będzie odpowiadał standardowemu użytkownikowi, ale oczekiwanemu obciążeniu zasobów.
Audyt statyczny kodu źródłowego
Głównym celem jest zidentyfikowanie nieskutecznych konstrukcji i fragmentów kodu, które odzwierciedlają złe praktyki programistyczne lub błędy bezpieczeństwa. Analiza statyczna pozwala:
- zwiększyć wydajność i stabilność,
- unikać typowych błędów programowania,
- narzucać zasady i standardy kodowania,
- zwiększyć bezpieczeństwo na każdym kolejnym etapie testowania.
Analiza oparta jest na standardach OWASP, w szczególności na klasyfikacji OWASP Top 10 i OWASP Mobile Top 10, ale także na weryfikacji zgodności z: SANS 25, HIPAA, Mitre CWE, CVE NIST, PCI DSS, MISRA, BSIMM.
Testy socjotechniczne, testy procedur i zabezpieczeń fizycznych
Nasi audytorzy przeprowadzą kontrolowany atak socjotechniczny, aby zweryfikować poziom zabezpieczeń, przestrzegania procedur bezpieczeństwa oraz poziom świadomości bezpieczeństwa informacji w organizacji np.:
- próba nakłonienia pracownika do uruchomienia oprogramowania z dostarczonego pendrive;
- kampania e-mailingowa;
- próba nieautoryzowanego wejścia do budynku.
Możliwe jest przeprowadzenie szkolenia dla pracowników z zakresu bezpieczeństwa teleinformatycznego i aktualnych zagrożeń technicznych i socjotechnicznych.
Jak to robimy?
Każda zapora może zostać przerwana, jest to tylko kwestia czasu i umiejętności. Zawsze jest ryzyko. Nasza usługa polega na tym, aby je zminimalizować.
- Identyfikujemy podatności firmy oraz funkcjonujących w niej systemów na świadome i nieświadome incydenty bezpieczeństwa.
- Oceniamy zdolność do wykrywania i wytrzymania typowych ataków.
- Pomagamy w określeniu krytycznych zmian lub działań w zakresie bezpieczeństwa i w przygotowaniu planu działań budujących bezpieczeństwo w firmie.
Angażujemy się w różnych momentach cyklu rozwoju oprogramowania. To wyróżniające nas na rynku podejście pozwala nam wspierać naszych Klientów na każdym etapie projektu, umożliwiając zaplanowanie niezbędnych prac testowych, identyfikacje potencjalnych zagrożeń i wyznaczenie założeń projektowych dla wdrażanego rozwiązania. Dostarczamy praktyczne wnioski w przejrzystej formie. Raport wyników zawiera opis rekonstrukcji błędu, możliwe zagrożenia i działania naprawcze.
Techniki testowania
Podczas testów zostaną wykorzystane ręczne i automatyczne techniki testowania. Obie wzajemnie się uzupełniają:
- Wykorzystujemy różne narzędzia automatyczne, jak np. Nessus, Burp Proxy Professional, OWASP ZAP, SOAP UI, Metasploit oraz własny framework programistyczny, co zmniejsza ryzyko pomijania luk bezpieczeństwa przez jeden z programów.
- Audyt ręczny obejmuje manualną weryfikację aplikacji lub podatności i służy do wykrywania błędów logicznych, lub zaimplementowanej funkcjonalności. Ręczne przeprowadzanie ataków pozwala na efektywne pomijanie lub analizę filtrów ochrony zaimplementowanej w aplikacji oraz systemach firewall.
Dlaczego Soflab?
know-how na podstawie wielu projektów w różnych branżach
zespół kompetentnych ekspertów
gotowe, sprawdzone, oparte na praktyce procedury testowania
doświadczenie i dobór odpowiednich technologii i narzędzi
autorska metodyka testów Soflab Test Approach
własny Testlab urządzeń do testów aplikacji mobilnych
Chcesz dowiedzieć się więcej? Napisz do nas!
Zgody możesz wycofać w dowolnym momencie wysyłając wiadomość na adres: wycofanie.zgody.RODO@soflab.pl Podanie przez Ciebie danych osobowych jest dobrowolne, ale niezbędne do udzielenia odpowiedzi na Twoje zapytanie. Administratorem Twoich danych osobowych jest firma Soflab Technology Sp. z o.o. z siedzibą w Katowicach (40-568) przy ul. Ligockiej 103. W przypadku pytań dotyczących przetwarzania Twoich danych osobowych możesz się z nami skontaktować: soflab@soflab.pl
Masz prawo dostępu do treści swoich danych osobowych i ich sprostowania, usunięcia, ograniczenia lub sprzeciwu wobec ich przetwarzania, jak również prawo ich przeniesienia. W przypadku, gdy uznasz, że Twoje dane są niewłaściwie wykorzystywane lub chronione, masz możliwość wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych).
Twoje dane osobowe będą przetwarzane w okresie udzielania odpowiedzi na Twoje zapytanie, a w celach marketingu i przesyłania informacji handlowych do wycofania Twojej zgody.