Audyt bezpieczeństwa systemów teleinformatycznych

Celem audytu jest wykrycie podatności w systemach teleinformatycznych w szczególności:

  • Systemach operacyjnych
  • Aplikacjach
  • Komponentach sieciowych
  • Komponentach bezpieczeństwa (zapory sieciowe i aplikacyjne, systemy DLP, systemy IPS, itp.).

 

 

W ramach audytu stosowane są w szczególności techniki dobrane zależnie od rodzaju testu (black-box, white-box, gray-box) oraz oczekiwań klienta.

 

  • Identyfikacja wymagań bezpieczeństwa – określenie kontekstu bezpieczeństwa w którym pracuje system. Kontekst zawiera wymagania bezpieczeństwa wynikające z wymagań prawnych i biznesowych.

 

  • Analiza architektury systemów informatycznych – analiza architektury sieci, podziału na strefy bezpieczeństwa, rozmieszczenia poszczególnych komponentów systemu, rozmieszczenia poszczególnych systemów bezpieczeństwa, zasadności stosowania zabezpieczeń lub ich niedoborów zgodnie ze zidentyfikowanymi wymaganiami bezpieczeństwa.

 

  • Analiza konfiguracji – analiza konfiguracji urządzeń sieciowych, systemów usługowych (np. DNS, poczta, www), systemów zabezpieczeń, systemów uwierzytelnienia pod kątem ich bezpiecznej eksploatacji. Konfiguracja oceniana jest na zgodność z dobrymi praktykami i zaleceniami bezpieczeństwa producentów poszczególnych komponentów.

 

  • Testy penetracyjne – kontrolowany atak z perspektywy potencjalnego włamywacza na systemy informatyczne mający na celu wykrycie istniejących podatności o ocenę odporności na próby przełamania zabezpieczeń. W ramach testów penetracyjnych wykorzystywane są dostępne w sieci Internet narzędzia hackerskie, jak również narzędzia autorskie i skrypty. Audytorzy podczas testów stosują doświadczenie własne oraz uznane metodyki prowadzenia testów penetracyjnych takich jak OSSTMM, NIST, ISAAF.

 

  • Statyczna analiza kodu – test polega na automatycznej analizie kodu aplikacji za pomocą dedykowanych narzędzi. Wyniki automatycznej analizy kodu przeglądane są przez specjalistów w celu wyeliminowania błędów fałszywie pozytywnych. W analizie kodu między innymi wykorzystywane są następujące zestawy dobrych praktyk: OWASP, WASC, SANS, CWE.

 

  • Testy socjotechniczne – weryfikacja stanu wiedzy personelu w zakresie bezpieczeństwa informacji oraz stanu przygotowania personelu do oparcia się atakom socjotechnicznym mającym na celu skłonienie atakowanej osoby do wykonania działań jakich od niej oczekuje atakujący, np. ujawnienie hasła, przekazania poufnych dokumentów firmy, itp. Audytorzy podczas testów stosują doświadczenie własne oraz uznane metodyki takie jak OSSTMM, ISAAF, Social Engineering Framework – www.social-engineer.org.

Raport z audytu zawiera listę wykrytych podatności, odpowiadających im zagrożeń, poziomów krytyczności wraz z opisem możliwości podjęcia działań prewencyjnych minimalizujących ryzyko ich materializacji.


Formularz kontaktowy

Formularz kontaktowy

Jeśli są Państwo zainteresowani naszą ofertą, prosimy wypełnic formularz kontaktowy, odezwiemy się do Państwa wkrótce.

Sending