Czy wiesz jakie zagrożenia czyhają na twoją organizację ze strony cyberprzestępców?

Czy kiedykolwiek poddałeś zabezpieczenia swojej firmy badaniu przez profesjonalistów?

Czy stosujesz zabezpieczenia przed cyber-atakami i regularnie dokonujesz przeglądu tych zabezpieczeń?

Jeśli na którekolwiek z powyższych pytań odpowiedziałeś „nie” – dobrze, że do nas trafiłeś.

Oferujemy doradztwo eksperckie, zaawansowane testy oraz wdrażanie rozwiązań w zakresie bezpieczeństwa.

Nasza oferta obejmuje:

Testy penetracyjne

Test penetracyjny polega na kontrolowanym ataku na wskazaną infrastrukturę teleinformatyczną celem wskazania podatności i odporności na ataki, dając praktyczną ocenę bieżącego stanu bezpieczeństwa badanego środowiska. Dokładnie przeanalizujemy rozwiązania i zasoby technologiczne Twojej firmy by zidentyfikować i zabezpieczyć miejsca, które mogą wykorzystać cyberprzestępcy.

Nasz zespół dokładnie przeanalizuje Twoje środowisko informatyczne i wskaże istniejące w nim luki i podatności. Doradzimy, w jaki sposób dbać o swoje zasoby i podnieść poziom bezpieczeństwa w organizacji.
Testy penetracyjne mogą zostać przeprowadzone z zewnątrz organizacji, obrazując potencjalne ryzyko jakie wywołać może każdy użytkownik internetu. Mogą również zostać przeprowadzone z wewnątrz, dając wyraźniejszą perspektywę na stan bezpieczeństwa w organizacji, oraz ukazują potencjalne ryzyko, jakie wyrządzić może intruz w sieci wewnętrznej.
Testy penetracyjne dzielimy również pod względem posiadanych informacji o badanym środowisku:

Testy blackbox realizowane są bez znajomości dokładnych danych o obiekcie testów, takich jak zastosowana konfiguracja lub  wiedza o budowie systemu lub aplikacji, dobrze tym samym imitując faktyczne ataki hakerskie.

Testy graybox dotyczą testów penetracyjnych podczas których otrzymamy częściowe dane na temat testowane środowiska, jak np. dane autoryzacyjne do testowanej aplikacji.

Testy whitebox dotyczą rzetelnej analizy środowiska od środka, włączając w to takie czynności jak analiza kodu aplikacji lub przegląd zastosowanych konfiguracji pod względem bezpieczeństwa.

Realizujemy różne warianty testów penetracyjnych, skontaktuj się z nami by uzyskać indywidualną ofertę.

Bezpieczeństwo aplikacji webowych

Posiadanie strony internetowej, portalu korporacyjnego czy sklepu to dziś popularna praktyka wśród większości firm, co wiąże się z potencjalnym ryzykiem włamań. Serwisy www oraz inne zasoby internetowe są często pierwszym punktem odniesienia większości potencjalnych włamywaczy, a my pomożemy je odpowiednio zabezpieczyć.

Testy bezpieczeństwa aplikacji www są szczególnie zalecane podczas przetwarzania w niej informacji poufnych lub korzystania z danych, do których dostęp powinien być ograniczony. Wykonamy dokładną analizę i testy aplikacji oraz serwera http w celu zidentyfikowania podatności oraz błędów administracyjnych bądź programistycznych, oraz doradzimy co robić, by zasoby te były bezpieczne.

Realizujemy testy w modelach blackbox – bez znajomości kodu i konfiguracji aplikacji, graybox – z częściową wiedzą o testowanym systemie oraz whitebox – testami uwzględniącymi również analizę kodu źródłowego. Mamy wieloletnie doświadczenie w bezpieczeństwe aplikacji internetowych i profesjonalną wiedzę na temat wielu technologii informatycznych.

Skontaktuj się z nami, by uzyskać indywidualną ofertę.

Audyt bezpieczeństwa sieci LAN

Testy bezpieczeństwa sieci LAN umożliwiają weryfikację bieżącego stan bezpieczeństwa wskazanej infrastruktury, wskazując potencjalne słabości lub błędy w środowisku informatycznym. Doradzimy, jak odpowiednio zabezpieczyć sieć oraz urządzenia sieciowe, podnosząc tym samym poziom bezpieczeństwa w firmie. Wskażemy możliwe rozwiązania które zwiększą bezpieczeństwo sieci LAN oraz ułatwią administrację siecią i użytkownikami.


Testy obejmują kompleksową analizę sieci pod kątem wszelkich błędów i możliwych nadużyć. Nasz zespół dokładnie przyjrzy się sieci i jej elementom, by zidentyfikować potencjalne podatności. Po uzyskaniu dostępu do danej maszyny lub usługi, analizujemy system pod kątem kolejnych słabości.

STANDARDY

Z perspektywy metodycznej bazujemy na normach i dobrych praktykach wytyczonych przez staandardy:

  • OWASP
  • OSSTMM
  • PCI DSS
  • NIST

 

Testy bezpieczeństwa sieci WiFi

Sieci bezprzewodowe są dziś nieodłącznym elementem otoczenia wielu użytkowników domowych jak i firm, korzystamy z nich na co dzień, często przesyłając nimi poufne dane. Źle zabezpieczona sieć wi-fi stanowić może bramkę do wnętrza firmy dla potencjalnego agresora, umożliwiając podsłuchiwanie sieci, np. w celu wykradnięcia haseł dostępowych, tajemnic firmy oraz dalszą eskalację ataku na maszyny lub urządzenia znajdujące się w obrębie sieci.

Zweryfikujemy poziom bezpieczeństwa wykorzystywanych sieci bezprzewodowych. Po przeanalizowaniu zastosowanej konfiguracji, próbujemy uzyskać nieautoryzowany dostęp do sieci, by następnie sprawdzić stan bezpieczeństwa wewnątrz.

Audyt kodu źródłowego

Analiza kodu źródłowego potrafi precyzyjniej przyjrzeć się aplikacji i wskazać więcej słabości niż przy testach bez jego znajomości, będąc tym samym dobrym uzupełnieniem do tradycyjnych testów typu blackbox. Celem analizy jest wyeliminowanie potencjalnych podatności i błędów programistycznych, podnosząc bezpieczeństwo i wydajność aplikacji.

Aplikacja testowana jest pod kątem stosowania dobrych praktyk bezpieczeństwa. Kod aplikacji zostanie dokładnie przez nas zbadany, zarówno manualnie jak i automatycznie, wyokorzystując specjalistyczne oprogramowanie. Skutecznie identifykujemy błędy oraz uczymy stosowania dobrego kanonu programistycznego kładąc nacisk na bezpieczeństwo.

Testy socjotechniczne

Nawet najlepiej zabezpieczony system może zostać złamany przy braku odpowiedniej edukacji personelu, dlatego powinna ona stanowić jeden z filarów bezpieczeństwa w firmie. Socjotechniczne testy bezpieczeńśtwa polegają na nieautoryzowanych próbach dostępu do danych poprzez „atakowanie” pracowników, umożliwiając tym samym stwierdzenie potencjalnych uchybień w stosowaniu określonych procedur bezpieczeństwa. Przeprowadzając testy, dowiesz się na ile Twoi pracownicy są świadom potencjalnych cyberzagrożeń

Realizując testy, konsultanci Secorda zbierają jak najwięcej informacji o firmie z róźnych żródeł by zrealizować sprofilowany atak socjotechniczny. Próby testów mogą dotyczyć skłonienia użytkowników do ujawnienia cennych danych, np. autoryzacyjnych, lub zainstalowania złośliwego oprogramowania. Testy mogą również odbywać się w modelu bezpośrednim, np. poprzez fizyczne, nieautoryzowane wejście do budynku, lub próbę skłonienia osób wewnątrz do przekazania dostępu do komputera.

Po realizacji testów doradzamy, jak należy chronić się przed atakami na personel i chronić firmowe dane, by zminimalizować ryzyko ataku na Twoje dane.

Aplikacje mobilne

Rosnąca popularność urządzeń oraz aplikacji mobilnych stworzyła więcej sposobów na nieautoryzowany dostęp do danych przeciętnych użytkowników jak i tajemnic całych firm. Telefony są małymi komputerami które ciągle mamy ze sobą, nie należy zapominać o potencjalnym ryzyku które może się wiązać z ich używaniem .Podczas testów mobilnych weryfikujemy bezpieczeństwo aplikacji na poziomie lokalnym, poziom bezpieczeństwa połączenia z infrastrukturą zewnętrzną jak i cały moduł backend.

W ramach testów realizowane mogą być realizowane takie czynności jak próby dekompilacji aplikacji, analiza kodu, analiza ruchu aplikacji z serwisami zewnętrznymi, weryfikowanie stosowanych mechanizmów bezpieczeństwa lub bezpieczeństwo zewnętrznych zasobów klienta z którymi komunikuje się aplikacja.

Testy wydajnościowe

Wydajność i sprawne działanie są jednymi z najbardziej pożądanych cech aplikacji przez użytkowników. Poprzez symulowanie obciążenia możliwym jest oszacowanie działania usług i aplikacji w różnych warunkach, weryfikując poziom jej stabilności. Testy wydajnościowe realizowane są w kilku wariantach, z wykorzystaniem różnych scenariuszy oraz rozmiaru symulowanego ruchu.

Aplikacje i usługi mogą również zostać przetestowane pod kątem ataków typu Denial of Service, polegających na przeciążeniu serwera w celu uniemożliwienia działania. Błędy tego typu mogą wynikać z niestosownych rozwiązań programistycznych, umożliwiając wypełnienie pamięci serwera który przestaje poprawnie funkcjonować i obsługiwać użytkowników.

Rezultatem testów wydajnościowych jest wskazanie praktycznych wniosków dotyczących funkcjonowania danego systemu, w celu podniesienia poziomu jego stabilności i wydajności.

Audyt konfiguracji

Analiza bezpieczeństwa konfiguracji umożliwia zweryfikowanie zastosowanych ustawień w środowisku informatycznym pod względem bezpieczeństwa i potencjalnych luk. Realizując audyt konfiguracji skupiamy się na wskazaniu najlepszych praktyk dotyczących bezpieczeństwa teleinformatycznego we wskazanym środowisku oraz błędów mogących wynikać z zastosowanej konfiguracji.

Przeprowadzanie analizy konfiguracji zalecanym jest dla wszystkich elementów infrastruktury informatycznej biorących udział w procesie przesyłania i przechowywania danych.

Testy bezpieczeństwa konfiguracji mogą dotyczyć:

  • Konfiguracji ustawień urządzeń sieciowych
  • Ustawień serwera WWW
  • Konfiguracji baz danych
  • Konfiguracji serwera pocztowego
  • Ustawień usług dostępu sieciowego (np. VPN, FTP, SSH)
  • Ustawień systemu firewall
  • Ustawień systemu antywirusowego
  • Ustawień serwera DNS
  • Architektury sieci przewodowej oraz bezprzewodowej

Audyt bezpieczeństwa (kwestie formalne)

(…)

Usługa RODO

Celem usługi RODO jest przygotowanie firmy do wymagań wynikających z rozporządzenia ogólnego o ochronie danych osobowych. Usługa obejmuje audyt środków technicznych stosowanych w celu zabezpieczenia danych, zaprojektowanie, wdrożenie i utrzymanie środków organizacyjnych i technicznych stosowanych w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku, opracowanie niezbędnej wymaganej dokumentacji, szkolenia z zakresu danych osobowych.

Celem audytu bezpieczeństwa teleinformatycznego jest sporządzenie niezależnej opinii na temat poziomu realizowanej polityki bezpieczeństwa informacji.

W wyniku przeprowadzonego audytu zostaną zaproponowanie rozwiązania w zakresie zapewnienia właściwego poziomu bezpieczeństwa systemów informatycznych oraz obniżenie poziomu ryzyka związanego z umyślnym lub nieumyślnym ujawnieniem informacji stanowiącej tajemnicę przedsiębiorstwa

Wdrożenie rozwiązań bezpieczeństwa

Oferujemy skuteczne rozwiązania podnoszące poziom bezpieczeństwa w organizacji. Po więcej informacji, skontaktuj się z nami.