Audyt bezpieczeństwa teleinformatycznego - testy penetracyjne
RODO stawia przed Administratorami danych, którzy przetwarzają dane osobowe w systemach informatycznych, obowiązek stosowania zabezpieczeń, które zapewnią ochronę na najwyższym poziomie.
Przejęcie kontroli nad systemami informatycznymi, kradzież poufnych danych, utrata informacji, brak dostępu do systemu spowodowany atakiem intruza - każde z tych zdarzeń może sparaliżować organizację. W odpowiedzi na te zagrożenia oferujemy kompleksową analizę bezpieczeństwa systemów informatycznych pod kątem ich odporności na ataki z Internetu oraz sieci wewnętrznych.
Niezależne testy bezpieczeństwa systemów, czy aplikacji pozwalają na wykazanie podatności systemów, które mogą zostać wykorzystane przez potencjalnych napastników i doprowadzić do kradzieży bądź wycieku danych. Taka sytuacja może narazić Organizację na poważne konsekwencje prawne, jak również wizerunkowe.
Audyty bezpieczeństwa środowiska teleinformatycznego wykonywane przez naszych Ekspertów każdorazowo dostosowywane są do indywidualnych potrzeb Klientów, dzięki czemu możliwe jest zaplanowanie ich przebiegu oraz zakresu. Wszystkie działania, jakie będą wykonywane są szczegółowo omawiane i wymagają autoryzacji obu stron zaangażowanych w projekt, dodatkowo każda usługa zawiera zaakceptowany przez obie strony harmonogram.
Celem testów penetracyjnych jest:
- ocena rzeczywistego stanu bezpieczeństwa środowiska teleinformatycznego,
- ocena odporności na znane ataki badanego obszaru,
- identyfikacja istniejących podatności i luk bezpieczeństwa środowiska teleinformatycznego umożliwiających kradzież lub wyciek danych oraz informacji prawnie chronionych, w tym m.in. danych stanowiących tajemnicę przedsiębiorstwa oraz danych osobowych.
Przeprowadzone działania umożliwią wykazanie zagrożeń wynikających z:
- cech zaprojektowanego i wdrożonego rozwiązania,
- architektury styków międzysieciowych,
- słabości systemów obsługi transmisji danych,
- braku regularnej aktualizacji oprogramowania,
- podatności systemów kontroli dostępu i monitoringu.
W ramach oferty proponujemy Klientom trzy podstawowe rodzaje testów penetracyjnych:
- Audyt bezpieczeństwa w zakresie sieci i systemów
Testy przeprowadzane w zakresie sieci i systemów mają na celu:
- identyfikację systemów i usług sieciowych,
- analizę otrzymanych wyników pod kątem przygotowania symulacji włamań,
- realizację scenariuszy ataku na infrastrukturę sieciową,
- ocenę podatności systemów na ataki destrukcyjne za pomocą narzędzi dostępnych w zasobach sieci Internet,
- uzyskanie poświadczeń do systemów i usług sieciowych oraz eskalację uprawnień w ramach badanej infrastruktury,
- analizę wyników testu penetracyjnego pod kątem oceny zagrożenia systemu oraz możliwości naruszenia integralności, dostępności i poufności danych przez osoby nieupoważnione.
Wyniki audytu dostarczają informacji na temat poziomu bezpieczeństwa infrastruktury informatycznej. Przeprowadzamy ocenę architektury zastosowanych w organizacji mechanizmów zabezpieczających. Analizujemy bezpieczeństwo konfiguracji stosowanych komponentów, w tym systemów operacyjnych, baz danych, serwerów aplikacyjnych i urządzeń sieciowych. Na podstawie uzyskanych wyników, w tym szacowania ryzyka, rekomendujemy i pomagamy wdrożyć rozwiązania zapewniające bezpieczeństwo danych przetwarzanych w systemach. Badania odbywają się w oparciu o uznane standardy branżowe, takie jak normy ISO, standardy NIST SP800, DISA STIG czy IT Grundschutzhandbuch. Ocena zawsze uwzględnia specyfikę funkcjonowania Organizacji i jej wymagania biznesowe.
- Audyt bezpieczeństwa aplikacji WWW
Testy penetracyjne aplikacji internetowych dedykowane są wszystkim Organizacjom, które w ramach świadczonych usług korzystają z aplikacji dostępnych w sieci internetowej i umożliwiają za pomocą nich Klientom lub samym pracownikom Organizacji dostęp do danych w nich zawartych.
Celem testów penetracyjnych aplikacji webowych jest w szczególności:
- identyfikacja luk związanych z zastosowaną architekturą aplikacji internetowej,
- identyfikacja luk wynikających z zastosowanych wzorców projektowych,
- wskazanie luk wynikających ze słabości protokołu HTTP i ich oddziaływania na aplikację,
- analiza zastosowanych technologii,
- analiza konfiguracji serwerów WWW pod kątem luk związanych z konfiguracją,
- identyfikacja luk związanych z zastosowanym środowiskiem aplikacyjnym lub jego niewłaściwą konfiguracją,
- analiza podatności związanych z niewłaściwą walidacją danych wejściowych,
- analiza mechanizmów uwierzytelniania i autoryzacji,
- analiza podatności związanych z błędami w procesie wytwarzania aplikacji.
Aplikacje są szczególnie narażone na ataki mogące skutkować ujawnieniem poufnych danych, modyfikacją, a nawet skasowaniem całej bazy danych wraz ze wszystkimi informacjami w niej przechowywanymi. W ten sposób możliwe jest również zainfekowanie złośliwymi wirusami komputerów - zarówno tych wykorzystywanych przez użytkowników jak i serwerów. Atak może zostać przeprowadzony nawet przez osoby niezalogowane do aplikacji. Konsekwencje niewłaściwego zabezpieczenia aplikacji nie muszą ograniczać się do strat finansowych i utraty dobrego wizerunku firmy. Naruszenie bezpieczeństwa danych osobowych przetwarzanych przy użyciu niewłaściwie zabezpieczonej aplikacji może pociągnąć za sobą również konsekwencje prawne. Realizujemy kompleksowe testy bezpieczeństwa aplikacji oparte m.in. na rekomendacjach OWASP. Wykonujemy także testy aplikacji mobilnych, używanych w telefonach komórkowych i tabletach.
- Testy penetracyjne z wykorzystaniem ataków socjotechnicznych
Bezpieczeństwo systemów informatycznych w ogromnej mierze uzależnione jest od świadomości użytkowników i przestrzegania przez nich obowiązujących w Organizacji zasad. Szereg głośnych cyberataków zakończyłoby się niepowodzeniem, gdyby nie czynnik ludzki. Nieuwaga, nieostrożność, rutyna, pośpiech, nadmierne zaufanie, nieznajomość technik stosowanych przez cyberprzestępców to najczęstsze przyczyny błędów ludzkich pociągających za sobą często milionowe szkody.
Przeprowadzane przez naszych Ekspertów testy socjotechniczne pozwalają weryfikować poziom świadomości pracowników, skuteczność szkoleń i kampanii uświadamiających. Testy przeprowadzane są w sposób całkowicie bezpieczny i nie wiążą się z ryzykiem zakłócenia pracy systemu informatycznego lub uszkodzenia danych.
Ten rodzaj testów przeprowadzany jest z wykorzystaniem pracowników Organizacji i ma za zadanie wskazanie poziomu świadomości i znajomości zasad bezpieczeństwa. W zależności od ustalonego z Klientem scenariusza testów, pracownicy mogą otrzymać specjalnie przygotowaną wiadomość e-mail, która zostanie przygotowana przez Ekspertów i posłuży do otrzymania nieautoryzowanego dostępu do systemów, na przykład na skutek zainfekowania stacji roboczej pracownika (atak phishingowy). Po zdobyciu przez audytorów niezbędnych danych umożliwiających dostęp do systemów mogą być przeprowadzane dalsze testy, których celem będzie wykazanie kolejnych podatności w systemie bezpieczeństwa teleinformatycznego Klienta.
Szczególnie zalecamy uwzględnienie testów socjotechnicznych jako elementu programu uświadamiania pracownikom zasad bezpiecznego przetwarzania informacji i możliwych zagrożeń w tym obszarze.
Przykładowe realizacje naszych Ekspertów:
- Testy penetracyjne sieci wewnętrznej i infrastruktury IT
Testy obejmowały między innymi analizę segmentacji sieci lokalnej, weryfikację separacji podsieci oraz filtracji ruchu między nimi (np. sprawdzenie czy z sieci bezprzewodowej dla użytkowników można dostać się do sieci serwerowej), analizę ruchu sieciowego, wskazanie przypadków użycia podatnych wersji protokołów kryptograficznych.
Nasi Eksperci przeanalizowali konfigurację urządzeń sieciowych (firewalle, przełączniki). Dokonali przeglądu konfiguracji serwerów w celu identyfikacji podatności w oprogramowaniu.
2. Audyt bezpieczeństwa aplikacji webowych
Na zlecenie Klienta nasi Eksperci przeprowadzili testy penetracyjne aplikacji www, polegające m.in. na atakach typu XSS, CRSF, SQL Injection, sprawdzeniu możliwości wykorzystania niedoskonałości mechanizmów uwierzytelnienia użytkowników i zmiany haseł, autoryzacji działań i zarządzania sesją. Wykonano próby podniesienia uprawnień, uzyskania z poziomu aplikacji dostępu do systemu plików oraz ominięcia zaimplementowanych schematów przepływu danych.
Certyfikaty posiadane przez naszych Ekspertów:
- CISSP (Certified Information Systems Security Professional),
- CRISC (Certified in Risk and Information Systems Control),
- CISA (Certified Information Systems Auditor),
- CSWAE (Certified Secure Web Application Engineer),
- ISO/IEC 27001 Lead Auditor,
- ISO 22301 Lead Auditor,
- ISO/IEC 27005 Risk Manager,
- ISO/IEC 27001 Internal Auditor.
W przypadku Państwa zainteresowania usługami z zakresu cyberbezpieczeństwa oraz bezpieczeństwa informacji oraz uzyskaniem informacji o wysokości wynagrodzenia z tytułu świadczonych usług, uprzejmie prosimy o uprzedni kontakt z Kancelarią za pośrednictwem poczty elektronicznej na poniżej podane adresy e-mail: warszawa@verba-lex.pl, lodz@verba-lex.pl, radom@verba-lex.pl lub pod numerem telefonu: +48 785 188 831.
Dowiedz się więcej
Testy penetracyjne jako skuteczna metoda ochrony danych osobowych w systemach informatycznych?
RODO wymaga od podmiotów wprowadzenia procesów i polityk zapewniających lepszą kontrolę nad danymi przetwarzanymi w ich systemach, wymaga również dostosowania systemów IT do wymagań unijnych(...)