Audyty i pen-testy
Sprawdź w jaki sposób przeprowadzamy audyty i pen-testy oraz zobacz jakie informacje otrzymasz po wykonaniu analiz. Poznaj zagrożenia przed jakimi obecnie nie jest chroniona Twoja organizacja.
Poznaj nas
Naruszenie zabezpieczeń w najgorszym przypadku może skutkować wyciekiem wrażliwych danych lub stale oddziaływać na sposób przetwarzania danych w Twojej organizacji. Jak postąpi Twoja organizacja, jakie podejmie kroki i w jakim czasie wykryje oraz zgłosi naruszenie?
Jeśli nie potrafisz odpowiedzieć na te pytania, to prawdopodobnie masz niekompletne procedury zarządzania incydentami związanymi z cyberbezpieczeństwem. W przypadku wystąpienia naruszenia zabezpieczeń Twoja organizacja musi działać szybko i w zaplanowany sposób. Kluczowe są pierwsze 24 godziny od wystąpienia naruszenia.
W przypadku wycieku danych organizacja jest zobowiązania powiadomić UODO w ciągu 72 godzin od występienia naruszenia.
Oferowane przez nas audyty obejmują zarówno analizę dokumentów i procedur (zgodnie z KRI/Cert), jak również konfiguracji systemów informatycznych (zgodnie z Cert/DSS05). Wykonywane audyty nie obejmują metod ofensywnych, które stosowane są podczas realizacji testów penetracyjnych (ang. pen-testing).
Zakres wykonywanych audytów
Zobacz jaki zakres Twojej infrastruktury obejmują wykonywane audyty. Zakres jest ustalany indywidualnie z każdym klientem, może również obejmować wykonywanie analizy technicznej zgodnie z przedstawionymi standardami np. DSS05, Cert, KRI, KSC.
Systemy informatyczne
Audyt obejmuje weryfikację wykorzystywanych systemów informatycznych, w tym stosowanych metod zabezpieczeń, procedur aktualizacji i kopii zapasowych. Weryfikowane są również systemy, aplikacje i bilbioteki zależne. Audyt może być rozszerzony o analizę dokumentacji związanej z utrzymaniem i zapewnieniem bezpieczeństwa wybranych systemów informatycznych.
Konfiguracja sieci
Audyt obejmuje sprawdzenie wykorzystywanych urządzeń sieciowych, dostępnych sieci bezprzewodowych, a także skonfigurowanej topologii sieciowej. Audyt może być rozszerzony o analizę dostępnej dokumentacji oraz uporządkowanie jej wraz z opracowaniem dedykowanych procedur bezpieczeństwa.
Kopie zapasowe i aktualizacje
Audyt dotyczy weryfikacji wykorzystywanych systemów i polityk w zakresie wykonywania kopii zapasowych i wprowadzania aktualizacji. Sprawdzane są mechanizmy i systemy stosowane do tworzenia kopii zapasowych oraz mechanizmy stosowane do postępowania w przypadku konieczności odzyskania danych. Dodatkowo usługa może być rozszerzona o uporządkowanie istniejących procedur lub utworzenie nowych w obszarach, które nie zostały dotychczas zorganizowane.
Audyt kompleksowy infrastruktury IT
Audyt obejmujący wszystkie obszary wskazane w pozostałych typach audytów. Jest to rozwiązanie dedykowane do organizacji, które nie posiadają wiedzy i zasobów wymaganych do weryfikacji posiadanej infrastruktury IT pod względem bezpieczeństwa. W rezultacie firma otrzymuje zestaw dokumentacji i rekomendacji do wdrożenia, które mają na celu podniesienie poziomu zabezpieczeń posiadanej infrastruktury IT. Rekomendowane jest połączenie tego typu audytu ze szkoleniami dla personelu, tak aby wyjaśnić przed jakimi zagrożeniami staramy się urchonić firmę wprowadzając nowe procedury bezpieczeństwa.
Zwiększ bezpieczeństwo swojej organizacji
Audyty, testy penetracyjne i szkolenia realizujemy po podpisaniu umowy o zachowaniu poufności. Jeśli chcesz zobaczyć jak świadczymy usługi to zapraszamy do kontaktu. Po rejestracji wykonamy bezpłatny audyt Twojej strony internetowej.
Skąd wiesz, że wdrożone procedury i zabezpieczenia spełnią swoją rolę w przypadku wystąpienia ataku na Twoją infrastrukturę?
Pen-testy nazywane są również testami penetracyjnymi. Przeprowadzane są na zamówienie klienta i mają na celu przetestowanie odporności infrastruktury na ataki cyberprzestępców. Ponadto sprawdza się również szybkość reakcji w związku z nieautoryzowanym dostępem, wyciekiem danych czy tempo wykrywania i eliminacji intruzów.
W trakcie pen-testów stosujemy uznane na świecie narzędzia, tożsame z tymi które będą wykorzystywane przez prawdziwych cyberprzestępców.
Jeśli szukasz sposobu weryfikacji swoich procedur i zabezpieczeń to usługa testów penetracyjnych będzie odpowiednia do tego celu.
Jak realizujemy pen-testing
Jest to wieloetapowy proces, w rezultacie którego otrzymujesz informacje o elementach Twojej infrastruktury IT wymagającej ulepszeń lub zmian.
01. Konsultacje
Ustalenie zakresu pen-testów i priorytetyzacja celów
01. Rozponanie i planowanie
Analiza środowiska, wykrywanie usług i określanie podatności.
01. Atakowanie
Realizacja zaplanowanego ataku i zbieranie znalezionych informacji o systemach/uprawnieniach.
01. Raportowanie
Przygotowanie dokumentacji opisującej wykryte podatności, potencjalnie niebezpieczne usługi/serwery. Wskazanie możliwości ich zabezpieczenia.
Pen-testy black-box
Podejście, w którym atakujący nie ma dostępu do szczegółowych informacji nt. infrastruktury organizacji. Atak rozpoczyna się od rozpoznania atakowanego środowiska i jego podatności. Atak przeprowadzany jest spoza organizacji.
Skontaktuj sięPen-testy white-box
Podejscie, w którym atakujący zna architekturę systemów w organizacji. Próby ataku przeprowadzane zarówno z wnętrza jak i spoza organizacji.
Skontaktuj sięPen-testy gray-box
Jest to podejście mieszane, w którym atakujący zna określony zbiór informacji o topologii sieciowej, wykorzystywanym oprogramowaniu, rolach użytkowników, wybranych kontach użytkowników. Atak przeprowadzany jest z wewnątrz i spoza organizacji. Najczęściej ataki wykonywane są w takiej formie.
Skontaktuj się