Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

Podobne dokumenty
OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Usługa: Audyt kodu źródłowego

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Usługa: Testowanie wydajności oprogramowania

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

ZAPROSZENIE DO SKŁADANIA OFERT

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Ochrona biznesu w cyfrowej transformacji

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zapewnienie bezpieczeństwa w całym cyklu życia aplikacji (czyli dlaczego lepiej zapobiegać chorobom, niż leczyć je w zaawansowanym stadium)

Kompleksowe Przygotowanie do Egzaminu CISMP

Szczegółowy opis przedmiotu zamówienia:

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Fuzzing OWASP The OWASP Foundation Piotr Łaskawiec J2EE Developer/Pentester

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Portal Security - ModSec Enterprise

Audytowane obszary IT

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Opis Przedmiotu Zamówienia

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

z testów penetracyjnych

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

! Retina. Wyłączny dystrybutor w Polsce

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Wybrane problemy bezpieczeństwa w systemach IT.

Maciej Oleksy Zenon Matuszyk

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

BAKER TILLY POLAND CONSULTING

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Welcome. to Space4GDPR. Platforma Space4GDPR jest narzędziem dedykowanym. do sprawnego zarządzania ochroną danych osobowych

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Opis przedmiotu zamówienia

Robotyzacja procesów biznesowych

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

WZMOCNIJ SWOJĄ POWIERZCHNIĘ ATAKU. F-Secure Radar - zarządzanie lukami w zabezpieczeniach

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

SZCZEGÓŁOWY HARMONOGRAM KURSU

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Dlaczego testowanie jest ważne?

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

ISO w Banku Spółdzielczym - od decyzji do realizacji

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

Technologia Automatyczne zapobieganie exploitom

Vulnerability Management. Vulnerability Assessment. Greenbone GSM

Optymalizacja Automatycznych Testów Regresywnych

Część I - Załącznik nr 7 do SIWZ. Warszawa. 2011r. (dane Wykonawcy) WYKAZ OSÓB, KTÓRYMI BĘDZIE DYSPONOWAŁ WYKONAWCA DO REALIZACJI ZAMÓWIENIA

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

Audyt i zarządzanie zmianami zapobieganie niedostępności usług systemu informatycznego

AUREA BPM HP Software. TECNA Sp. z o.o. Strona 1 z 7

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia r.

SecureVisio. Funkcje i zastosowania

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zapytanie ofertowe nr OR

SIŁA PROSTOTY. Business Suite

Metodyka wdrożenia. Bartosz Szczęch. Starszy Konsultant MS Dynamics NAV

Normalizacja dla bezpieczeństwa informacyjnego

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBAWIE

ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W PONIATOWEJ

System kontroli wewnętrznej w Banku Spółdzielczym w Leśnicy

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Security Master Class Secure Configuration Life Cycle. Marcin Piebiak Senior Solutions Architect Linux Polska Sp. z o.o.

Bezpieczeństwo IT w środowisku uczelni

Bezpieczeństwo danych w sieciach elektroenergetycznych

Pakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Iłży

Leszek Dziubiński Damian Joniec Elżbieta Gęborek. Computer Plus Kraków S.A.

Cele systemu kontroli wewnętrznej. Zasady funkcjonowania systemu kontroli wewnętrznej

Ervin Monn - Fotolia.com. Zintegrowane zarządzanie aktywami dla flot kolejowych

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

Bezpieczeństwo systemów komputerowych

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Zaplanować projekt fundraisingowy i przeprowadzić go przez wszystkie etapy realizacji nie tracąc z pola widzenia założonych efektów;

Transkrypt:

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne Czy nasza usługa jest dla Ciebie? Potrzebujesz ochronić dane i zachować ciągłość działania. Chcesz zaimplementować narzędzia bezpieczeństwa, ale nie masz zasobów. Potrzebujesz spersonalizowanych raportów, aby spełnić wymagania zgodności i wymogi prawne. Masz zespół techniczny, ale potrzebujesz wyższego poziomu wiedzy na temat bezpieczeństwa. Chcesz mieć pewność, że Twoja wewnętrzna infrastruktura jest bezpieczna i nie ma możliwości nieautoryzowanych działań pracowników lub partnerów pracujących wewnątrz sieci, które spowodują ujawnienie tajemnic firmy. Dzięki połączeniu wiedzy i technologii Soflab Technology pomaga organizacjom zoptymalizować bezpieczeństwo i jakość w całym cyklu życia oprogramowania. 106 dni zajmuje firmom w Europie wykrycie cyberataku 56% organizacji nie potrafi wykryć złożonych cyberataków 1,5 mln zł wyniósł średni koszt strat poniesionych w wyniku ataku hakerskiego na polskie przedsiębiorstwo w 2017 roku Niezawodność, bezpieczeństwo i szybkość w działaniu W Soflab Technology korzystamy z wiedzy doświadczonych specjalistów, aby zaoferować rozwiązania bezpieczeństwa IT, które są odpowiedzią na kluczowe wyzwania, przed którymi stoją dziś organizacje. Dbanie o bezpieczeństwo rozwiązań IT oraz danych w nich zawartych stało się krytyczne dla ochrony danych firm i jej ciągłości działania. Soflab pomaga skutecznie dbać o to, aby nie doszło do zdarzeń mogących zagrozić biznesowej przyszłości firmy i odpowiedzialności prawnej osób nią zarządzających. zapobiegaj stratom finansowym chroń markę przed utratą reputacji zarządzaj ryzykiem określ rzeczywisty poziom zabezpieczeń organizacji odpowiadaj na zaawansowane zagrożenia spełnij wymogi zgodności z przepisami

Co robimy? Najlepszą obroną jest atak, lepiej zapobiegać niż leczyć te stwierdzenia rzadko znajdują zastosowanie jednocześnie w tej samej sytuacji. Wyjątkiem jest bezpieczeństwo IT. Prewencja raczej nie kojarzy się z działaniami ofensywnymi, a jednak w przypadku testów penetracyjnych okazuje się, że aby skutecznie bronić się przed atakiem, warto wcześniej zaatakować własny system w sytuacji kontrolowanej, aby znaleźć wszelkie jego słabe punkty, lub błędy konfiguracyjne. Dzięki przeprowadzeniu takiego audytu bezpieczeństwa możemy zapobiec ich odkryciu i wykorzystaniu przez osoby niepowołane. Por olio naszych usług Weryfikacja dokumentacji projektowej pod kątem założeń bezpieczeństwa Zapewniamy kompleksowe uzgodnienie każdego projektu z aktualnie obowiązującymi regulacjami prawnymi, w tym RODO. Dołączenie specjalisty od bezpieczeństwa do zespołu wdrożeniowego już na etapie projektowania danego rozwiązania, pozwala na uniknięcie wielu błędów oraz daje szanse na duże oszczędności w późniejszym etapie cyklu życia aplikacji lub infrastruktury IT. Testy penetracyjne Wykonujemy testy penetracyjne, czyli kontrolowane próby przełamania zabezpieczeń, w zależności od potrzeb Klientów bez znajomości szczegółów budowy systemu (testy black-box), z częściową wiedzą (grey-box), jak i testy połączone z przeglądem kodu (testy white-box). Testy bezpieczeństwa przeprowadzamy w oparciu o standardy OWASP (Open Web Applica on Security Project), w szczególności OWASP TOP 10 Classifica on, OWASP ASVS (Applica on Security Verifica on Standard) i OWASP Tes ng Guide 4.0 (w tym najlepsze praktyki w testowaniu bezpieczeństwa). Wykonujemy testy bezpieczeństwa aplikacji mobilnych z wykorzystaniem emulatorów oraz na fizycznych urządzeniach mobilnych, w oparciu o klasyfikację podatności i zagrożeń z listy TOP 10 Mobile Risks organizacji OWASP. Audyt konfiguracji zabezpieczeń infrastruktury, poszczególnych systemów/usług Audyt przeprowadzamy za pomocą technik manualnych oraz przy użyciu narzędzi automatycznych. Obejmuje: analizę, weryfikację podejścia do konfiguracji, sprawdzenie bezpieczeństwa konfiguracji z użyciem narzędzi automatycznych i analizę ryzyka opartego na wynikach i zalecenia optymalizacji bezpieczeństwa. Przedmiotem testów są m.in.: uprawnienia, nieautoryzowany dostęp, konfiguracja oraz brakujące poprawki. Audyt bezpieczeństwa infrastruktury teleinformatycznej W ramach audytu wykonujemy testy penetracyjne, skanowanie podatności, jak i przeglądy konfiguracji kluczowych elementów infrastruktury teleinformatycznej. Testy obejmują: sieci i podsieci, urządzenia sieciowe, hosty, oraz protokoły sieciowe, porty TCP i UDP, pla ormy systemowe, usługi sieciowe i inne. Szeroki zakres metod wdrażania obejmuje: rozpoznawanie topologii sieci/serwera; testowanie wykrytych urządzeń sieciowych; testowanie sieci bezprzewodowych.

Jak to robimy? Każda zapora może zostać przerwana, jest to tylko kwes a czasu i umiejętności. Zawsze jest ryzyko. Nasza usługa polega na tym, aby je zminimalizować. Identyfikujemy podatności firmy oraz funkcjonujących w niej systemów na świadome i nieświadome incydenty bezpieczeństwa. Oceniamy zdolność do wykrywania i wytrzymania typowych ataków. Pomagamy w określeniu krytycznych zmian lub działań w zakresie bezpieczeństwa i w przygotowaniu planu działań budujących bezpieczeństwo w firmie. Angażujemy się w różnych momentach cyklu rozwoju oprogramowania. To wyróżniające nas na rynku podejście pozwala nam wspierać naszych Klientów na każdym etapie projektu, umożliwiając zaplanowanie niezbędnych prac testowych, identyfikacje potencjalnych zagrożeń i wyznaczenie założeń projektowych dla wdrażanego rozwiązania. Dostarczamy praktyczne wnioski w przejrzystej formie. Raport wyników zawiera opis rekonstrukcji błędu, możliwe zagrożenia i działania naprawcze. Testowanie odporności na ataki DoS/DDoS Celem jest wykrycie braku ochrony przed niechcianymi działaniami, co prowadzi do zablokowania dostępu do danej usługi w Internecie. Weryfikujemy najczęstsze rodzaje ataków DDoS: UDP flood a ack Wykonywane przez dedykowane skrypty, które generują pakiety UDP o losowych rozmiarach i przedziałach czasowych przypisanych do szacowanego obciążenia. HTTP flood a ack Na podstawie symulacji różnych metod (POST i GET) obsługiwanych przez aplikację. Wygenerowany ruch aplikacji nie będzie odpowiadał standardowemu użytkownikowi, ale oczekiwanemu obciążeniu zasobów. Audyt statyczny kodu źródłowego Głównym celem jest zidentyfikowanie nieskutecznych konstrukcji i fragmentów kodu, które odzwierciedlają złe praktyki programistyczne lub błędy bezpieczeństwa. Analiza statyczna pozwala: zwiększyć wydajność i stabilność, unikać typowych błędów programowania, narzucać zasady i standardy kodowania, zwiększyć bezpieczeństwo na każdym kolejnym etapie testowania. Analiza oparta jest na standardach OWASP, w szczególności na klasyfikacji OWASP Top 10 i OWASP Mobile Top 10, ale także na weryfikacji zgodności z: SANS 25, HIPAA, Mitre CWE, CVE NIST, PCI DSS, MISRA, BSIMM. Testy socjotechniczne, testy procedur i zabezpieczeń fizycznych Nasi audytorzy przeprowadzą kontrolowany atak socjotechniczny, aby zweryfikować poziom zabezpieczeń, przestrzegania procedur bezpieczeństwa oraz poziom świadomości bezpieczeństwa informacji w organizacji np.: próba nakłonienia pracownika do uruchomienia oprogramowania z dostarczonego pendrive; kampania e-mailingowa; próba nieautoryzowanego wejścia do budynku. Możliwe jest przeprowadzenie szkolenia dla pracowników z zakresu bezpieczeństwa teleinformatycznego i aktualnych zagrożeń technicznych i socjotechnicznych.

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne Techniki testowania Podczas testów zostaną wykorzystane ręczne i automatyczne techniki testowania. Obie wzajemnie się uzupełniają: Wykorzystujemy różne narzędzia automatyczne, jak np. Nessus, Burp Proxy Professional, OWASP ZAP, SOAP UI, Metasploit oraz własny framework programistyczny, co zmniejsza ryzyko pomijania luk bezpieczeństwa przez jeden z programów. Audyt ręczny obejmuje manualną weryfikację aplikacji lub podatności i służy do wykrywania błędów logicznych, lub zaimplementowanej funkcjonalności. Ręczne przeprowadzanie ataków pozwala na efektywne pomijanie lub analizę filtrów ochrony zaimplementowanej w aplikacji oraz systemach firewall. Dlaczego Soflab know-how na podstawie wielu projektów w różnych branżach zespół kompetentnych ekspertów gotowe, sprawdzone, oparte na praktyce procedury testowania doświadczenie i dobór odpowiednich technologii i narzędzi autorska metodyka testów Soflab Test Approach własny Testlab urządzeń do testów aplikacji mobilnych

Zapytaj o specjalną ofertę dla Ciebie: oferta.security@soflab.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres