Usługi Cyber Security

Skutecznie wspieramy międzynarodowe firmy i instytucje w ochronie ich zasobów przed atakami. Sprawdź, jak możemy wzmocnić bezpieczeństwo IT Twojej firmy.

Świadczymy specjalistyczne usługi w zakresie bezpieczeństwa IT od ponad 10 lat. Nasza siłą są ludzie – doświadczony i zgrany zespół, który z pasją realizuje każde zadanie powierzone przez klientów.

Testy penetracyjne aplikacji
Aplikacje są coraz częstszym celem ataków cybernetycznych. Dzięki testom penetracyjnym prowadzonym przez specjalistę dowiesz się o podatnościach poszczególnych elementów aplikacji, zanim ktoś niepożądany wykorzysta je przeciwko Tobie.

Realizujemy testy penetracyjne aplikacji webowych, mobilnych (dla systemów Android i iOS) oraz sieciowych.

Testy mogą odbywać się w trzech modelach, które definiują ich zakres oraz czasochłonność:

BlackBox

Testy z perspektywy anonimowego użytkownika. Jeżeli aplikacja posiada moduł rejestracji to poza użytkownikiem anonimowym korzystamy też z kont w aplikacji, które można samodzielnie założyć. Jest to najmniej rozbudowany wariant testów.

GreyBox

W ramach testów wykonujemy te same prace, jak w przypadku testów Black Box, ponadto wykonywane są działania z wykorzystaniem dodatkowych kont, takich jak konta Administratora, Moderatora, czy też dowolnych innych ról o różnych poziomach uprawnień zdefiniowanych w aplikacji, lecz niedostępnych dla zewnętrznego użytkownika.

WhiteBox

Najbardziej rozbudowany wariant testów, który obejmuje te same prace jak w przypadku testów Gray Box, a dodatkowo osoby realizujące testy mają dostęp do kodu źródłowego aplikacji, co pozwala wykryć dodatkowe podatności. W tym wariancie może zostać wykorzystana dokumentacja techniczna, dzięki czemu mogą zostać dostrzeżone błędy logiczne w aplikacji.

Podczas testów aplikacji webowych korzystamy z metodologii OWASP TOP 10 (2017), dodatkowo w modelu White Box wykorzystujemy metodologię OWASP ASVS 3.0/4.0 w celu weryfikacji poprawności implementacji określonych elementów aplikacji mogących mieć wpływ na bezpieczeństwo.

W zakresie testów aplikacji mobilnych opieramy się o metodologię OWASP MSTG (1.1.2) dla aplikacji mobilnych, dodatkowo w modelu White Box wykorzystujemy metodologię OWASP MASVS (1.1.4) w celu weryfikacji poprawności implementacji określonych elementów aplikacji związanych z bezpieczeństwem.

W przypadku testów aplikacji sieciowych opieramy się o dobre praktyki bezpieczeństwa związane z danym modelem komunikacji sieciowej (klient-serwer, serwer-serwer, peer-to-peer) oraz zestawem wykorzystanych technologii: system operacyjny, języki programowania wykorzystany do stworzenia aplikacji. W przypadku testów w modelu White Box wykonujemy analizę kodu w następujących językach programowania: PHP, JavaScript, C#, Java, Python, C/C++, Objective C.

Korzyści z testów penetracyjnych aplikacji:
  • Dostarczenie informacji o podatnościach aplikacji oraz możliwości ich wykorzystania do nieautoryzowanego dostępu do chronionych danych
  • Rozpoznanie słabych punktów infrastruktury IT
  • Ocena podatności aplikacji dostępnej on-line
  • Ograniczenie potencjalnych kosztów niedostępności serwisu w razie udanego ataku
  • Wzrost poziomu bezpieczeństwa Klienta, jego odbiorców i partnerów biznesowych
Chcesz wiedzieć więcej?
Nasi konsultanci chętnie Ci pomogą!

FAQ

Czym są testy penetracyjne?
Testy penetracyjne to kontrolowany atak na aplikacje, systemy lub infrastruktury sieciowe, którego celem jest praktyczna ocena aktualnego stanu bezpieczeństwa. Podczas testów nie tylko szukamy potencjalnych podatności, ale weryfikujemy czy dana podatność faktycznie niesie za sobą zagrożenie i rzeczywiście może zostać wykorzystana przez potencjalnego atakującego.
Czym różni się skanowanie pod kątem podatności od testów penetracyjnych?
Skanowanie pod kątem podatności jest aktywnością opartą głównie o możliwości narzędzi – skanera podatności lub zestawu takich skanerów. Jeśli czynność jest realizowana masowo dla dużej liczby celów, to może pomijać niektóre podatności. Proces skanowania pod kątem podatności nie zawiera etapu weryfikacji czy dana podatność jest możliwa do rzeczywistego wykorzystania. Testy penetracyjne są procesem znacznie mniej zautomatyzowanym, prowadzonym przez specjalistę pod kątem konkretnego przypadku. Są przez to bardziej czasochłonne, ale też bardziej dokładne i adekwatne w ocenie potencjalnych podatności
Ile trwają testy bezpieczeństwa?
Długość testów jest uzależniona od ich zakresu. Podstawowe testy trwają kilka dni i wykazują najważniejsze problemy, których rozwiązaniem należy się zająć w pierwszej kolejności. Bardziej obszerne testy, dotyczące całej organizacji, mogą trwać nawet kilka tygodni.
Czy potrzebuję testów bezpieczeństwa, jeśli moja firma kupiła drogi produkt 'XYZ'?
Wbrew temu co twierdzą producenci różnych rozwiązań wspierających bezpieczeństwo, sam zakup danego narzędzia nie rozwiąże wszystkich problemów klienta. Bardzo ważne jest właściwe wdrożenie rozwiązania, jak również jego odpowiednie użytkowanie. To, czy produkt podnosi praktyczne bezpieczeństwo możemy zweryfikować podczas testów bezpieczeństwa.
Co jest wynikiem końcowym przeprowadzonych testów bezpieczeństwa?
Wynikiem realizowanych przez nas prac jest szczegółowy raport końcowy (przygotowany w wersji polskiej lub angielskiej), który przedstawiamy na spotkaniu zamykającym przeprowadzenie testów w siedzibie klienta. Raport składa się z podsumowania, dokładnego opisu przeprowadzonych prac, znalezionych podatności, sposobów ich odtworzenia i weryfikacji ich występowania, a także listy zaleceń do wdrożenia. Jeśli to potrzebne, doprecyzowujemy informacje, jakie znajdują się w raporcie tak, aby klient odniósł możliwie największą korzyść z przeprowadzonych przez nas prac. Oferujemy również możliwość re-testu po wdrożeniu zaleceń, aby zweryfikować, czy dany problem już nie występuje.

Certyfikaty

Ta strona używa COOKIES. Korzystając z niej, wyrażasz zgodę na używanie plików cookies zgodnie z ustawieniami przeglądarki.polityka prywatności