Dlaczego warto skorzystać z usługi
Z roku na rok wzrasta nie tylko liczba, ale także stopień zaawansowania zagrożeń płynących z internetu. Cyberprzestępcy wykorzystują coraz bardziej wyszukane metody włamywania się do organizacji.
Rośnie też liczba systemów IT, które zawierają wrażliwe dane i które stają się łatwym celem różnego rodzaju ataków. Im więcej podatności w zabezpieczeniach ma system, tym lepsze stwarza warunki do udanych ataków. Należy podkreślić, iż nawet najlepsze rozwiązania bezpieczeństwa ICT wiodących światowych producentów nie gwarantują 100% ochrony przed cyberzagrożeniami.
Skutki ataków mogą mieć poważny wpływ na organizację. Cyberprzestępca może na przykład zablokować wszystkie komputery w firmie, sabotować proces produkcyjny lub ukraść dane osobowe klientów.
Dobrą praktyką rynkową jest przeprowadzanie regularnych testów penetracyjnych. Dzięki wiedzy i doświadczeniu niezależnych specjalistów bezpieczeństwa ICT, pozwalają one na identyfikowane luk i podatności. Dlatego są dopełnieniem całości systemu bezpieczeństwa ICT każdej firmy czy organizacji.
Na czym polega usługa
Oferujemy profesjonalne usługi testów penetracyjnych, które pozwalają zweryfikować odporność środowiska informatycznego organizacji na próby przełamania zabezpieczeń dokonywane zarówno z internetu jak i sieci wewnętrznej. Dzięki symulacji rzeczywistych ataków jest możliwa identyfikacja obszarów stanowiących zagrożenie dla bezpieczeństwa i poufności danych, a także mogących wpłynąć na zakłócenia ciągłości świadczenia usług biznesowych.
Proponujemy:
- testy penetracyjne aplikacji webowych i mobilnych,
- testy penetracyjne zewnętrzne i wewnętrzne sieci,
- inżyniera wsteczna oprogramowania (reverse engineering),
- audyt bezpieczeństwa sieci bezprzewodowej,
- audyt bezpieczeństwa konfiguracji systemu operacyjnego i bazy danych SQL.
Rodzaje i metody przeprowadzania testów penetracyjnych
Są trzy rodzaje testów penetracyjnych:
- testy typu black-box – zakładają minimalną wiedzę pentesterów o badanym systemie czy elementach infrastruktury IT klienta.
- testy typu gray-box – zakładają niepełną wiedzę o testowanym systemie czy elementach infrastruktury IT klienta.
- testy typu white-box – zakładają pełną wiedzę o analizowanym systemie czy elementach infrastruktury IT klienta.
W zależności od rodzaju badanego systemu czy elementu infrastruktury IT klienta oraz jego preferencji, testy penetracyjnie mogą być przeprowadzane zarówno w siedzibie klienta, jak i zdalnie.
W przypadku testów penetracyjnych wykorzystujemy zarówno narzędzia automatyzujące testy i symulujące ataki, jak i metody manualnej weryfikacji. Stosunek liczby testów automatycznych do tych wykonywanych ręcznie zmienia się w zależności od specyfiki projektu.
Wszystkie usługi przeprowadzamy na podstawie własnej metodologii. Wykorzystujemy uznane w branży metodyki testów penetracyjnych, takie jak OWASP ASVS (Application Security Verification Standard), czy PTES (Penetration Testing Execution Standard).
Kiedy warto przeprowadzać testy penetracyjne
Kiedy:
- w aplikacji webowej są przetwarzane istotne dane (np. dane osobowe, dane medyczne, dane kart płatniczych),
- znaczna część działalności firmy opiera się na aplikacjach webowych udostępnionych w Internecie,
- wartość chronionych danych znacznie przerasta koszty audytu oraz inne stosowane zabezpieczenia,
- istnieją podejrzenia naruszenia bezpieczeństwa aplikacji, infrastruktury czy danych,
- organizacja chce zminimalizować ryzyko ataku na zasoby IT,
- organizacja jest zobligowana (przepisami prawa, wewnętrznymi procedurami itp.) do okresowego przeprowadzania audytów bezpieczeństwa lub testów penetracyjnych.
Zakres usługi
W skład usługi wchodzą dwa elementy:
- wykonanie usługi testów penetracyjnych w uzgodnionym zakresie,
- przygotowanie raportu, który składa się z trzech części:
- ogólnej – dla zarządu i kierownictwa (Streszczenie dla kierownictwa),
- szczegółowej części technicznej dla komórek IT (Raport techniczny),
- Rekomendacji.
Korzyści z usługi
- uzyskanie wiedzy na temat faktycznego stanu bezpieczeństwa sieci i systemów,
- racjonalny kosztowo sposób zwiększania bezpieczeństwa organizacji,
- redukcja ryzyka i potencjalnych kosztów związanych z przestojem działania systemów oraz i infrastruktury na skutek ataków z zewnątrz lub wewnątrz sieci korporacyjnej,
- uzasadnienie inwestycji związanych z bezpieczeństwem infrastruktury,
- zaspokojenie odgórnych wymagań (prawnych, proceduralnych itp.) poprzez uzyskane certyfikaty,
- większy prestiż i wiarygodność w oczach klientów końcowych,
- aktualizacja informacji o posiadanych zasobach sprzętowych, oprogramowaniu, licencjach i korzyści finansowe, które wynikają z ich redukcji.
Usługi doradztwa świadczą wysokiej klasy specjaliści EXatela. Mają wieloletnie doświadczenie w przeprowadzaniu audytów bezpieczeństwa i testów penetracyjnych w różnych środowiskach. Ich kompetencje potwierdzają liczne znane i cenione na całym świecie certyfikaty: CISM, CISA, CISSP, OSCP, CEH, ISO 27001 Lead Auditor, CCNP, PCNSE, OSWP, GREM, CCNA, CCDA.
(źródło: informacje opracowano na podstawie materiałów Partnera technologicznego)
Oferta
Profesjonalna obsługa firm pod względem bezpieczeństwa, jesteśmy Autoryzowanym Partnerem polskiego lidera usług bezpieczeństwa ICT – EXATEL S.A.