KIRP
Język polski English language

Specjalizacje

Audyt bezpieczeństwa teleinformatycznego - testy penetracyjne

RODO stawia przed Administratorami danych, którzy przetwarzają dane osobowe w systemach informatycznych, obowiązek stosowania zabezpieczeń, które zapewnią ochronę na najwyższym poziomie.

Przejęcie kontroli nad systemami informatycznymi, kradzież poufnych danych, utrata informacji, brak dostępu do systemu spowodowany atakiem intruza - każde z tych zdarzeń może sparaliżować organizację. W odpowiedzi na te zagrożenia oferujemy kompleksową analizę bezpieczeństwa systemów informatycznych pod kątem ich odporności na ataki z Internetu oraz sieci wewnętrznych.

Niezależne testy bezpieczeństwa systemów, czy aplikacji pozwalają na wykazanie podatności systemów, które mogą zostać wykorzystane przez potencjalnych napastników i doprowadzić do kradzieży bądź wycieku danych. Taka sytuacja może narazić Organizację na poważne konsekwencje prawne, jak również wizerunkowe.

Audyty bezpieczeństwa środowiska teleinformatycznego wykonywane przez naszych Ekspertów każdorazowo dostosowywane są do indywidualnych potrzeb Klientów, dzięki czemu możliwe jest zaplanowanie ich przebiegu oraz zakresu. Wszystkie działania, jakie będą wykonywane są szczegółowo omawiane i wymagają autoryzacji obu stron zaangażowanych w projekt, dodatkowo każda usługa zawiera zaakceptowany przez obie strony harmonogram.

Celem testów penetracyjnych jest:

Przeprowadzone działania umożliwią wykazanie zagrożeń wynikających z:

W ramach oferty proponujemy Klientom trzy podstawowe rodzaje testów penetracyjnych:

  1. Audyt bezpieczeństwa w zakresie sieci i systemów

Testy przeprowadzane w zakresie sieci i systemów mają na celu:

Wyniki audytu dostarczają informacji na temat poziomu bezpieczeństwa infrastruktury informatycznej. Przeprowadzamy ocenę architektury zastosowanych w organizacji mechanizmów zabezpieczających. Analizujemy bezpieczeństwo konfiguracji stosowanych komponentów, w tym systemów operacyjnych, baz danych, serwerów aplikacyjnych i urządzeń sieciowych. Na podstawie uzyskanych wyników, w tym szacowania ryzyka, rekomendujemy i pomagamy wdrożyć rozwiązania zapewniające bezpieczeństwo danych przetwarzanych w systemach. Badania odbywają się w oparciu o uznane standardy branżowe, takie jak normy ISO, standardy NIST SP800, DISA STIG czy IT Grundschutzhandbuch. Ocena zawsze uwzględnia specyfikę funkcjonowania Organizacji i jej wymagania biznesowe.

  1. Audyt bezpieczeństwa aplikacji WWW

Testy penetracyjne aplikacji internetowych dedykowane są wszystkim Organizacjom, które w ramach świadczonych usług korzystają z aplikacji dostępnych w sieci internetowej i umożliwiają za pomocą nich Klientom lub samym pracownikom Organizacji dostęp do danych w nich zawartych.

Celem testów penetracyjnych aplikacji webowych jest w szczególności:

Aplikacje są szczególnie narażone na ataki mogące skutkować ujawnieniem poufnych danych, modyfikacją, a nawet skasowaniem całej bazy danych wraz ze wszystkimi informacjami w niej przechowywanymi. W ten sposób możliwe jest również zainfekowanie złośliwymi wirusami komputerów - zarówno tych wykorzystywanych przez użytkowników jak i serwerów. Atak może zostać przeprowadzony nawet przez osoby niezalogowane do aplikacji. Konsekwencje niewłaściwego zabezpieczenia aplikacji nie muszą ograniczać się do strat finansowych i utraty dobrego wizerunku firmy. Naruszenie bezpieczeństwa danych osobowych przetwarzanych przy użyciu niewłaściwie zabezpieczonej aplikacji może pociągnąć za sobą również konsekwencje prawne. Realizujemy kompleksowe testy bezpieczeństwa aplikacji oparte m.in. na rekomendacjach OWASP. Wykonujemy także testy aplikacji mobilnych, używanych w telefonach komórkowych i tabletach.

  1. Testy penetracyjne z wykorzystaniem ataków socjotechnicznych

Bezpieczeństwo systemów informatycznych w ogromnej mierze uzależnione jest od świadomości użytkowników i przestrzegania przez nich obowiązujących w Organizacji zasad. Szereg głośnych cyberataków zakończyłoby się niepowodzeniem, gdyby nie czynnik ludzki. Nieuwaga, nieostrożność, rutyna, pośpiech, nadmierne zaufanie, nieznajomość technik stosowanych przez cyberprzestępców to najczęstsze przyczyny błędów ludzkich pociągających za sobą często milionowe szkody.

Przeprowadzane przez naszych Ekspertów testy socjotechniczne pozwalają weryfikować poziom świadomości pracowników, skuteczność szkoleń i kampanii uświadamiających. Testy przeprowadzane są w sposób całkowicie bezpieczny i nie wiążą się z ryzykiem zakłócenia pracy systemu informatycznego lub uszkodzenia danych.

Ten rodzaj testów przeprowadzany jest z wykorzystaniem pracowników Organizacji i ma za zadanie wskazanie poziomu świadomości i znajomości zasad bezpieczeństwa. W zależności od ustalonego z Klientem scenariusza testów, pracownicy mogą otrzymać specjalnie przygotowaną wiadomość e-mail, która zostanie przygotowana przez Ekspertów i posłuży do otrzymania nieautoryzowanego dostępu do systemów, na przykład na skutek zainfekowania stacji roboczej pracownika (atak phishingowy). Po zdobyciu przez audytorów niezbędnych danych umożliwiających dostęp do systemów mogą być przeprowadzane dalsze testy, których celem będzie wykazanie kolejnych podatności w systemie bezpieczeństwa teleinformatycznego Klienta.

Szczególnie zalecamy uwzględnienie testów socjotechnicznych jako elementu programu uświadamiania pracownikom zasad bezpiecznego przetwarzania informacji i możliwych zagrożeń w tym obszarze.

Przykładowe realizacje naszych Ekspertów:

  1. Testy penetracyjne sieci wewnętrznej i infrastruktury IT

Testy obejmowały między innymi analizę segmentacji sieci lokalnej, weryfikację separacji podsieci oraz filtracji ruchu między nimi (np. sprawdzenie czy z sieci bezprzewodowej dla użytkowników można dostać się do sieci serwerowej), analizę ruchu sieciowego, wskazanie przypadków użycia podatnych wersji protokołów kryptograficznych.

Nasi Eksperci przeanalizowali konfigurację urządzeń sieciowych (firewalle, przełączniki). Dokonali przeglądu konfiguracji serwerów w celu identyfikacji podatności w oprogramowaniu.

      2. Audyt bezpieczeństwa aplikacji webowych

Na zlecenie Klienta nasi Eksperci przeprowadzili testy penetracyjne aplikacji www, polegające m.in. na atakach typu XSS, CRSF, SQL Injection, sprawdzeniu możliwości wykorzystania niedoskonałości mechanizmów uwierzytelnienia użytkowników i zmiany haseł, autoryzacji działań i zarządzania sesją. Wykonano próby podniesienia uprawnień, uzyskania z poziomu aplikacji dostępu do systemu plików oraz ominięcia zaimplementowanych schematów przepływu danych.

Certyfikaty posiadane przez naszych Ekspertów:

W przypadku Państwa zainteresowania usługami z zakresu cyberbezpieczeństwa oraz bezpieczeństwa informacji oraz uzyskaniem informacji o wysokości wynagrodzenia z tytułu świadczonych usług, uprzejmie prosimy o uprzedni kontakt z Kancelarią za pośrednictwem poczty elektronicznej na poniżej podane adresy e-mail: warszawa@verba-lex.pl, lodz@verba-lex.pl, radom@verba-lex.pl lub pod numerem telefonu: +48 785 188 831.


Dowiedz się więcej

Testy penetracyjne jako skuteczna metoda ochrony danych osobowych w systemach informatycznych?

RODO wymaga od podmiotów wprowadzenia procesów i polityk zapewniających lepszą kontrolę nad danymi przetwarzanymi w ich systemach, wymaga również dostosowania systemów IT do wymagań unijnych(...)

Kontakt

Nasi eksperci są do Państwa dyspozycji

W związku z faktem, że znaczny zakres usług świadczymy poza biurami Kancelarii, serdecznie prosimy o uprzednie ustalanie terminu konsultacji prawnych telefonicznie lub za pośrednictwem poczty elektronicznej.