Oferta - Testy penetracyjne

Zarządzanie ryzykiem.
Identyfikacja, analiza, mitygacja.
Ochrona informacji - Optymalizacja procesów - Doradztwo
Zobacz jak możemy Ci pomóc!

TESTY PENETRACYJNE APLIKACJI/SYSTEMU

Usługa:

  • Kontrolowane próby przejęcia kontroli nad systemem/aplikacją stosowaną w organizacji. Identyfikacja zagrożeń dla bezpieczeństwa wynikających z błędów w aplikacji, konfiguracji systemu.

Wartość dla organizacji:

  • Niezależna ocena systemu przez zewnętrznych ekspertów.
  • Identyfikacja istniejących podatności z punktu widzenia atakującego.
  • Rekomendacje w jaki sposób zmniejszyć poziom zagrożenia.
  • Kontrola ryzyka związanego ze stosowaną aplikacją.

Celem wykonania usługi jest:

  • Minimalizacja wpływu ryzyka związanego ze stosowaniem aplikacji/systemu na funkcjonowanie organizacji.
Wynik końcowy:
  • Raport z oceną końcową stanu aplikacji/systemu, zawierający:
    • spis zidentyfikowanych i zminimalizowanych podatności aplikacji/systemu,
    • szacowny wpływ na organizację,
    • zastosowane i proponowane działania zmniejszające poziom ryzyka,
    • szacowane koszty działań prewencyjnych.

Zakres działania:

  • Identyfikacja ryzyk jakie niesie dla organizacji korzystanie z aplikacji/systemu (w tym: stosowane technologie, otoczenie zewnętrzne, wymogi prawne, wymogi procesu).
  • Weryfikacja od strony praktycznej podatności systemu - kontrolowane działania których celem jest uzyskanie nieautoryzowanego dostępu do systemu/ nie autoryzowane zwiększenie uprawnień do systemu.
  • Szacowanie prawdopodobieństwa wystąpienia straty biorąc pod uwagę uwarunkowania wewnętrzne i zewnętrzne.
  • Szacowanie wielkości strat.
  • Propozycja działań minimalizujących ewentualną możliwą do wystąpienia stratę.
  • Szacowanie kosztów działań minimalizujących ryzyko.
  • Weryfikacja wprowadzonych zmian.
  • Opis Testów penetracyjnych - szczegółowy plan działania znajdziesz tutaj.

Powrót do początku strony


TESTY PENETRACYJNE - SZCZEGÓŁOWY PLAN DZIAŁANIA.

1. Etap przygotowawczy - przygotowanie wstępnego harmonogramu zawierającego zakres prac:

  • określenie typu testów - white box (ze znajomością konfiguracji systemu) / black box (bez znajomości budowy i konfiguracji systemu).
  • zebranie i analiza dokumentacji i wymagań,
  • określenie systemów krytycznych dla funkcjonowania organizacji,
  • przygotowanie zakresu i harmonogramu testów,
  • potwierdzenie zakresu i harmonogramu z klientem.

2. Przegląd dokumentacji systemu, zapoznanie się z badanym systemem, w tym identyfikacja istniejących ryzyk, mechanizmy ograniczające, określenie narzędzi niezbędnych do przeprowadzenia skanowania.

Dostarczona dokumentacja powinna zawierać:
  • protokoły oraz procedury instalacyjne poszczególnych serwerów i aplikacji,
  • adresacja IP i schemat komunikacji sieciowej w systemie - przepływ danych,
  • informację dotyczącą otwartych portów TCP/UDP z informacją o procesach nasłuchujących,
  • konfiguracja istotnych procesów i parametrów systemu,
  • reguły programowe urządzeń filtrujących.

3. Testy penetracyjne środowiska - (z wewnątrz sieci i zewnętrzne) w tym inwentaryzacja systemów i aplikacji widocznych z sieci zewnętrznej i wewnętrznej, identyfikację zasobów systemu. Testy penetracyjne obejmują:

  • Wstępny przegląd sieci:
  • weryfikacja odpowiedzi DNS,
  • weryfikacja sieci metodami typu traceroute,
  • poszukiwanie wycieków informacji w architekturze sieci (np. w źródłach serwisów WWW i w nagłówkach e-mail),
  • pasywna analiza ruchu sieciowego.
  • Skanowanie sieci:
  • badanie ścieżki dostępu do skanowanego obiektu (pakiety ICMP, traceroute, inne),
  • próby ominięcia zapory firewall,
  • poszukiwanie aktywnych systemów,
  • poszukiwaniu otwartych portów.
  • Identyfikacja usług:
  • identyfikacja według numeru portu,
  • analiza nagłówków serwisu,
  • wykrycie i analiza potencjalnie niebezpiecznych serwisów (np. ftp, telnet),
  • wykrycie i analiza zbędnych komponentów serwisów.
  • Identyfikacja systemów:
  • stack fingerprinting,
  • passive fingerprinting.
  • wyciągnięcie wniosków z rezultatów identyfikowanych usług.
  • Badania zidentyfikowanych uprzednio ryzyk oraz wykrywanie potencjalnych nowych zagrożeń i ich weryfikacja:
  • wdrożonych metod kontroli przepływu danych oraz ochrony usług,
  • identyfikacja możliwości eskalacji przywilejów, pozyskania danych oraz ataków Dos,
  • próby wykorzystania potencjalnie niebezpiecznych konfiguracji usług,
  • analiza bezpieczeństwa skanerami automatycznymi.

4. Analiza wyników - zebranie informacji, określenie rekomendacji i przygotowanie raportu z badania.

Zebrany raport zawiera:
  • całościową ocenę bezpieczeństwa systemu informatycznego,
  • analiza ryzyka związanego z bezpieczeństwem oraz wykrytymi lukami,
  • rekomendacje i zalecenia służące zwiększeniu bezpieczeństwa,
  • wnioski i wytyczne do wykorzystania podczas kolejnych testów.
Powrót do początku strony


Definicje:


Ryzyko: potencjalna możliwość oddziaływania zagrożenia na podatności danego elementu aktywów w sposób wyrządzający szkodę organizacji. Miarą ryzyka jest połączenie  prawdopodobieństwa wystąpienia zdarzenia i jego skutków.


Analiza ryzyka: systematyczne wykorzystanie informacji w celu identyfikowania źródeł ryzyka i szacowania jego poziomu (ISO/IEC Guide 73:2002)


Szacowanie ryzyka: jest całościowym procesem służącym do zidentyfikowania źródeł ryzyka, oszacowania wielkości ryzyka oraz porównywania oszacowanej wielkości ryzyka z zadanymi kryteriami w celu określenia wpływu ryzyka na badaną organizację. (całość procesu analizy ryzyka i oceny ryzyka ISO/IEC Guide 73:2002)


Zarządzanie ryzykiem: to ogół czynności które musi podjąć organizacja aby kontrolować ryzyka na jakie jest narażona, zmniejszyć wpływ ryzyka na jej funkcjonowanie i podejmować optymalne decyzje co do kosztów ochrony przed wpływem ryzyka na działanie organizacji.

 

Menedżer ryzyka: osoba nadzorująca ogół czynności jakie musi podjąć firma, aby zarządzać ryzykiem na jakie jest narażona organizacja, w tym obniżać stopień wpływu ryzyka na funkcjonowanie organizacji przy współpracy z kierownictwem firmy.

 

Polityka bezpieczeństwa: dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w jakiejkolwiek formie - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271). Obejmuje w szczególności:

 

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.


Instrukcja zarządzania systemem informatycznym: instrukcja określająca sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych : dokument, którego posiadanie przez firmę wymagane jest przepisami prawa, jeżeli firma jest administratorem danych osobowych w formie elektronicznej, jako dodatkowy do polityki bezpieczeństwa i spójny z polityką bezpieczeństwa - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 (Dz.U. z 2004 nr 100, poz.1024) na podstawie U stawy o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. z 2002 nr 101, poz.926, nr 153 poz. 1271). Obejmuje w szczególności:

 

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;       
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania:
    • elektronicznych nośników informacji zawierających dane osobowe,
    • kopii zapasowych, o których mowa w pkt 4,
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III pod punkt 1 załącznika do rozporządzenia;
  • sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.