audyty bezpieczeństwa

Audyty bezpieczeństwa informacji

Zajmujemy się w pełnym zakresie technicznymi audytami pod kątem cyberbezpieczeństwa – od testów bezpieczeństwa, przez skany podatności, po audyty konfiguracji i audyty kodu źródłowego.

Uzyskaj wycenę

Poznaj kompetencje naszego zespołu

Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:

Apple
Google
Mozilla
Netflix
Oracle
Adobe

Audyt bezpieczeństwa informacji

Audyt bezpieczeństwa informatycznego (audyt w zakresie bezpieczeństwa informacji) służy potwierdzeniu, że infrastruktura informatyczna spełnia wymogi bezpieczeństwa (np. zgodnie z wymiogami standardów PCI DSS, NIST 800-115, Rekomendacja D itp), a zarazem nie posiada istotnych luk mogących doprowadzić do hakerskiego włamania, które może skutkować m.in. wyciekiem danych (wyciek informacji).

Audyt bezpieczeństwa konfiguracji

Audyty bezpieczeństwa konfiguracji przeprowadzane są w stosunku do oprogramowania takiego jak systemy operacyjne czy serwery usług, na przykład serwer HTTP. Polegają na sprawdzeniu ustawień danego zasobu pod kątem dobrych praktyk wynikających ze standardów lub zalecanych przez twórców aplikacji.

Audyt bezpieczeństwa kodu źródłowego

Przegląd kodu źródłowego pod kątem bezpieczeństwa jest testem whitebox w którym weryfikuje się słabości niewidoczne z punktu widzenia testów blackbox. Kod nie jest sprawdzany jednak pod kątem czystości czy funkcjonalności, a jedynie aspektów, które mogą wpłynąć na bezpieczeństwo aplikacji.

Audyt bezpieczeństwa smart kontraktu

Przed deploymentem smart kontraktu na blockchainie ważne jest, aby przeprowadzić analizę bezpieczeństwa w celu sprawdzenia, czy nie zawiera on luk w zabezpieczeniach. W szybko rozwijającym się świecie zdecentralizowanych finansów (DeFi) błędy bezpieczeństwa są aktywnie wykorzystywane przez przestępców, co często skutkuje utratą znacznej ilości finansów.

Wykonujemy audyty bezpieczeństwa typu white box (przeglądy bezpieczeństwa kodu) smart kontraktów napisanych w Solidity (np. Ethereum i Binance Smart Chain), Rust (np. Terra i Solana). Przegląd bezpieczeństwa koncentruje się na takich kwestiach, jak kradzież i blokowanie środków, błędy logiki biznesowej, a także overflowy/underflowy i ataki typu re-entrancy. Stosujemy podejście hybrydowe, w którym audytorzy wykonują większość pracy poprzez manualna analize kodu, a także z pomocą automatycznych narzędzi.

Zarządzanie podatnościami

Skany podatności są wykonywane przez automatyczne oprogramowanie, które szuka jedynie znanych podatności, na które posiada z góry gotowe reguły. W kolejnej fazie zidentyfikowane podatności weryfikowane są przez pentesterów w celu wyeliminowania tzw. błędów pierwszego rodzaju (ang. false positive).

Audyt bezpieczeństwa IT

W przypadku potrzeby wykonania audytu bezpieczeństwa informatycznego zalecamy wykonanie: audytów konfiguracji, testów penetracyjnych oraz opcjonalnie również przegląd kodu źródłowego (audyt bezpieczeństwa aplikacji). W przypadku mniejszego budżetu zamiast testów penetracyjnych można wykonać mniej złożone testy bezpieczeństwa takie jak skan podatności z przeglądem wyników.

Audyt środowiska pracy zdalnej

Przeprowadzamy audyty bezpieczeństwa infrastruktury przeznaczonej do pracy zdalnej.

Audyt bezpieczeństwa chmury

W obecnych czasach większość organizacji, używa przynajmniej jednego środowiska chmurowego (infrastructure as a serviceIaaS) dostarczanego przez dużych operatorów takich jak Amazon, Microsoft czy Google. Coraz częściej wykorzystuje się kilku publicznych dostawców (AWS, Azure, GCP) jak i rozwiązań lokalnych (OpenStack, local Kubernetes) w wyniku czego tworzone są środowiska hybrydowe, budowane dynamicznie używając rozwiązania z zakresu infrastructure as a code (IaC) – CloudFormation lub Terraform. Aplikacje coraz częściej wykorzystują rozwiązania bezserwerowe (Lambda, Azure Functions, Google Cloud Functions). We wszystkich tych przypadkach mimo, iż infrastruktura dostarczona jest przez zewnętrznych dostawców nie ponoszą oni pełnej odpowiedzialności (ang. shared responsibility) i dlatego nadal kwestie bezpieczeństwa informacji muszą zostać zaadresowane po stronie organizacji.

Przeprowadzamy audyty bezpieczeństwa największych publicznych środowisk chmurowych takich jak: Amazon Web Services (AWS), Microsoft Azure, Google Cloud oraz chmur prywatnych opartych na OpenStack lub lokalnych instancjach Kubernetes. Analiza bezpieczeństwa skupia się na błędach konfiguracyjnych typowych dla środowisk chmurowych oraz zgodności z najlepszymi praktykami rekomendowanymi przez dostawców. Weryfikowane są krytyczne elementy środowiska jak zarządzanie dostępem (IAM), kluczowe usługi, kod infrastruktury (CloudFormation, Terraform) oraz przygotowanie do obsługi incydentów (ang. logging and monitoring).

Audyt bezpieczeństwa informatycznego

Posiadamy obszerne doświadczenie zarówno z zakresu ataku jak i obrony, wliczając w to przykładowo testy bezpieczeństwa czy informatykę śledczą, a co wymaga od nas znajomości zagadnień takich jak systemy, sieci czy aplikacje. Ponadto posiadamy również doświadczenie na stanowiskach takich jak programista czy administrator systemów. Dzięki połączeniu tych wszystkich kompetencji jesteśmy w stanie jednocześnie weryfikować konfigurację systemów czy usług, oraz audytować kod źródłowy pod kątem bezpieczeństwa i doradzać w zakresie budowy bezpiecznych aplikacji.

Testy bezpieczeństwa

Realizujemy wszelkiego rodzaju testy bezpieczeństwa, w tym audyt bezpieczeństwa WWW (audyt bezpieczeństwa stron internetowych, audyt bezpieczeństwa aplikacji webowych), audyt bezpieczeństwa systemów IT. Weryfikujemy zabezpieczenia zarówno infrastruktury sieciowej jak i aplikacji m.in. webowych, mobilnych oraz klient-serwer.

Certyfikacja PCI DSS

Z nawiązką spełniamy rekomendacje PCI DSS Penetration Testing Guidance i wykonujemy testy penetracyjne zgodnie z zaleceniami standardu PCI DSS.

Secure SDLC oraz DevSecOps

Wspieramy następującymi usługami w zakresie inżynierii oprogramowania, zarówno pod względem architektury jak i implementacji:

  • tworzenie i doradztwo w zakresie modelowania zagrożeń docelowego rozwiązania (threat modelling),
  • implementacja i przegląd procesów takich jak Secure SDLC (proces pomagający podnieść ogólny stan bezpieczeństwa oprogramowania na etapie architektury oraz implementacji) czy DevSecOps (proces polegający na wbudowaniu bezpieczeństwa w standardowy model DevOps).

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.