audyty bezpieczeństwa

Audyty bezpieczeństwa infrastruktury IT

Zajmujemy się w pełnym zakresie technicznymi audytami pod kątem cyberbezpieczeństwa – od testów bezpieczeństwa, przez skany podatności, po audyty konfiguracji i audyty kodu źródłowego.

Audyty cyberbezpieczeństwa

Audyty bezpieczeństwa systemów teleinformatycznych służą potwierdzeniu, iż infrastruktura informatyczna spełnia wymogi bezpieczeństwa, a zarazem nie posiada istotnych luk mogących doprowadzić do wycieku danych.

Audyt bezpieczeństwa konfiguracji

Audyty bezpieczeństwa konfiguracji przeprowadzane są w stosunku do oprogramowania takiego jak systemy operacyjne czy serwery usług, na przykład serwer HTTP. Polegają na sprawdzeniu ustawień danego zasobu pod kątem dobrych praktyk wynikających ze standardów lub zalecanych przez twórców aplikacji.

Audyt bezpieczeństwa kodu źródłowego

Przegląd kodu źródłowego pod kątem bezpieczeństwa jest testem whitebox w którym weryfikuje się słabości niewidoczne z punktu widzenia testów blackbox. Kod nie jest sprawdzany jednak pod kątem czystości czy funkcjonalności, a jedynie aspektów, które mogą wpłynąć na bezpieczeństwo aplikacji.

Audyt bezpieczeństwa IT

W przypadku potrzeby wykonania audytu bezpieczeństwa informatycznego zalecamy wykonanie: audytów konfiguracji, testów penetracyjnych oraz opcjonalnie również przegląd kodu źródłowego. W przypadku mniejszego budżetu zamiast testów penetracyjnych można wykonać mniej złożone testy bezpieczeństwa takie jak skan podatności.

Skany podatności

Skany podatności są wykonywane przez automatyczne oprogramowanie, które szuka jedynie znanych podatności, na które posiada z góry gotowe reguły. W kolejnej fazie zidentyfikowane podatności weryfikowane są przez pentesterów w celu wyeliminowania tzw. błędów pierwszego rodzaju (ang. false positive).

Doradztwo z zakresu inżynierii oprogramowania

Wspieramy następującymi usługami w zakresie inżynierii oprogramowania, zarówno pod względem architektury jak i implementacji:

  • tworzenie i doradztwo w zakresie modelowania zagrożeń docelowego rozwiązania (threat modelling),
  • implementacja i przegląd procesów takich jak Secure SDLC (proces pomagający podnieść ogólny stan bezpieczeństwa oprogramowania na etapie architektury oraz implementacji) czy DevSecOps (proces polegający na wbudowaniu bezpieczeństwa w standardowy model DevOps).

Dlaczego my?

Posiadamy obszerne doświadczenie zarówno z zakresu ataku jak i obrony, wliczając w to przykładowo testy bezpieczeństwa czy informatykę śledczą, a co wymaga od nas znajomości zagadnień takich jak systemy, sieci czy aplikacje. Ponadto posiadamy również doświadczenie na stanowiskach takich jak programista czy administrator systemów. Dzięki połączeniu tych wszystkich kompetencji jesteśmy w stanie jednocześnie weryfikować konfigurację systemów czy usług, oraz audytować kod źródłowy pod kątem bezpieczeństwa i doradzać w zakresie budowy bezpiecznych aplikacji.

Audyty bezpieczeństwa systemów teleinformatycznych służą potwierdzeniu, iż infrastruktura informatyczna spełnia wymogi bezpieczeństwa.

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanym doświadczeniom w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.