audyty bezpieczeństwa

Audyty bezpieczeństwa informacji

Zajmujemy się w pełnym zakresie technicznymi audytami pod kątem cyberbezpieczeństwa – od testów bezpieczeństwa, przez skany podatności, po audyty konfiguracji i audyty kodu źródłowego.

Uzyskaj wycenę

Poznaj kompetencje naszego zespołu

Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:

Mozilla
Netflix
Google
Apple
VMware
Adobe

Audyt bezpieczeństwa informacji

Audyt bezpieczeństwa informatycznego (audyt w zakresie bezpieczeństwa informacji) służy potwierdzeniu, że infrastruktura informatyczna spełnia wymogi bezpieczeństwa (np. zgodnie z wymiogami standardów PCI DSS, NIST 800-115, Rekomendacja D itp), a zarazem nie posiada istotnych luk mogących doprowadzić do hakerskiego włamania, które może skutkować m.in. wyciekiem danych (wyciek informacji).

Audyt bezpieczeństwa konfiguracji

Audyty bezpieczeństwa konfiguracji przeprowadzane są w stosunku do oprogramowania takiego jak systemy operacyjne czy serwery usług, na przykład serwer HTTP. Polegają na sprawdzeniu ustawień danego zasobu pod kątem dobrych praktyk wynikających ze standardów lub zalecanych przez twórców aplikacji.

Audyt bezpieczeństwa kodu źródłowego

Przegląd kodu źródłowego pod kątem bezpieczeństwa jest testem whitebox w którym weryfikuje się słabości niewidoczne z punktu widzenia testów blackbox. Kod nie jest sprawdzany jednak pod kątem czystości czy funkcjonalności, a jedynie aspektów, które mogą wpłynąć na bezpieczeństwo aplikacji.

Audyt bezpieczeństwa smart kontraktu

Przed deploymentem smart kontraktu na blockchainie ważne jest, aby przeprowadzić analizę bezpieczeństwa w celu sprawdzenia, czy nie zawiera on luk w zabezpieczeniach. W szybko rozwijającym się świecie zdecentralizowanych finansów (DeFi) błędy bezpieczeństwa są aktywnie wykorzystywane przez przestępców, co często skutkuje utratą znacznej ilości finansów.

Wykonujemy audyty bezpieczeństwa typu white box (przeglądy bezpieczeństwa kodu) smart kontraktów napisanych w Solidity (np. Ethereum i Binance Smart Chain), Rust (np. Terra i Solana). Przegląd bezpieczeństwa koncentruje się na takich kwestiach, jak kradzież i blokowanie środków, błędy logiki biznesowej, a także overflowy/underflowy i ataki typu re-entrancy. Stosujemy podejście hybrydowe, w którym audytorzy wykonują większość pracy poprzez manualna analize kodu, a także z pomocą automatycznych narzędzi.

Zarządzanie podatnościami

Skany podatności są wykonywane przez automatyczne oprogramowanie, które szuka jedynie znanych podatności, na które posiada z góry gotowe reguły. W kolejnej fazie zidentyfikowane podatności weryfikowane są przez pentesterów w celu wyeliminowania tzw. błędów pierwszego rodzaju (ang. false positive).

Audyt bezpieczeństwa IT

W przypadku potrzeby wykonania audytu bezpieczeństwa informatycznego zalecamy wykonanie: audytów konfiguracji, testów penetracyjnych oraz opcjonalnie również przegląd kodu źródłowego (audyt bezpieczeństwa aplikacji). W przypadku mniejszego budżetu zamiast testów penetracyjnych można wykonać mniej złożone testy bezpieczeństwa takie jak skan podatności z przeglądem wyników.

Audyt środowiska pracy zdalnej

Przeprowadzamy audyty bezpieczeństwa infrastruktury przeznaczonej do pracy zdalnej.

Audyt bezpieczeństwa chmury

W obecnych czasach większość organizacji, używa przynajmniej jednego środowiska chmurowego (infrastructure as a serviceIaaS) dostarczanego przez dużych operatorów takich jak Amazon, Microsoft czy Google. Coraz częściej wykorzystuje się kilku publicznych dostawców (AWS, Azure, GCP) jak i rozwiązań lokalnych (OpenStack, local Kubernetes) w wyniku czego tworzone są środowiska hybrydowe, budowane dynamicznie używając rozwiązania z zakresu infrastructure as a code (IaC) – CloudFormation lub Terraform. Aplikacje coraz częściej wykorzystują rozwiązania bezserwerowe (Lambda, Azure Functions, Google Cloud Functions). We wszystkich tych przypadkach mimo, iż infrastruktura dostarczona jest przez zewnętrznych dostawców nie ponoszą oni pełnej odpowiedzialności (ang. shared responsibility) i dlatego nadal kwestie bezpieczeństwa informacji muszą zostać zaadresowane po stronie organizacji.

Przeprowadzamy audyty bezpieczeństwa największych publicznych środowisk chmurowych takich jak: Amazon Web Services (AWS), Microsoft Azure, Google Cloud oraz chmur prywatnych opartych na OpenStack lub lokalnych instancjach Kubernetes. Analiza bezpieczeństwa skupia się na błędach konfiguracyjnych typowych dla środowisk chmurowych oraz zgodności z najlepszymi praktykami rekomendowanymi przez dostawców. Weryfikowane są krytyczne elementy środowiska jak zarządzanie dostępem (IAM), kluczowe usługi, kod infrastruktury (CloudFormation, Terraform) oraz przygotowanie do obsługi incydentów (ang. logging and monitoring).

Audyt bezpieczeństwa informatycznego

Posiadamy obszerne doświadczenie zarówno z zakresu ataku jak i obrony, wliczając w to przykładowo testy bezpieczeństwa czy informatykę śledczą, a co wymaga od nas znajomości zagadnień takich jak systemy, sieci czy aplikacje. Ponadto posiadamy również doświadczenie na stanowiskach takich jak programista czy administrator systemów. Dzięki połączeniu tych wszystkich kompetencji jesteśmy w stanie jednocześnie weryfikować konfigurację systemów czy usług, oraz audytować kod źródłowy pod kątem bezpieczeństwa i doradzać w zakresie budowy bezpiecznych aplikacji.

Testy bezpieczeństwa

Realizujemy wszelkiego rodzaju testy bezpieczeństwa, w tym audyt bezpieczeństwa WWW (audyt bezpieczeństwa stron internetowych, audyt bezpieczeństwa aplikacji webowych), audyt bezpieczeństwa systemów IT. Weryfikujemy zabezpieczenia zarówno infrastruktury sieciowej jak i aplikacji m.in. webowych, mobilnych oraz klient-serwer.

Certyfikacja PCI DSS

Z nawiązką spełniamy rekomendacje PCI DSS Penetration Testing Guidance i wykonujemy testy penetracyjne zgodnie z zaleceniami standardu PCI DSS.

Secure SDLC oraz DevSecOps

Wspieramy następującymi usługami w zakresie inżynierii oprogramowania, zarówno pod względem architektury jak i implementacji:

  • tworzenie i doradztwo w zakresie modelowania zagrożeń docelowego rozwiązania (threat modelling),
  • implementacja i przegląd procesów takich jak Secure SDLC (proces pomagający podnieść ogólny stan bezpieczeństwa oprogramowania na etapie architektury oraz implementacji) czy DevSecOps (proces polegający na wbudowaniu bezpieczeństwa w standardowy model DevOps).

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.

Firma REDTEAM.PL wykonała testy penetracyjne aplikacji webowej. Testy bezpieczeństwa zostały wykonane w ustalonym terminie oraz z należytą starannością, a dostarczone wyniki prac w formie raportu były zrozumiałe.
— Biedronka (grupa Jerónimo Martins)

Polecamy firmę REDTEAM.PL, zlecone przez nas usługi przeglądu konfiguracji oraz testy penetracyjne zostały zrealizowane na najwyższym poziomie.
— Instytut Pamięci Narodowej (IPN)

Firma REDTEAM.PL kilkukrotnie wykonywała testy penetracyjne przedsiębiorstwa. Każdorazowo testy bezpieczeństwa zostały wykonana w ustalonym terminie oraz z należytą starannością, a dostarczone wyniki prac w formie raportu były zrozumiałe.
— International Tobacco Machinery

Firma REDTEAM.PL wykonała usługę audytu konfiguracji GCP oraz przeprowadziła testy penetracyjne aplikacji webowej. Prace zostały wykonane z należytą starannością, a wykonawcy wykazali się przy tym profesjonalizmem.
— Kontomatik

Firma REDTEAM.PL wykonała testy penetracyjne oprogramowania wytwarzanego przez TELDAT. Prace wykonane zostały profesjonalnie, terminowo i z należytą starannością, a wnioski w formie raportu były precyzyjne i dotyczyły wszystkich obszarów interesujących zamawiającego.
— TELDAT

Firma REDTEAM.PL wykonała testy penetracyjne aplikacji mobilnej. Powierzone prace zostały zrealizowane terminowo i z należytą starannością, co skutkuje wysoką oceną wykonanych usług.
— Carefleet (grupa Crédit Agricole)

Firma REDTEAM.PL wykonała testy penetracyjne aplikacji webowej. Powierzone prace zostały zrealizowane terminowo i z należytą starannością oraz etyką zawodową, a dostarczone wyniki prac były przygotowane w sposób sumienny oraz przejrzysty.
— PKO Ubezpieczenia (grupa PKO Bank Polski)

Firma REDTEAM.PL wykonała usługę analizy bezpieczeństwa naszych serwerów. Usługa została przeprowadzona bardzo szybko i sprawnie. Otrzymaliśmy odpowiedzi na postawione pytania jak również szereg dodatkowych porad co należy jeszcze usprawnić.
— No Fluff Jobs

Rekomendujemy współpracę z firmą REDTEAM.PL za profesjonalizm i pełne zaangażowanie w zakresie świadczenia usług związanych z bezpieczeństwem serwisów internetowych.
— Europejski Fundusz Leasingowy (grupa Crédit Agricole)

Firma REDTEAM.PL wykonała testy penetracyjne aplikacji mobilnych oraz webowej. Testy bezpieczeństwa zostały wykonane w ustalonym terminie oraz z należytą starannością, a dostarczone wyniki prac w formie raportu były zrozumiałe.
— Farm Frites Poland (FFP)

Firma REDTEAM.PL realizuje zadania z zakresu testów bezpieczeństwa i architektury bezpieczeństwa aplikacji. Zlecone przez nas zadania są realizowane terminowo i na wysokim poziomie.
— Centralny Ośrodek Informatyki (Ministerstwo Cyfryzacji)

Firma REDTEAM.PL wykonała usługę testów penetracyjnych black box, w tym sieci bezprzewodowych i symulowania ataków na infrastrukturę Active Directory. Prace zostały wykonane z należytą starannością, a wykonawcy wykazali się przy tym profesjonalizmem.
— Telewizja Puls

Firma REDTEAM.PL wykonała analizę logów i obrazów dysków pod kątem cyberbezpieczeństwa. Usługa informatyki śledczej została wykonana w ustalonym terminie oraz z należytą starannością, a dostarczone wyniki prac w formie raportu były zrozumiałe.
— SeaChange

Firma REDTEAM.PL wykonała testy penetracyjne aplikacji webowej. Testy bezpieczeństwa zostały wykonane w ustalonym terminie oraz z należytą starannością, a dostarczone wyniki prac w formie raportu były zrozumiałe.
— TUiR Allianz

Firma REDTEAM.PL zrealizował testy penetracyjne sieci wewnętrznej i zewnętrznej oraz testy świadomości personelu (red teaming). Zespół wykazał duże zaangażowanie oraz proaktywną postawę i elastyczność w trakcie testów. Polecamy współpracę z REDTEAM.PL.
— Orbis (grupa Accor)

Firma REDTEAM.PL wykonała usługę audytu bezpieczeństwa aplikacji. Usługa została wykonana terminowo i dokładnie. Z raportu otrzymaliśmy czytelny raport błędów zawierający informacje o wszelkich znalezionych problemach, ryzyku jakie się z nimi wiąże i zalecanym sposobem naprawy.
— No Fluff Jobs

Firma REDTEAM.PL wykonała usługę informatyki śledczej. Zlecenie zostało wykonana zgodnie z ustaleniami, a przedstawiciele firmy w jasny i zrozumiały sposób wyjaśnili wszystkie aspekty związane ze zleceniem oraz jego rezultatami.
— Katharsis Development

Firma REDTEAM.PL wykonała testy penetracyjne aplikacji sklepu internetowego. Powierzone prace były zrealizowane terminowo i z należytą starannością, a dostarczona usługa na wysokim poziomie.
— GO Sport

CERT.LV dziękuje firmie REDTEAM.PL za cenne informacje, które pomogły poprawić bezpieczeństwo zasobów informatycznych Republiki Łotewskiej.
— Łotewski Narodowy Zespół CERT

CERT.EE dziękuje firmie REDTEAM.PL za cenne informacje, które pomogły poprawić bezpieczeństwo zasobów informatycznych Republiki Estonii.
— Estoński Narodowy Zespół CERT

Firma REDTEAM.PL wykonała testy penetracyjne sklepu internetowego. Prace były zrealizowane terminowo i z należytą starannością, a dostarczona usługa na wysokim poziomie.
— Reserved (spółka LPP)

Firma REDTEAM.PL wykonała usługę testów penetracyjnych typu black box i symulowania ataków na infrastrukturę Active Directory. Prace zostały wykonane z należytą starannością, a wykonawcy wykazali się przy tym profesjonalizmem.
— Diagnostyka