audyty bezpieczeństwa

Audyty bezpieczeństwa informacji

Zajmujemy się w pełnym zakresie technicznymi audytami pod kątem cyberbezpieczeństwa – od testów bezpieczeństwa, przez skany podatności, po audyty konfiguracji i audyty kodu źródłowego.

Wyślij zapytanie

Poznaj kompetencje naszego zespołu

Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:

Mozilla
Netflix
Adobe
Oracle
VMware
Apple

Audyt bezpieczeństwa informacji

Audyt bezpieczeństwa informatycznego (audyt w zakresie bezpieczeństwa informacji) służy potwierdzeniu, że infrastruktura informatyczna spełnia wymogi bezpieczeństwa (np. zgodnie z wymiogami standardów PCI DSS, NIST 800-115, Rekomendacja D itp), a zarazem nie posiada istotnych luk mogących doprowadzić do hakerskiego włamania, które może skutkować m.in. wyciekiem danych (wyciek informacji).

Audyt bezpieczeństwa konfiguracji

Audyty bezpieczeństwa konfiguracji przeprowadzane są w stosunku do oprogramowania takiego jak systemy operacyjne czy serwery usług, na przykład serwer HTTP. Polegają na sprawdzeniu ustawień danego zasobu pod kątem dobrych praktyk wynikających ze standardów lub zalecanych przez twórców aplikacji.

Audyt bezpieczeństwa kodu źródłowego

Przegląd kodu źródłowego pod kątem bezpieczeństwa jest testem whitebox w którym weryfikuje się słabości niewidoczne z punktu widzenia testów blackbox. Kod nie jest sprawdzany jednak pod kątem czystości czy funkcjonalności, a jedynie aspektów, które mogą wpłynąć na bezpieczeństwo aplikacji.

Zarządzanie podatnościami

Skany podatności są wykonywane przez automatyczne oprogramowanie, które szuka jedynie znanych podatności, na które posiada z góry gotowe reguły. W kolejnej fazie zidentyfikowane podatności weryfikowane są przez pentesterów w celu wyeliminowania tzw. błędów pierwszego rodzaju (ang. false positive).

Audyt bezpieczeństwa IT

W przypadku potrzeby wykonania audytu bezpieczeństwa informatycznego zalecamy wykonanie: audytów konfiguracji, testów penetracyjnych oraz opcjonalnie również przegląd kodu źródłowego (audyt bezpieczeństwa aplikacji). W przypadku mniejszego budżetu zamiast testów penetracyjnych można wykonać mniej złożone testy bezpieczeństwa takie jak skan podatności z przeglądem wyników.

Audyt bezpieczeństwa informatycznego

Posiadamy obszerne doświadczenie zarówno z zakresu ataku jak i obrony, wliczając w to przykładowo testy bezpieczeństwa czy informatykę śledczą, a co wymaga od nas znajomości zagadnień takich jak systemy, sieci czy aplikacje. Ponadto posiadamy również doświadczenie na stanowiskach takich jak programista czy administrator systemów. Dzięki połączeniu tych wszystkich kompetencji jesteśmy w stanie jednocześnie weryfikować konfigurację systemów czy usług, oraz audytować kod źródłowy pod kątem bezpieczeństwa i doradzać w zakresie budowy bezpiecznych aplikacji.

Secure SDLC oraz DevSecOps

Wspieramy następującymi usługami w zakresie inżynierii oprogramowania, zarówno pod względem architektury jak i implementacji:

  • tworzenie i doradztwo w zakresie modelowania zagrożeń docelowego rozwiązania (threat modelling),
  • implementacja i przegląd procesów takich jak Secure SDLC (proces pomagający podnieść ogólny stan bezpieczeństwa oprogramowania na etapie architektury oraz implementacji) czy DevSecOps (proces polegający na wbudowaniu bezpieczeństwa w standardowy model DevOps).

Testy bezpieczeństwa

Realizujemy wszelkiego rodzaju testy bezpieczeństwa, w tym audyt bezpieczeństwa WWW (audyt bezpieczeństwa stron internetowych, audyt bezpieczeństwa aplikacji webowych), audyt bezpieczeństwa systemów IT. Weryfikujemy zabezpieczenia zarówno infrastruktury sieciowej jak i aplikacji m.in. webowych, mobilnych oraz klient-serwer.

Certyfikacja PCI DSS

Z nawiązką spełniamy rekomendacje PCI DSS Penetration Testing Guidance i wykonujemy testy penetracyjne zgodnie z zaleceniami standardu PCI DSS.

Audyt środowiska pracy zdalnej

Przeprowadzamy audyty bezpieczeństwa infrastruktury przeznaczonej do pracy zdalnej.

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.