Business Consulting Center

Testy penetracyjne, pentesty, audyty konfiguracji.

Wyższy poziom bezpieczeństwa infrastruktury IT.

Testy penetracyjne

W ramach oferty bezpieczeństwa IT, BCC realizuje testy penetracyjne (pentesty) dotyczące dowolnych elementów infrastruktury IT firmy. Celem testów jest znaczące podwyższenie poziomu bezpieczeństwa firmowych systemów i danych, przez identyfikację słabych punktów infrastruktury IT, które mogą być celem skutecznego ataku hakerskiego.

Jak pokazują badania, obecne trendy w cyberprzestępczości cechują się coraz to bardziej ukierunkowanymi atakami. Co ciekawe, obserwuje się też zwiększoną aktywność hakerską wycelowaną w znacznie mniejsze firmy niż dotychczas. Zagrożenie może pozornie wydawać się niewielkie, natomiast realnie ryzyko biznesowe bywa ogromne. Dlatego warto zastanowić się nad sprawdzeniem zabezpieczeń swojej jednostki, niezależnie od jej wielkości.

BCC realizuje usługi związane z dziedziną szeroko pojętego bezpieczeństwa IT. Nasz zespół certyfikowanych konsultantów ds. zabezpieczeń jest w stanie przybrać rolę grupy hakerów (pentesterów) i sprawdzić zabezpieczenia firmy, czyli wykonać tak zwane testy penetracyjne (pentesty). Wykonujemy również audyty konfiguracji pod kątem ustawień bezpieczeństwa, hardeningu, dobrych praktyk i innych wytycznych oraz metodologii.

Polecamy nagranie z webinara BCC DemoRoom Pentesty, czyli co powinieneś widzieć o bezpieczeństwie IT w swojej firmie

Wykonujemy m.in.:

  • testy penetracyjne – zewnętrzne (wykonywane z Internetu)
  • testy penetracyjne – wewnętrzne (w lokalizacji)
  • testy penetracyjne – na zgodność ze standardem PCI DSS
  • testy penetracyjne (web) aplikacji
  • testy penetracyjne aplikacji mobilnych
  • testy penetracyjne sieci bezprzewodowych WiFi
  • testy socjotechniczne

Realizujemy także:

  • audyty konfiguracji bezpieczeństwa baz danych
  • audyty konfiguracji bezpieczeństwa systemów operacyjnych
  • audyty konfiguracji bezpieczeństwa stacji roboczych
  • audyty i weryfikację infrastruktury sieciowej (pełny audyt infrastrukturalny)
  • audyty konfiguracji bezpieczeństwa systemu SAP
  • audyty konfiguracji bezpieczeństwa systemów (np. MS Exchange, Sharepoint)

Zakres usług jest indywidualnie ustalany z klientem. Oferujemy także możliwość wykonania testów penetracyjnych i audytu konfiguracji bezpieczeństwa każdego, także niestandardowego elementu infrastruktury IT klienta.

Posiadamy własną metodologię przeprowadzania testów penetracyjnych oraz audytów konfiguracji bezpieczeństwa, opartą o:

  • doświadczenia BCC w tym zakresie i kilkadziesiąt projektów z zakresu bezpieczeństwa IT
  • techniki przygotowane przez znane organizacje zajmujące się bezpieczeństwem systemów IT (min. OSSTMM, NIST, EC-Council, OWASP, COBIT)

Jednym z podstawowych źródeł, na których bazowaliśmy, jest metodologia opracowana przez EC-Council (propagowana w ramach certyfikatów Certified Ethical Hacker). Ponieważ w trakcie testów wykorzystujemy różne narzędzia, działamy również zgodnie ze sposobem działania proponowanym przez Offensive Security. Jeżeli chodzi o testy aplikacji internetowych, również wykorzystujemy własną metodologię, która bazuje głównie na aktualnej metodologii OWASP.

Generalnie wszystkie powyższe metodologie mają cechy wspólne, które obejmują zbieranie informacji/enumerację, definiowanie wektorów ataku, próby ataków, weryfikację uzyskanych wyników oraz raport z wykonanych testów i ewentualnych wykrytych podatności, rekomendacje mające na celu poprawić bezpieczeństwo. W trakcie wykonywania testów bądź audytu czasami należy zadziałać w zależności od zmieniającej się sytuacji (na przykład w wyniku działania systemów IDS/IDP) i wymagane jest indywidualne podejście do możliwego wektora ataku.

Wykonując testy przeprowadzamy nie tylko operacje stricte techniczne, jak skanowanie, testowanie i weryfikowanie podatności na ataki, ale również - jeżeli jest to konieczne – prowadzimy wywiady z wyznaczonymi osobami, związanymi z wybranymi do testów systemami oraz elementami infrastruktury informatycznej.

Istnieją trzy podstawowe modele, według których przeprowadzamy testy penetracyjne systemów IT oraz web aplikacji. Poniżej przedstawiamy ich opis.

Testy penetracyjne systemów IT

  • Black Box – Pentesterzy posiadają minimalną wiedzę na temat atakowanego celu (np. nazwa firmy, ilość adresów IP). Ten model jest najbardziej zbliżony do rzeczywistych cyberataków, jednak wiąże się on z dłuższym czasem przeprowadzania testów, który poświęca się na rekonesans.
  • White Box – Pentesterzy mają maksymalną wiedzę na temat celu, testy są wówczas bardziej symulacją przypominającą audyt, jednak pozwalają sprawdzić systemy bardzo dokładnie
  • Gray Box – Najczęstszy wybór wśród naszych klientów. Jest to połączenie dwóch powyższych, pentesterzy otrzymują pewną ograniczoną ilość informacji określoną przez klienta (np. zakres adresacji IP, listę systemów, jakie mają podlegać testom).

 Testy penetracyjne aplikacji webowych

  • Black Box – Ten model testów nie obejmuje testowania logiki biznesowej aplikacji lub prób zrozumienia, jak podatności mogą wpłynąć na użytkowników systemu bądź system, poza obszarem autentykacji i autoryzacji. Testy te sprawdzają natomiast podstawowe elementy bezpieczeństwa (zgodnie z Open Web Application Security Project – OWASP Top10). W modelu Black Box nie uwzględnia się testów z użyciem danych logowania.
  • White Box – Polega na statycznej analizie kodu źródłowego web aplikacji. Pozwala wykryć wszystkie nieprawidłowości w sposobie tworzenia aplikacji od strony deweloperskiej. Pozwala wykryć podatności zaszyte w błędnie stworzonym kodzie.
  • Gray Box – Model pozwalający kompleksowo sprawdzić zabezpieczenia web aplikacji, łącznie z testowaniem logiki biznesowej, wpływem podatności na użytkowników systemu bądź sam system. Model ten uwzględnia testy z użyciem danych logowania, w celu weryfikacji zabezpieczeń „wewnątrz” web aplikacji.  Model ten zawiera w sobie Black Box.

 

Do góry

Informacje powiązane

ISO 27001 w placówkach ochrony zdrowia: oferta BCC

W ramach oferty usług związanych z bezpieczeństwem informacji BCC oferuje również wsparcie dla podmiotów…

10 lat bezpieczeństwa IT z BCC: promocja testów penetracyjnych środowiska IT

W ramach grudniowej promocji, oferowane przez BCC pentesty sześciu elementów środowiska IT są dostępne…

BCC na IX Forum Informatyki w Bankowości Spółdzielczej

Zapraszamy kadrę zarządzającą oraz osoby odpowiedzialne za bezpieczeństwo i audyt informatyczny na IX Forum…

BCC na ogólnopolskiej konferencji poświęconej bezpieczeństwu informacji

Zapraszamy osoby odpowiedzialne za bezpieczeństwo informacji, bezpieczeństwo przetwarzanych danych osobowych, a także kierowników i…

BCC ze studium przypadku ISO/IEC 27001 na konferencji medycznej

Eksperci BCC wystąpią na seminarium Medica Info „Outsourcing IT i usług pokrewnych w branży…

Bezpieczne IT, bezpieczny biznes – po warsztatach w BCC Data Centers

31 maja br. w BCC Data Centers w podpoznańskich Złotnikach odbyły się warsztaty poświęcone…

1 2 3 4 5 6 7 

Akademia Lepszego Biznesu


742 artykuły przydatne w przygotowaniu i realizacji projektów.

Eksperci doradzają - jak prowadzić wdrożenia, jak rozwijać IT, jak zmieniać biznes na lepsze.

Zintegrowany system zarządzania w Fujitsu GDC

Aby zapewnić klientom najwyższą jakość usług, Fujitsu Global Delivery Center zdecydowało się na wdrożenie zintegrowanego systemu zarządzania...

Zintegrowany system zarządzania w Fujitsu GDC

Aby zapewnić klientom najwyższą jakość usług, Fujitsu Global Delivery Center zdecydowało się na wdrożenie zintegrowanego systemu zarządzania... /pub/pl/uploadimages/gtx/3089876352.jpg

Maflow: wdrożenie standardu ISO 27001

ISO/IEC 27001 to okazja do uporządkowania procesów i procedur, stworzenie skutecznej ochrony przed utratą informacji oraz budowanie świadomości... /pub/pl/uploadimages/gtx/2368988611.jpg

Plastic Omnium: Po co ISO/IEC 27001 w automotive?

Prototypy, rysunki klientów, cenniki komponentów, restrykcyjne zapisy w umowach z kontrahentami to tylko wierzchołek góry lodowej. Każda... /pub/pl/uploadimages/gtx/1988902555.jpg

ISO/IEC 20000 i ISO/IEC 27001 oraz audyt technologiczny w Transition Technologies

Transition Technologies, aby dać swoim klientom większą gwarancję bezpieczeństwa i stabilności ich biznesu, postanowił wdrożyć kolejne... /pub/pl/uploadimages/gtx/2502743300.jpg

ISO/IEC 27001 w BillBird

Identyfikacja ryzyka, nowa polityka zarządzania bezpieczeństwem informacji, restrykcyjne procedury, drobiazgowy przegląd infrastruktury IT, dziesiątki... /pub/pl/uploadimages/gtx/billbird-kwadrat.2089098718.jpg

Urząd Miasta Bydgoszczy: Audyt IT

Liczba usług świadczonych przez Wydział Informatyki Urzędu Miasta Bydgoszczy na rzecz obywateli miasta, jak i pracowników urzędu stale... /pub/pl/uploadimages/gtx/aw-umbydgoszczaudytit.1300735368.jpg

Zakłady Chemiczne „POLICE” SA: Audyt bezpieczeństwa IT

W Zakładach Chemicznych „POLICE” SA od połowy 2007 roku trwają prace nad wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji... /pub/pl/uploadimages/gtx/zchpolice-audytit-rozkrut.1300878233.jpg

System Zarządzania Bezpieczeństwem Informacji w BCC

Usługi outsourcingu i serwisu systemów IT są wykonywane na „żywym organizmie” systemów klientów. Dostawca usług powinien zadbać... /pub/pl/uploadimages/gtx/szbiwbcc-janas.1300873931.jpg

Już 7935 osób korzysta z Akademii Lepszego Biznesu

Przejdź do Akademii LB

Akademia Lepszego Biznesu


742 artykuły przydatne w przygotowaniu i realizacji projektów.

Eksperci doradzają - jak prowadzić wdrożenia, jak rozwijać IT, jak zmieniać biznes na lepsze.

Testy bezpieczeństwa kart płatniczych

Debetowe i kredytowe, wypukłe i płaskie, z paskiem magnetycznym lub czipem, zbliżeniowe czy wirtualne… Karty płatnicze – akceptowane...

Wyeliminować martwy punkt zabezpieczeń SAP

Obecnie żadna firma nie jest w stanie uniknąć konsekwencji usieciowienia świata biznesu. Oprogramowanie, sprzęt, wewnętrzne sieci,...

Testy penetracyjne – jeden raport, wiele korzyści

Testy penetracyjne to jedna z najbardziej miarodajnych metod oceny bezpieczeństwa środowiska IT. Symulowane ataki pozwalają wykryć...

ISO 27001 w szpitalach i placówkach ochrony zdrowia

Ochrona danych i informacji jest sporym wyzwaniem stojącym przed szpitalami i innymi placówkami ochrony zdrowia. Przetwarzają one wszak...

Hosting za granicą a ochrona danych osobowych

Wrażliwe dane osobowe pracowników i klientów w zewnętrznym centrum przetwarzania danych? To w wielu firmach standard. Dla polskich...

Nowości w SAP BusinessObjects GRC 10.1

Skrót w nazwie rozwiązania SAP BusinessObjects GRC pochodzi od trzech słów: Governance, Risk, Compliance. Te na pozór dość odległe...

1 2 3 4 5 6 

Już 7935 osób korzysta z Akademii Lepszego Biznesu

Przejdź do Akademii LB

Formularz kontaktowy

Masz wyłączoną obsługę JavaScript. Aby skorzystać z formularza, włącz obsługę JavaScript w swojej przeglądarce.

* pola obowiązkowe

Nasi klienci:

  • Tuplex sp. z o.o.
  • Nivea Polska (Grupa Beiersdorf)
  • Fabryka Cukiernicza Kopernik S.A.
  • Odlewnia Żeliwa Śrem S.A.
  • Pekaes S.A.
  • Herlitz sp. z o.o.
  • Valeo Autosystemy Sp. z o.o.
  • Aquanet S.A.
  • BillBird (Grupa GTECH)
  • WSK PZL Rzeszów SA
  • PHOENIX CONTACT Sp. z o.o.
  • MBF (Belbal Polska)
  • KS Logistik Gmbh Polska (Grupa Kromberg & Schubert)
  • Knauf Polska
  • Telewizja Polska S.A.
  • Nickel (Grupa Nickel)
  • Gedeon Richter Polska sp. z o.o.
  • SE Bordnetze Polska Sp. z o.o.
  • Poli-Eco Tworzywa Sztuczne sp. z o.o.
  • Firestone Industrial Products Poland sp. z o.o.

więcej

zwiń