Testy penetracyjne

Testy penetracyjne to szybka i efektywna metoda oceny bezpieczeństwa pozwalająca zapanować nad bezpieczeństwem systemów oraz aplikacji a jednocześnie umożliwia zapewnienie zgodności z wieloma wymogami i regulacjami sektorowymi.

Bardziej szczegółowe testy:

Sektory

Sektory, w których się specjalizujemy:

  • Bankowy,
  • Datacenter,
  • Energetyka,
  • IT,
  • Telko,
  • Ubezpieczeniowy.

Testy penetracyjne a SDL

Testy penetracyjne są integralnym elementem Secure Development Lifecycle (SDL) – metodyki opracowanej przez firmę Microsoft na potrzeby wytwarzania bezpiecznego oprogramowania.

Trening Opracowanie wymagań Projektowanie Implementacja Weryfikacja Publikacja Reakcja
2. Ocena wymagań bezpieczeństwa 5. Ocena wymagań projektowych 8. Wykorzystanie dozwolonych narzędzi 11. Przeprowadzenie analizy dynamicznej 14. Utworzenie planu reakcji na incydent
1. Szkolenie z bezpieczeństwa 3. Utworzenie progów jakości i błędów 6. Utworzenie oceny i redukcji powierzchni ataku 9. Określenie przestarzałych funkcji 12. Przeprowadzenie fuzzingu 15. Przeprowadzenie ostatecznej oceny bezpieczeństwa Wykonanie planu reakcji na incydent
4. Przeprowadzenie oceny ryzyka i prywatnośći 7. Wykorzystanie modelowania zagrożeń 10. Przeprowadzenie analizy statycznej 13. Weryfikacja powierzchni ataku 16. Certyfikowanie wydania i archiwizacja

AVET INS dostarcza kompletne rozwiązania w zakresie wytwarzania bezpiecznego oprogramowania adresujące każdy element metodyki SDL.

Integralnym elementem testów penetracyjnych oferowanych przez AVET INS między innymi są:

SDL Practice #1: edukacja

Konsultacje i warsztaty dostarczane przez nas w ramach procesu testów penetracyjnych zapewniają transfer wiedzy do klienta i podnoszą świadomość aspektów związanych z bezpieczeństwem.

SDL Practice #10: przegląd kodu

Gdy zapewniony jest dostęp do kodu źródłowego dokonujemy jego przeglądu aby zidentyfikować obszary o wysokim ryzyku. Dzięki temu testy są realizowane dokładniej a potwierdzenie i określenie zasięgu wykrytej podatności natychmiastowe. W takim przypadku testy penetracyjne są realizowane za pomocą metody white-box.

SDL Practice #11: dynamiczna analiza

Niezależnie od tego czy dostępny jest kod źródłowy badanych aplikacji czy nie, zawsze monitoruje cel ataków, aby wykrywać dodatkowe podatności, które podczas zwykłych zdalnych testów mogą pozostać niezauważone. W przypadku gdy kod źródłowy nie jest dostępny nadal możemy przeprowadzić analizę binarną i użyć jest w testach penetracyjnych metodą black-box.

SDL Practice #12: fuzzing protokołów

Fuzzowanie protokołów (zarówno sieciowych jak i aplikacyjnych) umożliwia nam szybką identyfikację podatności w tym także typu 0day, które nie są publicznie znane. Dzięki własnym narzędziom potrafimy fuzzować niestandardowe protokoły dzięki czemu możliwe jest kompleksowe testowanie nietypowych aplikacji, rozwiązań wbudowanych, systemów SCADA itp.

Referencje

Strona SDL udostępniana przez Microsoft: https://www.microsoft.com/security/sdl/default.aspx?mstLocPickShow=True

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej