Provjera i analiza sigurnosti sustava i aplikacija

Sigurnost IT sustava je među najvažnijim prioritetima svake tvrtke, bez obzira na njezinu veličinu ili djelatnost. Zato CROZ-ov tim stručnjaka za ofenzivnu sigurnost vrši kompletnu provjeru sigurnosti IT sustava. Usluga je bazirana na najboljim svjetskim alatima za provjeru ranjivosti i penetracijsko testiranje te vrhunski obučenom kadru sigurnosnih inženjera. Alati, radnje i metodologije koje se koriste prilikom CROZ Xray sigurnosne provjere pogledajte u nastavku:

IBM Appscan

Alat za  provjeru ranjivosti u web aplikacijama koji detaljnom analizom koda te web aplikacije može pronaći i najskrivenije propuste.

Usluga uključuje:

  • provjeru i detekciju ranjivosti na web aplikacijama, opcionalno iskorištavanje ranjivosti te eliminaciju krivo pozitivnih rezultata
  • savjetodavne usluge CROZ programera koje uključuju interpretaciju rezultata te savjetovanje oko ispravljanja pronađenih ranjivosti i grešaka u konfiguraciji
  • “Glass-box” testiranje (ukazivanje na specifičnu liniju koda koja ja je odgovorna za pronađenu ranjivost na web aplikaciji)
  • Provjera izvornog koda (Integracija s Visual Studio, Eclipse  i Rational® Application Developer for WebSphere – podržani jezici su: ASP (JavaScript/VBScript),C/C++,Client-side JavaScript (JQuery and MooTools),COBOL, ColdFusion, Java, JavaServer Pages (JSP), Android,.NET (C#, ASP.NET, VB.NET), Perl, PHP, PL/SQL, T-SQL,Visual Basic 6)

Rapid7 Nexpose

Alat za provjeru ranjivosti i sigurnosne konfiguracije na infrastrukturi (poslužitelji, mrežni uređaji). Provjera ranjivosti producira izvještaje koji upućuju na propuste u sustavu vezane uz zastarjele inačice softvera ili pak za  neispravnu tj. nesigurnu konfiguraciju sistema.

Usluga uključuje:

  • provjeru i detekciju ranjivosti na  operativnim sustavima, mrežnim uređajima i Web platformama
  • interpretaciju rezultata od strane CROZ-ovih sigurnosnih stručnjaka te opcionalno penetracijsko testiranje, a u svrhu eliminacije krivo pozitivnih rezultata
  • usporedbu i analizu rezultata s PCI predloškom
  • dodatnu provjeru ranjivosti na web platformama – kombinirana provjera dvaju najboljih svjetskih alata za provjeru web ranjivosti osigurava da ni jedan propust ne ostane nezapažen
  • izradu i isporuku izvještaja s popisom ranjivosti te konfiguracije
  • usporedbu konfiguracijskih postavki operativnih sustava sa sigurnosnim standardom CIS
  • savjetodavnu uslugu CROZ sigurnosnih inženjera vezanu uz prioritete i način rješavanja pronađenih ranjivosti
  • preporuke i usmjeravanje u svezi daljnjeg unaprjeđenja sigurnosti sustava

Penetracijsko testiranje bazirano na “Penetration Testing Execution Standard” standardu

Usluga penetracijskog testiranja uključuje prikupljanje informacija, enumeraciju, pronalazak ranjivosti i analizu, iskorištavanje pronađenih ranjivosti te izradu izvještaja i savjetovanje o koracima potrebnim za unaprjeđenje sigurnosti sustava.

Penetracijsko testiranje se ne radi automatizirano.

Tip i opseg penetracijskog testiranja ovisni su o potrebi korisnika i prilagođeni su korisničkim potrebama. Praćenjem svjetski priznatog “Penetration Testing Execution Standarda” usluga osigurava visoki nivo standardizacije i detaljnosti te visoku involviranost inženjera prilikom angažmana. Prilikom testiranja obično se koriste i alati poput Metasploit-a, nmap-a, hydra-e, Wireshark-a, Cain & Abel-a, burpsuite-a i svaki angažman je detaljno prilagođen korisniku i njegovim potrebama.

Tagovi: