Bezpečnostné audity

Preveríme bezpečnosť vášho systému

Vykonávame detailné bezpečnostné audity webových aplikácií, lokálne systémové audity, audity bezdrôtových sietí, RFID technológií, ale aj bezpečnostné audity SAP systémov, VoIP a audity sociálneho inžinierstva.

 

Bezpečnostný audit

Predstavuje ako automatizované, tak manuálne technické posúdenie informačných a komunikačných systémov, procesov, aplikácií a praktík z hľadiska bezpečnosti.

Pravidelne vykonávaný bezpečnostný audit patrí medzi základné nástroje systematického prístupu k riadeniu informačnej bezpečnosti a poskytuje nezávislý pohľad na informačnú bezpečnosť.
V prípade rozsiahlych a komplexných systémov nie je nutné vykonávať audit pre celý systém, ale je možné ho podľa potreby previesť i pre jednotlivé presne definované časti, aplikácie alebo procesy. Napríklad bezpečnostný audit webovej aplikácie, lokálny intranetový audit (LAN siete) z pohľadu zamestnanca alebo anonymného útočníka, audit bezdrôtovej siete, VoIP ústredne, či vyjadrenie súladu s normatívnymi alebo legislatívnymi požiadavkami na prevádzku systému.

Ak Vám na bezpečnosti Vašich aplikácií a informačných systémov skutočne záleží, nestačí sa spoliehať na tvrdenie Vašich dodávateľov, že Vaša aplikácia alebo systém je skutočne bezpečný. Nezávislý audit nezainteresovanou treťou stranou, dokáže odhaliť závažné nedostatky a predísť zneužitiu v produkčnej prevádzke.
Okrem toho vám umožní optimalizovať náklady, ktoré je zmysluplné a nevyhnutné investovať do zabezpečenie aktív a kriticky dôležitých dát.

Priebeh bezpečnostného auditu

Pred začatím testovania sa objednávateľ a vykonávateľ auditu dohodnú na:

  • predmete testovania,
  • či pôjde o blackbox, whitebox alebo greybox testovanie,
  • budú vykonané aj agresívne testy DoS útokov,
  • IP adresnom rozsahu z akého budu vykonané testy
  • špecifických obmedzeniach.

Po vyjasnení všetkých podmienok a obmedzení je možné pristúpiť k podpisu zmlúv: "Zmluva o vykonaní bezpečnostného zhodnotenia" a "Zmluva o mlčanlivosti (NDA)", prípadne zmluvu o mlčanlivosti je možné podpísať ešte predtým.
Dôležitým bodom je predanie kontaktov na zainteresované a zodpovedné osoby, ako na strane objednávateľa tak vykonávateľa auditu. Až po vzájomnom podpísaní zmlúv môže poverený pracovník alebo tím začať v dohodnutom čase bezpečnostný audit.

Audit a penetračné testy sa vykonávajú s využitím technických znalostí, automatizovaných nástrojov, noriem, metodík napríklad OSSTMM (Open Source Security Testing Methodology Manual), OWASP Testing Guide, ako aj tzv. "najlepšie odporúčania" (tzv. „best practices“) pre danú oblasť.

Pri audite systému riadenia informačnej bezpečnosti sa postupuje v zmysle medzinárodného štandardu ISO/IEC 27001:2005. Výsledkom bezpečnostného auditu je záverečná správa hodnotiaca súlad úrovne informačnej bezpečnosti v organizácii práve voči tomuto medzinárodnému štandardu.

V závere testovania je vytvorený dokument popisujúci nálezy realizovaných testov a analýz s detailným popisom bezpečnostných chýb objavených v rámci testovania, ako aj stručným návodom na odstránenie a opravu uvedených chýb.

Informácie o zraniteľnostiach získané pomocou jednotlivých čiastkových testov sú analyzované a rozdelené podľa potenciálneho rizika závažnosti. To predstavuje základ výslednej správy, ktorá je doplnená o množstvo ďalších informácii.

Výsledná správa je štandardne predávaná v elektronickej podobe (PDF) a jednotlivé výsledky správy je možné následne konzultovať so špecialistom spoločnosti Nethemba.
Cieľom týchto konzultácií je odhaliť tzv. falošný poplach („false positive“) ako aj upresniť odhalené bezpečnostné nedostatky a následné riziká s tým spojené.


Spoločnosť Nethemba

Nethemba je slovenská IT bezpečnostná spoločnosť založená v roku 2007 špecializujúca sa primárne na bezpečnosť webových aplikácií a penetračné testy. Tvoria ju špecialisti s dlhoročnými skúsenosťami v oblasti IT bezpečnosti.

Nethemba ako jediná na Slovensku a v Čechách ponúka bezpečnostné audity RFID technológií, SAP systémov a venuje sa aktívnemu výskumu v oblasti IT bezpečnosti, čo demonštruje pravidelnými prezentáciami na bezpečnostných konferenciách po celom svete.

Prečo si vybrať práve nás?

Prístup

Našou hlavnou filozofiou je dôvera, spoľahlivosť, profesionalita a vieme byť pre našich klientov dlhodobý partner v oblasti IT bezpečnosti.

Referencie

Medzi našich klientov patria štátne inštitúcie, banky, ale aj webové portály a firmy s rôznou IT infraštruktúrou. Zoznam referencií.

Certifikácie

 

Vykonávané bezpečnostné audity

Detailný bezpečnostný audit webovej aplikácie a webového serveru

Cieľom detailného bezpečnostné auditu webovej aplikácie a webového serveru je čo najdôkladnejšie a najdetailnejšie otestovať webovú aplikáciu a webový server.

Test je veľmi podrobný a realizovaný podľa testovacej príručky OWASP.


Lokálny systémový bezpečnostný audit

Cieľom lokálneho systémového bezpečnostného auditu je kontrola lokálnej systémovej bezpečnosti daného operačného systému (OS). Auditované sú všetky známe operačné systémy: Windows, Linux, Solaris, OS X a iné.

Čas testovania: 3-4 dni.


Bezpečnostný audit SAP systémov a aplikácií

Cieľom bezpečnostného auditu SAP systému a aplikácií je odhaliť vážne bezpečnostné zraniteľnosti v aplikáciách SAP ERP a príslušnej databáze. Je možné preveriť aj zabezpečenie j2ee časti, SAP Web AS Portal, prípadne modulu SAP PI.

Audit SAP je vhodný pre všetky stredné a veľké spoločnosti využívajúce systémy SAP R3.

Bezpečnostný audit čipových kariet

Cieľom bezpečnostného auditu čipových kariet je odhaliť ako bezpečnostné zraniteľnosti vo fyzickej vrstve daných kontaktných alebo bezkontaktných čipových kariet, tak v aplikačnej vrstve a softvéri, ktorý je nasadený na koncových čítačkách/prístupových termináloch.

Bezpečnostný audit bezdrôtovej siete

Cieľom bezpečnostného auditu bezdrôtovej "wifi" siete je analyzovať celkovú bezpečnosť bezdrôtových sietí zákazníka.

Kontakt

Dohodnite si s nami osobné stretnutie alebo sa len informujte o rozsahu bezpečnostného auditu, ktorý potrebujete realizovať.