Blog

Usluge provjere i analize sigurnosti sustava i aplikacija

Sigurnost IT sustava je među najvažnijim prioritetima svake tvrtke, bez obzira na njezinu veličinu ili djelatnost.
Objavljeno 04.07.2014.

Sigurnost IT sustava je među najvažnijim prioritetima svake tvrtke, bez obzira na njezinu veličinu ili djelatnost. Zato CROZ-ov tim stručnjaka za ofenzivnu sigurnost vrši kompletnu provjeru sigurnosti IT sustava. Usluga je bazirana na najboljim svjetskim alatima za provjeru ranjivosti i penetracijsko testiranje te vrhunski obučenom kadru sigurnosnih inženjera. Alati, radnje i metodologije koje se koriste prilikom CROZ Xray sigurnosne provjere pogledajte u nastavku:

IBM Appscan

Alat za  provjeru ranjivosti u web aplikacijama koji detaljnom analizom koda te web aplikacije može pronaći i najskrivenije propuste.

Usluga uključuje:

•provjeru i detekciju ranjivosti na web aplikacijama, opcionalno iskorištavanje ranjivosti te eliminaciju krivo pozitivnih rezultata

•savjetodavne usluge CROZ programera koje uključuju interpretaciju rezultata te savjetovanje oko ispravljanja pronađenih ranjivosti i grešaka u konfiguraciji

•“Glass-box” testiranje (ukazivanje na specifičnu liniju koda koja ja je odgovorna za pronađenu ranjivost na web aplikaciji)

•Provjera izvornog koda (Integracija s Visual Studio, Eclipse  i Rational® Application Developer for WebSphere – podržani jezici su: ASP (JavaScript/VBScript),C/C++,Client-side JavaScript (JQuery and MooTools),COBOL, ColdFusion, Java, JavaServer Pages (JSP), Android,.NET (C#, ASP.NET, VB.NET), Perl, PHP, PL/SQL, T-SQL,Visual Basic 6)

Rapid7 Nexpose

Alat za provjeru ranjivosti i sigurnosne konfiguracije na infrastrukturi (poslužitelji, mrežni uređaji). Provjera ranjivosti producira izvještaje koji upućuju na propuste u sustavu vezane uz zastarjele inačice softvera ili pak za  neispravnu tj. nesigurnu konfiguraciju sistema.

Usluga uključuje:

• provjeru i detekciju ranjivosti na  operativnim sustavima, mrežnim uređajima i Web platformama

• interpretaciju rezultata od strane CROZ-ovih sigurnosnih stručnjaka te opcionalno penetracijsko testiranje, a u svrhu eliminacije krivo pozitivnih rezultata

• usporedbu i analizu rezultata s PCI predloškom

• dodatnu provjeru ranjivosti na web platformama – kombinirana provjera dvaju najboljih svjetskih alata za provjeru web ranjivosti osigurava da ni jedan propust ne ostane nezapažen

• izradu i isporuku izvještaja s popisom ranjivosti te konfiguracije

• usporedbu konfiguracijskih postavki operativnih sustava sa sigurnosnim standardom CIS

• savjetodavnu uslugu CROZ sigurnosnih inženjera vezanu uz prioritete i način rješavanja pronađenih ranjivosti

• preporuke i usmjeravanje u svezi daljnjeg unaprjeđenja sigurnosti sustava

Penetracijsko testiranje bazirano na “Penetration Testing Execution Standard” standardu

Usluga penetracijskog testiranja uključuje prikupljanje informacija, enumeraciju, pronalazak ranjivosti i analizu, iskorištavanje pronađenih ranjivosti te izradu izvještaja i savjetovanje o koracima potrebnim za unaprjeđenje sigurnosti sustava

Penetracijsko testiranje se ne radi automatizirano. Penetracijsko testiranje se ne radi automatizirano. Tip o opseg penetracijskog testiranja ovisni su o potrebi korisnika i prilagođeni su korisničkim potrebama. Praćenjem svjetski priznatog “Penetration Testing Execution Standarda” usluga osigurava visoki nivo standardizacije i detaljnosti te visoku involviranost inženjera prilikom angažmana. Prilikom testiranja obično se koriste i alati poput Metasploit-a, nmap-a, hydra-e, Wireshark-a, Cain & Abel-a, burpsuite-a i svaki angažman je detaljno prilagođen korisniku i njegovim potrebama.

Tagovi:
Povratak