Usługi zabezpieczenia systemów informatycznych.

Audyty bezpieczeństwa i testy penetracyjne

Znajdziemy najsłabsze punkty w zabezpieczeniach Twojej firmy i doradzimy Ci nie tylko jak je usunąć, ale również jak uniknąć podobnych pomyłek w przyszłości.

Darmowa konsultacja Umów się na rozmowę i poznaj naszą ofertę.
Intro image

Czym charakteryzuje się audyt bezpieczeństwa systemów informatycznych przeprowadzony przez SOFTIQ?

Audyt bezpieczeństwa stanowi kompleksową analizę stopnia zabezpieczenia systemów informatycznych oraz danych wrażliwych firmy, przeprowadzoną w oparciu wywiad środowiskowy, a także zebrane materiały, obejmujące m.in. polityki i procedury bezpieczeństwa, schematy sieci, dokumentację systemów.

 

Audyt bezpieczeństwa przeprowadzony przez doświadczony zespół pozwana nam:

Wskazać luki w zabezpieczeniach systemów
Wskazać luki w zabezpieczeniach systemów
Wykryć potencjalne zagrożenia i ocenić ich skalę
Wykryć potencjalne zagrożenia i ocenić ich skalę
Przygotować plan działania na wypadek różnych sytuacji kryzysowych
Przygotować plan działania na wypadek różnych sytuacji kryzysowych

Efektem przeprowadzonego przez SOFTIQ audytu bezpieczeństwa systemów informatycznych w Twojej firmie jest szczegółowy raport przedstawiający wykryte nieprawidłowości, ich znaczenie oraz sposoby ich usunięcia.

Na jakie etapy podzielony jest audyt bezpieczeństwa systemów informatycznych:

Planowanie – poznajemy specyfikę firmy, dopieramy zespół odpowiednich audytorów, w oparciu o ich kompetencje i opracowujemy plan audytu.
Planowanie – poznajemy specyfikę firmy, dopieramy zespół odpowiednich audytorów, w oparciu o ich kompetencje i opracowujemy plan audytu.
Realizacja – gromadzimy i analizujemy informacje o stosowanych w firmie procedurach; weryfikujemy działania podejmowane przez specjalistów zajmujących się bezpieczeństwem IT w firmie; uzyskujemy dostęp do systemów i ich dokumentacji; prowadzimy wywiady, wykonujemy skany podatności i zestawiamy wyniki do oceny.
Realizacja – gromadzimy i analizujemy informacje o stosowanych w firmie procedurach; weryfikujemy działania podejmowane przez specjalistów zajmujących się bezpieczeństwem IT w firmie; uzyskujemy dostęp do systemów i ich dokumentacji; prowadzimy wywiady, wykonujemy skany podatności i zestawiamy wyniki do oceny.
Raportowanie – opisujemy stwierdzony poziom zabezpieczeń, wymieniamy i charakteryzujemy wykryte zagrożenia, dostarczamy zalecenia wraz z terminem ich realizacji oraz uzasadnieniem konieczności ich wdrożenia.
Raportowanie – opisujemy stwierdzony poziom zabezpieczeń, wymieniamy i charakteryzujemy wykryte zagrożenia, dostarczamy zalecenia wraz z terminem ich realizacji oraz uzasadnieniem konieczności ich wdrożenia.

Oprócz standardowych audytów bezpieczeństwa systemów informatycznych, obejmujących automatyczne skany podatności, dla naszych Klientów przygotowaliśmy również usługę testów penetracyjnych (pentestów).

SOFTIQ jako wykonawca audytów bezpieczeństwa i testów penetracyjnych – nasze atuty

ikona
8
lat na rynku
ikona
230 +
zatrudnionych (1/3 kobiet)
ikona
5000 +
godzin przeprowadzonych szkoleń
ikona
100 %
zadowolonych Klientów

Czym są testy penetracyjne i jakie korzyści przynosi ich przeprowadzenie?

Testy penetracyjne (pentesty) stanowią próbę przełamania przez naszych specjalistów zabezpieczeń wskazanych przez Ciebie systemów bądź elementów infrastruktury.
Dzięki przeprowadzeniu testów przez doświadczony, zewnętrzny zespół, zyskujesz wiedzę co do realnego poziomu zabezpieczenia poufnych danych w Twojej firmie.
Cel testów może zostać zdefiniowany przed ich rozpoczęciem, jak również może być wynikiem przeprowadzonego przez nas wstępnego audytu.
W zależności od ilości informacji o zasobach, które będą celem naszych specjalistów, testy penetracyjne mogą być przeprowadzone według różnych scenariuszy - white box, grey box bądź black box.

Jakie rezultaty dają testy penetracyjne, profesjonalnie przeprowadzone przez ekspertów SOFTIQ?

Nasz zespół posiada bogate, wieloletnie doświadczenie w zakresie projektowania architektury systemów zgodnej z najwyższymi standardami bezpieczeństwa, ich budowy, wdrażania i audytowania, jak również szkolenia użytkowników.

Dzięki przeprowadzeniu starannie zaplanowanych testów penetracyjnych jesteśmy w stanie dostarczyć Ci informacji nie tylko o potencjalnych błędach bezpieczeństwa, wynikających z niewłaściwej konfiguracji, wad w kodzie źródłowym lub podatności technicznej.

W trakcie swoich prac analizujemy również wdrożone w firmie procedury bezpieczeństwa oraz bierzemy pod uwagę stopień świadomości użytkowników i ich podatność na ataki socjotechniczne.

Najistotniejsze rezultaty przeprowadzenia testów penetracyjnych obejmują:

Niezależną ocenę rzeczywistego stopnia zabezpieczenia systemów informatycznych w firmie
Identyfikację wrażliwych punktów infrastruktury informatycznej, stanowiących potencjalne cele ataku
Pomiar stopnia poufności, integralności oraz dostępności systemów dla osób nieupoważnionych
Analizę realnego poziomu ryzyka związanego z ujawnionymi podatnościami i lukami w zabezpieczeniach
Rekomendacje w jaki sposób usunąć słabe punkty wykryte w zabezpieczeniach
Opracowanie zaleceń minimalizujących ryzyko wystąpienia podobnych problemów w przyszłości

Rodzaje testów penetracyjnych wykonywanych przez specjalistów SOFTIQ

Jedną z kluczowych decyzji, które pomagamy podjąć naszym Klientom, jest wybór najbardziej optymalnego spośród trzech scenariuszy przeprowadzenia testów penetracyjnych.

Testy “white-box”, “grey-box” oraz “black-box” różnią się przede wszystkim ilością informacji o systemie będącym celem ataku, które otrzymujemy od Klienta. W efekcie wpływa to z jednej strony na poziom skomplikowania i czasochłonność wybranego rodzaju testu dla realizującego go zespołu, z drugiej zaś na stopień w jakim test symuluje realny przebieg potencjalnego ataku.

Czym charakteryzują się poszczególne scenariusze testów penetracyjnych?

obraz

Wariant “white-box”:

  • Zespół posiada pełną dokumentację testowanego rozwiązania, przekazaną przez Klienta.
  • Symuluje atak w wykonaniu osoby mającej wgląd do kodu źródłowego i dokumentacji projektowej, a także pełen dostęp do systemu przy każdym poziomie uprawnień.
  • Test penetracyjny w tej formie jest dokładny, najczęściej trwa krócej oraz kosztuje mniej niż inne warianty, lecz nie odzwierciedla najbardziej prawdopodobnego przebiegu próby włamania.
obraz

Wariant “grey-box”:

  • Zespół posiada częściową wiedzę o testowanym rozwiązaniu, przekazaną przez Klienta.
  • Test symuluje atak przeprowadzony przez osobę posiadającą pewną wiedzę o architekturze systemu.
  • To wariant pośredni, cechujący się mniejszym realizmem, ale tańszy i możliwy do przeprowadzenia szybciej niż test “black-box”.
obraz

Wariant “black-box”:

  • Zespół nie otrzymuje od Klienta żadnych informacji o testowanym systemie.
  • Scenariusz odzwierciedla najbardziej prawdopodobny przebieg ataku intruza prowadzony z zewnątrz.
  • Testerzy rozpoczynają pracę od zebrania informacji o firmie oraz systemie, które są dostępne publicznie, a następnie stopniowo wykorzystują je, próbując znaleźć luki w badanym rozwiązaniu.
  • To najbardziej czasochłonny wariant testu penetracyjnego, co przekłada się na koszt wykonania usługi.
  • Dużą zaletą jest wysoki stopień realizmu, nieosiągalny przy innych wariantach testów.

 

Mając na uwadze specyfikę firmy oraz badanego systemu, doradzamy naszym Klientom w zakresie wyboru najoptymalniejszego dla firmy wariantu testu penetracyjnego.

Pomagamy również określić inne, kluczowe parametry testu, takie jak termin jego przeprowadzenia (w godzinach pracy firmy, bądź poza nimi), a także podjąć decyzję czy nie informować pracowników o planowanym symulowanym ataku (zyskując możliwość sprawdzenia ich realnej reakcji na zagrożenie).

Zastanawiasz się, który rodzaj testu najlepiej sprawdzi się w Twojej firmie?

Umów bezpłatną, 30 minutową rozmowę z naszym ekspertem, aby ocenić, jaki rodzaj testu penetracyjnego najlepiej odpowiada Twoim potrzebom.

Posiadamy doświadczenie w zakresie projektowania, budowy, wdrażania i audytowania rozwiązań stworzonych z wykorzystaniem następujących technologii.

logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo

Zleć nam przeprowadzenie audytu bezpieczeństwa systemów informatycznych bądź testów penetracyjnych w Twojej firmie.

Wypełnij formularz kontaktowy, a skontaktujemy się z Tobą w ciągu 24 godzin.

Poznaj opinie Klientów SOFTIQ:

Close