Dewiza, którą kierujemy się od samego początku istnienia firmy Emerge Systems pozwoliła nam zwrócić uwagę Klientów na bardzo istotny problem jaki istnieje w każdym przedsiębiorstwie. Problem ten związany jest z nieodpowiednim poziomem bezpieczeństwa systemów operacyjnych i aplikacji (bądź zupełnym brakiem zabezpieczeń). Polscy przedsiębiorcy w większości przypadków nie zdają sobie sprawy jak łatwo wykraść z ich sieci poufne, korporacyjne dane dotyczące aktualnych projektów czy też planowanych przetargów.

Dlatego właśnie oferujemy przedsiębiorcom profesjonalną usługę przeprowadzania testów penetracyjnych infrastruktur IT, czyli ataków symulowanych, które są jednymi z najskuteczniejszych sposobów testowania bezpieczeństwa systemów IT.

Korzyści:

Istnieje wiele korzyści płynących z poprawnie przeprowadzonego testu penetracyjnego:

• Wysoki poziom bezpieczeństwa systemów zapewniony przez sprawne zarządzanie podatnościami
• Obniżenie poniesionych kosztów związanych z przestojem działania systemów oraz infrastruktury na skutek ataków z zewnątrz lub wewnątrz sieci korporacyjnej
• Uzasadnienie inwestycji związanych z bezpieczeństwem infrastruktury
• Zaspokojenie odgórnych wymagań
• Ochrona marki oraz partnerów biznesowych
• Wiedza na temat faktycznego stanu bezpieczeństwa sieci i systemów

Wymogi:

Jakie warunki należy spełnić, aby test penetracyjny został wykonany poprawnie?

• Kompletne określenie zakresu przeprowadzanego testu penetracyjnego
• Wyznaczenie osób uczestniczących w procesie testowania
• Przedstawienie i objaśnienie działania badanej infrastruktury IT (w przypadku testów typu whitebox)
• Udostępnienie kodu źródłowego testowanych aplikacji
• Podpisanie umowy oraz zaakceptowanie warunków szczegółowych zlecenia

Metodyka:

Wykorzystywana metodyka to OSSTMM (The Open Source Security Testing Methodology Manual ) z uwzględnieniem specyfikacji OWASP w połączeniu z najlepszymi praktykami.

Typy testów:

• Blackbox (minimum wiedzy na temat badanego systemu)
• Whitebox (pełna wiedza na temat badanego systemu)

Zakres wykonywanych prac:

• Analiza podatności pracowników na ataki socjotechniczne
• Analiza plików konfiguracyjnych krytycznych usług i aplikacji
• Audyt aplikacji www wraz z serwerami HTTP oraz innych usług sieciowych
• Analiza kodów źródłowych aplikacji i usług
• Wyszukiwanie podatności systemów operacyjnych (wewnętrzne i zewnętrzne)
• Analiza mechanizmów uwierzytelnienia i autoryzacji oraz jakości używanych haseł
• Testowanie firewalli, routerów, bramek VPN oraz serwerów PROXY
• Testowanie działania systemów antywirusowych oraz antyspamowych
• Analiza działania systemów IDS/IPS oraz systemów logowania zdarzeń

Bezpieczeństwo IT firmy zależne jest od poprawnie przeprowadzonego testu bezpieczeństwa. Zapraszamy do skorzystania z naszych usług.