Security testing

// Ce oferim

Ce este
security testing?

Suntem capabili să recunoaștem și să evaluăm riscurile și vulnerabilitățile de securitate ale aplicației dumneavoastră utilizând o gamă largă de tehnici, cum ar fi testarea de penetrare, scanarea de vulnerabilități, revizuirea codului de securitate sau evaluările de risc.

Putem ajuta la menținerea și modernizarea infrastructurii dvs. IT și la rezolvarea diferitelor probleme specifice infrastructurii cu care se poate confrunta o afacere.

Obiectiv

Evaluarea vulnerabilităților

Scop

Testare de penetrare

//Lasă-ne un mesaj! Suntem aici să răspundem întrebărilor tale!

Îmbunătățește-ți procesele de dezvoltare a software-ului

Câteva lucruri la care ne pricepem

Obiectiv

Evaluarea securității implică testarea aplicațiilor, sistemelor de operare și configurațiilor dispozitivelor, cu scopul de a obține acces la date protejate, de a escalada privilegii către resurse restricționate, de a modifica date sensibile și de a face date și sisteme permanente sau temporare inaccesibile. Pentru a elimina sau reduce riscurile înainte ca atacatorul să poată exploata aceste puncte slabe, este obligatoriu să se efectueze o evaluare de securitate. Evaluarea de securitate se va concentra pe acoperirea celor mai importante 10 vulnerabilități identificate de OWASP și va testa fiecare element împotriva mai multor vectori de atac pentru a identifica amenințările neglijate și pentru a verifica măsurile de securitate implementate. Evaluarea de securitate va oferi o vedere generală asupra eventualelor defecte existente în sistem, fără a măsura impactul acestor defecte. Există 3 abordări pentru abordarea acestei evaluări: white box, grey box și black box. Fiecare dintre ele depinde de nivelul de cunoștințe pe care auditorul îl are înainte de a începe evaluarea. Dacă se decide să se meargă cu abordarea black box (ceea ce înseamnă cât mai puține informații furnizate de dvs. înainte), timpul necesar pentru a găsi vulnerabilități va fi redus prin sarcini care implică identificarea utilizatorilor, punctelor terminale, infrastructurii aplicațiilor etc. Este recomandat să se urmeze abordarea grey box, în care clientul va furniza toate conturile de utilizator cu parolele lor, pentru a putea exercita cât mai mult din funcționalitatea expusă de sistem. Abordarea white box înseamnă acces la codul sursă, dar acest lucru este necesar atunci când se face securitate în paralel cu dezvoltarea.

Scop

Domeniul de aplicare al evaluării de securitate poate fi acoperit de unul sau mai multe dintre următoarele:

Evaluarea vulnerabilităților aplicațiilor web
Penetration Testing - 5 stadii
Evaluarea securității infrastructurii

Depinde de nevoile clientului și de timpul disponibil pentru această evaluare să se aleagă ce să fie acoperit. Pentru a lua decizia corectă despre evaluarea de securitate potrivită pentru a fi executată, este mai bine să clarificăm ce înseamnă evaluarea de securitate versus testarea de penetrare și care sunt părțile comune și diferențele. Evaluarea vulnerabilităților oferă o vedere generală asupra oricăror deficiențe existente în sistem fără a măsura impactul acestor deficiențe asupra sistemului testat. Procesul de evaluare a vulnerabilităților identifică și cuantifică cu grijă toate vulnerabilitățile cunoscute într-un mod neinvaziv. Testarea de penetrare este mult mai intruzivă decât evaluarea vulnerabilităților și aplică agresiv toate metodele tehnice pentru a exploata mediul de producție live. O diferență cheie între evaluarea vulnerabilităților și testarea de penetrare este că testarea de penetrare depășește nivelul de identificare a vulnerabilităților și se conectează la procesul de exploatare, escaladare a privilegiilor și menținerea accesului la sistemul țintă. În funcție de tipul de evaluare efectuată, se urmează un set unic de procese de testare, instrumente și tehnici pentru a detecta și identifica vulnerabilități în activele informaționale într-un mod automat și/sau manual. În timpul evaluării de securitate, se va aplica metodologia Open Web Application Security Project (OWASP) pentru a alege cea mai bună strategie și pentru a reduce riscul la minimum prin urmarea celor mai bune practici cunoscute. OWASP a dezvoltat proiectul OWASP Top 10+, care categorisește principalii vectori de atac și vulnerabilități de securitate în legătură cu impactul lor tehnic și de afaceri. Aceasta se va concentra pe zonele cu probleme de mare risc în loc să abordeze toate problemele legate de securitatea aplicației web.

Evaluarea vulnerabilității

Evaluarea vulnerabilităților - 6 ETAPE

Delimitarea țintei
Colectarea de informații
Descoperirea țintei
Enumerarea țintei
Cartografierea vulnerabilităților
Documentarea și raportarea.

Penetration Testing - 5 stadii

Penetration testing - 5 Stages

Inginerie socială
Exploatarea țintei
Creșterea privilegiilor
Menținerea accesului
Documentarea și raportarea.

Abordarea evaluării securității

Prezentare generală:

Colectarea informațiilor despre activele vizate
Hartă a riscurilor identificate pentru afacere și generarea unei matrice de rating al riscurilor în funcție de vulnerabilitățile care pot fi exploatate de agenți amenințători
Ajută la identificarea vulnerabilităților care pot apărea în timpul procesului de dezvoltare sau când se furnizează infrastructura
Demonstrarea existenței vulnerabilităților care prezintă un risc pentru afacere
Adunarea tuturor informațiilor găsite în timpul evaluării

Evaluarea securității aplicațiilor web (pentesting)

În timpul acestei evaluări, vom evalua în mod cuprinzător următoarele: Autentificare, Autorizare, Managementul sesiunii, Validarea datelor, Securitatea transportului și stratul de prezentare.

Scopul acestei evaluări este de a identifica vulnerabilități care ar putea fi prezente în timpul procesului de verificare a securității și de a determina impactul real și probabilitatea de exploatare.

Aceleași metode și instrumente sunt utilizate ca cele prezente în atacurile online reale. Sistemele țintă ale evaluării sunt de obicei serverele web și aplicațiile de afaceri bazate pe web, serverele de poștă și alte servicii de suport, sistemele de securitate existente (firewall-uri, IPS, etc.) și alte servicii accesibile public ale organizației.

Evaluarea vulnerabilităților

În timpul acestei evaluări, aplicația testată va fi verificată în fața codului dăunător și a celor mai comune amenințări cauzate de vulnerabilități sau configurații greșite. Vor fi folosite instrumente automate pentru a efectua activitatea care utilizează cereri predefinite create pentru a verifica vulnerabilitățile cunoscute.

Evaluarea securității infrastructurii

Scopul acestui tip de evaluare este de a identifica toate vulnerabilitățile de securitate din mediul țintă. Acest lucru va include:

Colectarea pasivă a informațiilor disponibile public, cum ar fi registrele SNA și WHOIS
Scanarea activă a vulnerabilităților serviciilor identificate
Testarea activă a firewall-urilor, routerelor, serviciilor de internet cum ar fi DNS sau alte dispozitive de filtrare incluse în gama țintă

//Lasă-ne un mesaj! Suntem aici să răspundem întrebărilor tale!

AI NEVOIE DE CONSULTAȚIE?

Contactează-ne!

Cerințe și livrabile

Cerințe

Pentru a putea finaliza evaluarea de securitate, este necesar să se acopere următoarele puncte:

Un acord scris din partea clientului în care să se menționeze că clientul aprobă efectuarea evaluării de securitate asupra aplicației/sistemului lorhat the client approves doing security assessment on their application /environment
Menționarea obiectivelor în cadrul testului (IP-uri, domenii, servere etc.)
Mediul de testare nu trebuie să se schimbe în timpul evaluării
Niciun alt test nu trebuie să interfereze în timpul procesului în desfășurare (de exemplu, teste de performanță, teste manuale sau automate)
Înainte de evaluare, se recomandă realizarea unei copii de rezervă a datelor
Dacă există IDS / IPS / WAF, acestea trebuie să fie configurate să nu interfereze cu evaluarea
Timpul necesar pentru testare trebuie să fie stabilit
Persoanele de contact care pot fi contactate în caz de urgențe în timpul testelor
Stabilirea punctelor de întâlnire în timp (notificări privind starea progresului)
Rezultatele așteptate și nivelul de detaliere
Metodologia urmată - prezentată mai sus
Instrumentele utilizate - lista de instrumente depinde de limbajul de programare și de tehnologia utilizată în timpul dezvoltării aplicației

LIVRABILE

La finalizarea testului de securitate, se va furniza clientului un raport detaliat care va conține următoarele:

Rezumat executiv: o explicație succintă a descoperirilor identificate în timpul testului, nivelul de risc asociat vulnerabilităților identificate din perspectiva afacerii
Secțiunea „Descoperiri” cu explicație tehnică a atacurilor, încărcăturilor utilizate, punctelor de injectare, dovezi ale descoperirilor
Detalii și soluții propuse pentru fiecare vulnerabilitate identificată

Concluzii și recomandări:

Toate celelalte date care rezultă în timpul sau după evaluarea de securitate (de exemplu, corespondența prin e-mail, capturi de ecran, jurnale de instrumente, autentificări, parole, adrese IP, date personale etc.) vor fi supuse clauzei de confidențialitate și retenției datelor, convenită cu clientul.
Reținerea datelor se va face doar dacă clientul o solicită și, dacă vor fi necesare evaluări ulterioare sau alte investigații, în caz contrar, toate informațiile vor fi șterse după predarea acestora către client.

Costul unei evaluări de securitate

Costul unei evaluări de securitate/teste de penetrare poate varia considerabil în funcție de mărimea proiectului și de obiectivele clientului. Un cost mai precis poate fi obținut după ce se oferă un preț pentru fiecare test/activitate care trebuie să aibă loc pentru a acoperi obiectivele clientului.