Start > Oferta > Audyty bezpieczeństwa > Audyty bezpieczeństwa systemów informatycznych

W ostatnich latach obserwuje się lawinowy wzrost ilości błędów bezpieczeństwa wykrywanych w aplikacjach webowych. W obecnej chwili wiele niezależnych źródeł podaje, iż średnio 8 na 10 portali webowych posiada poważne luki bezpieczeństwa.

Słaby stan bezpieczeństwa tego typu aplikacji potwierdzają również nasze wewnętrzne badania, którym poddajemy największe portale w Polsce oraz znane portale z branży finansowej. Stan bezpieczeństwa znacznej części tych systemów można określić jako niezadowalający.

 
Dodatkowym czynnikiem zwiększającym ryzyko pomyślnego ataku hackerskiego jest fakt, iż ataki na aplikacje webowe należą do grupy ataków wykonywanych najczęściej. Wyniki badań przeprowadzonych przez Gartner Group mówią, iż ponad 70% wszystkich ataków hackerskich odbywa się właśnie w warstwie aplikacyjnej.

Błędy bezpieczeństwa w aplikacjach webowych pozwalają atakującemu uzyskać takie korzyści jak:

• nieograniczony dostęp do bazy danych w trybie do zapisu i odczytu (umożliwia to np. umieszczenie kompromitujących informacji w portalu czy odczytanie poufnych danych). W takim przypadku pod znakiem zapytania stoi bezpieczeństwo informacji (np. danych osobowych).
  
• nieograniczony dostęp do administracji aplikacji
• dostęp do shell-a w systemie operacyjnym i eskalacja ataku w głąb infrastruktury
• przejęcie dostępu do kont użytkowników bez znajomości haseł
• wykorzystanie serwera jako zombie host do ataków na inne serwery w Internecie
• wykorzystywanie skompromitowanych systemów do wyłudzania istotnych informacji (np. numerów kart kredytowych)

Wychodząc naprzeciw wyżej wspomnianym faktom oferujemy testy bezpieczeństwa w zakresie:

• Oprogramowania webowego (praktycznie wszystkie znaczące technologie: ASP.NET/Java/PHP/ASP/Python). Audyty wykonujemy metodą blackbox i/lub whitebox (analiza kodu źródłowego).
• Systemów operacyjnych (Windows Server 2003, Linux, FreeBSD, OpenBSD, Solaris 10, AIX, HP-UX).
• Baz danych (Microsoft SQL Server , Oracle, MySQL, PostgreSQL).
• Usług systemu operacyjnego (serwery webowe, serwery aplikacyjne, serwery pocztowe, serwery ftp, itd.).
• Testów wydajnościowych oprogramowania webowego (stress testy, symulacja korzystania z aplikacji przez określoną liczbę użytkowników).
• Testów przywracania z backupu oraz poprawności działania mechanizmów typu failover.
• Infrastruktury sieciowej (routery, firewalle, IDS-y).
  

Wykonując audyty bezpieczeństwa opieramy się o uznane w świecie bezpieczeństwa rekomendacje i metodologie (np. OWASP, CIS, WASC, Rekomendacje GINB D).

Unikalną cechą naszej metodologii jest przeprowadzanie testów penetracyjnych metodą półautomatyczną. W przeciwieństwie do znacznej części naszej konkurencji nie poprzestajemy na uruchomieniu automatycznych skanerów bezpieczeństwa i wygenerowaniu z nich raportów. Wykonując testy, nasz audytor działa jako potencjalny hacker – planuje i wykonuje drogę ataku, wspierając się ściśle kontrolowanymi przez siebie narzędziami wspomagającymi.

Wykonanie audytu bezpieczeństwa znacznie zmniejsza szansę włamania do istotnych zasobów firmy.

• Aby poznać więcej szczegółów naszej oferty pobierz ulotkę.
• Pytania prosimy kierować na adres: security@webservice.pl
• Zapraszamy do zapoznania się z naszymi referencjami
  
• Zapraszamy również na nasz security blog