Usługi

Wiedza ekspercka
– certyfikaty

Testy podatności

Testy penetracyjne

Partnerzy

Kontakt

MANAGED IT SERVICES FOR YOUR BUSINESS

We Plan. We Deploy. YOU GROW.

OUTSEC jest częścią Europejskiego Instytutu Cyber Intelligence (EICITM), który jest międzynarodową̨  pozarządową organizacją na rzecz cyber bezpieczeństwa i cyberwywiadu. Jesteśmy również jedynym przedstawicielem w Polsce firmy COSMO.IQ oraz KE-LA Group, które oferują usługi RADARk Cyber Threat Intelligence.

Oferujemy profesjonalne usługi, narzędzia i systemy renomowanych firm z zakresu bezpieczeństwa IT. Każde z proponowanych przez nas rozwiązań zostało sprawdzone poprzez wdrożenia w wymagających środowiskach IT, u Klientów w Polsce i na Świecie. Świadczone przez nas usługi cechują się kompletnością, profesjonalizmem oraz indywidualnym podejściem do Klienta, co zapewnia dopasowanie do potrzeb biznesowych Zamawiającego.

Dział Usług został zbudowany na podstawie wielu lat doświadczeń i dobrych praktyk, które przez lata wypracowali nasi pracownicy i współpracownicy. Dokładność, profesjonalizm i elastyczność to główne cechy naszego zespołu.

Dzięki połączeniu wieloletniego doświadczenia oraz wiedzy ekspertów dziedzinowych i nowoczesnych technologii, wspieramy przedsiębiorstwa i instytucje państwowe w zabezpieczaniu posiadanego e-biznesu, informacji oraz infrastruktury teleinformatycznej.

Nasi eksperci łączą rozległą wiedzę merytoryczną z doświadczeniem branżowym zdobytym przy realizacji ambitnych, wymagających projektów.

Zarząd spółki Outsec stanowią doświadczeni menadżerowie. Członkowie zarządu bezpośrednio angażują się w działalność operacyjną Spółki. Jako zespół ponosimy wspólną odpowiedzialność za realizację projektów dla naszych klientów.

Zapewnienie bezpieczeństwa informatycznego definiujemy jednocześnie jako proces, wyzwanie i konieczność.

Usługi

W zakresie szerokiego wachlarza usług, oferowanych przez firmę Outsec, wyróżnić można:

    • Audyt w zakresie spełnienia wymagań europejskiego rozporządzenia o ochronie danych osobowych (RODO)
    • Wdrażanie RODO – audyt, analiza ryzyka, dostosowanie procesów i środowiska IT, dokumentacja, szkolenia
    • Projektowanie i implementacja procedur i rozwiązań technicznych w zakresie oprogramowania i infrastruktury w obszarze bezpieczeństwa (ciągłości działania)
    • Przeprowadzanie penetracyjnych testów bezpieczeństwa podatności na zagrożenia aplikacji webowych
    • Przeprowadzanie testów bezpieczeństwa aplikacji webowych typu on-site na podstawie analizy stanu faktycznego
    • Przygotowywanie raportów poaudytowych dostosowanych do wymagań
    • Wsparcie w realizacji, projektowaniu, odbiorze systemów zabezpieczeń oraz centrów danych
    • Projektowanie i nadzór autorski nad systemami bezpieczeństwa oraz systemami zabezpieczeń centrów danych
    • Analiza i ocena istniejącego procesu zarządzania cyklem życia tożsamości w organizacji
    • Doradztwo oraz implementacja rozwiązań w zakresie procesu zarządzania cyklem życia tożsamości
    • Opracowywanie i wdrażanie elementów Bezpiecznego Cyklu Rozwojowego Oprogramowania (SDLC – Secure Development Lifecycle) w procesie wytwórczym oprogramowania
    • Prowadzenie bezpośrednich działań operacyjnych zmierzających do ustalenia sprawców ogólnie rozumianych przestępstw teleinformatycznych
    • Prowadzenie śledztw i retrospekcji aktywności na podstawie elektronicznych materiałów dowodowych
    • Przeprowadzanie audytów bezpieczeństwa fizycznego technicznej infrastruktury teleinformatycznej
    • Projektowanie i implementacja systemów bezpieczeństwa fizycznego technicznej infrastruktury teleinformatycznej
    • Wykonywanie audytów bezpieczeństwa warstwy sieciowej
    • Projektowanie i implementacja rozwiązań z zakresu bezpieczeństwa Systemów IT
    • Wdrażanie procesów zapewniających ciągłość działania w odniesieniu do warstwy sieciowej
    • Wykonywanie audytów w zakresie poziomu bezpieczeństwa ośrodków webowych
    • Projektowanie i implementacja procedur i rozwiązań technicznych w zakresie bezpieczeństwa ośrodków webowych

Testy podatności

W zakresie przeprowadzonach testów penetracyjnych wykorzystujemy metodyki OSSTM oraz OWASP.

Dysponujemy własnym Centrum Testów Bezpieczeństwa (Security Test Center), w zakresie, którego oferujemy wysokiej klasy narzędzia, specjalizujące się w zapewnieniu najwyższego poziomu bezpieczeństwa z zakresu Systemów IT, infrastruktury oraz aplikacji mobilnych.

Centrum Testów Bezpieczeństwa wyposażone jest także w rozwiązania umożliwiające wykonanie analizy bezpieczeństwa oprogramowania w postaci testów „White-Box” tzn. analizy kodów źródłowych, oferowanych przez zamawiającego usług i serwisów WWW, a także oprogramowania typu standalone.

Za pomocą dedykowanego Centrum Testów Bezpieczeństwa świadczymy usługi z zakresu testów podatności infrastruktury zamawiającego, udostępnianych przez niego usług w postaci aplikacji i serwisów WWW w formie skanów „Black-Box”. Tak przeprowadzony audyt oraz analiza podatności zakończona jest czytelnym, nawigowalnym raportem obrazującym poziom bezpieczeństwa obiektów objętych analizą. W raporcie zawarte są także sugestię pozwalające na sprawne wyeliminowanie wykrytych podatności.

Testy penetracyjne

Bazując na standardach przemysłowych (OWASP/OSSTMM/ISSAF) i najlepszych praktykach zespół ekspertów Outsec rozwinął swoją własną metodę przeprowadzania testów penetracyjnych oraz audytów bezpieczeństwa. Poniższe podejścia zostały zdefiniowane w celu spełnienia wymagań różnych klientów oraz dostarczenia najbardziej dokładnego i realistycznego obrazu oceny ryzyka.

Klasyfikacja podatności

Metodologia klasyfikacji jest oparta na metodzie OWASP (Open Web Application Security Project). Każda odnaleziona podatność jest analizowana pod względem dwóch aspektów: Prawdopodobieństwo (Likelihood) oraz Wpływ (Impact). Skala współczynników każdego z tych aspektów wynosi od 1 do 9.

Następujące współczynniki opisują Prawdopodobieństwo:

  • Czynniki związane z atakującym (Threat Agent). Pierwsze zbiory współczynników dotyczą zaangażowania atakującego. Celem jest oszacowanie prawdopodobieństwa sukcesu ataku.
  • Współczynniki podatności (Vulnerability Factors). Następny zbiór współczynników jest związany z samą podatnością. Celem jest oszacowanie prawdopodobieństwa odkrycia i wykorzystania danej podatności. Zakładany jest ten sam atakujący, jak wyżej.

Następujące czynniki opisują Wpływ (Impact):

  • Techniczne współczynniki wpływu (Technical). Techniczny wpływ można podzielić na współczynniki związane z następującymi obszarami bezpieczeństwa IT: poufnością, integralnością, dostępnością oraz odpowiedzialnością. Celem jest oszacowanie wielkości wpływu na system, w momencie wykorzystania odkrytej podatności.
  • Współczynniki wpływu na biznes (Business). Wpływ na biznes jest całkowicie zależny od wpływu technicznego, aczkolwiek wymaga głębokiego zrozumienia, jakie cele są dla organizacji najważniejsze. Ogólnie rzecz biorąc, należy dążyć do opisania i obsługi potencjalnego ryzyka biorąc pod uwagę wpływ na biznes. Ryzyko biznesowe uzasadnia inwestycje dążące do rozwiązania problemów bezpieczeństwa IT. Wiele organizacji posiada opis klasyfikacji zasobów aby rozróżnić, które są ważniejsze dla funkcjonowania biznesu. Jeśli takowy standard nie istnieje, należy skonsultować się z osobami, które rozumieją potrzeby biznesowe danej organizacji.

Testy BlackBox

Testy penetracyjne typu BlackBox wyróżniają następujące cechy:

  • Przed rozpoczęciem prac tester nie posiada wiedzy dotyczącej zdalnego systemu
  • Zazwyczaj klient udostępnia nazwy domenowe, konkretne url-e lub zakres adresów IP.
  • Symuluje typowe działania hakera (zagrożenie zewnętrzne), który nie zna środowiska (systemów operacyjnych, działających w systemie usług i aplikacji, topologii sieci itp.).
  • Najczęściej stosowane podejście przy testach typu „external” np. dla środowisk DMZ/ECAP
  • W metodyce tej jednym z najważniejszych elementów jest zebranie właściwej ilości informacji dotyczących celu ataku, przy czym stosowane jest podejście pasywne (tzw. „biały wywiad”, np. analiza vendora aplikacji pod kątem wykorzystywanych technologii czy framework’ów), analiza aktywna systemów (np. enumeracja DNS, port/service probing, port scanning, czy website spidering). Za zgodą klienta mogą zostać wykonane ataki socjotechniczne.
  • Po zebraniu odpowiedniej ilości informacji następuje identyfikacja i analiza wektorów ataku na system lub aplikację, wykrywanie podatności (np. poprzez analizę zachowania protokołów, fuzzing, manualne testy itp.)
  • Kolejnym etapem jest weryfikacja znalezionych podatności, w celu eliminacji tzw. false-positive’ów
  • W zależności od zapisów umowy możliwe jest podjęcie dalszych działań w celu eskalacji uprawnień w ramach systemu i ewentualnie dalszej eksploitacji środowiska
  • Ostatnim etapem jest wykonanie i prezentacja szczegółowego raportu wraz z rekomendacjami

Testy WhiteBox

Testy penetracyjne typu WhiteBox wyróżniają następujące cechy:

  • Klient udostępnia testerowi szczegółowe informacje
  • O badanym systemie, najczęściej w formie dokumentacji lub interview z odpowiednimi działami IT (zazwyczaj deweloperzy i/lub administratorzy)
  • Test odzwierciedla czynności wykonywane przez napastnika posiadającego szeroką wiedzę na temat celu ataku (np. Advanced Persistant Threat, włamania dokonywane przez byłych/obecnych pracowników itp.)
  • Faza rekonesansu jest zredukowana do minimum
  • Niejednokrotnie potwierdzenie istnienia podatności jest wykonywane przez przegląd odpowiedniego fragmentu kodu źródłowego (dla aplikacji typu „home-brew” oraz aplikacji „opensource”)
  • Poszczególne fazy podejścia „WhiteBox” są wspólne dla podejścia typu „BlackBox”, natomiast główna różnica polega na ilości i akuratności szczegółów dotyczących testowanego środowiska

Testy CrystalBox

Testy penetracyjne typu CrystalBox wyróżniają następujące cechy:

  • Połączenie podejścia WhiteBox i BlackBox
  • Tester otrzymuje dostępy do badanego systemu (np. login/hasło), zazwyczaj na poziomie użytkownika o najniższych przywilejach
  • Możliwe jest dostarczenie testerowi dodatkowych, podstawowych danych np. technologia, rodzaj i wersja systemu operacyjnego itp.
  • Jest to najczęściej stosowane podejście symulujące akcje nieuprzywilejowanego użytkownika systemu niedysponującego szczegółową wiedzą dotyczącą celu ataku.
  • Metoda stosowana najczęściej w ocenie bezpieczeństwa aplikacji firm trzecich poza generycznym podejściem wyszczególnionym w opisie dotyczącym podejścia typu „BlackBox” zasadniczym elementem jest zgłaszanie znalezionych i zweryfikowanych podatności deweloperowi aplikacji/środowiska. Współpraca z dostawcą produktu pozwala na dodatkową weryfikację i wypuszczenie odpowiednich „łat” bezpieczeństwa, zamiast stosowania alternatywnych środków mitygacyjnych.

Etapy testowania

Metodyka używana przez ekspertów firmy Outsec oparta jest o OWASP Web Application Penetration zgodnie z OWASP Testing Guide v3/v4b. Zawiera ona następujące etapy testu, które zostaną dopasowane do testowanej usługi / serwisu.

  • Określenie celu/zakresu
  • Zbieranie informacji
  • Testowanie zarządzania konfiguracją
  • Testowanie zarządzania tożsamością
  • Testowanie uwierzytelniania
  • Testowanie zarządzania sesjami
  • Testowanie autoryzacji
  • Testowanie logiki biznesowej
  • Testowanie zabezpieczeń kryptograficznych
  • Testowanie walidacji danych
  • Testowanie obsługi błędów
  • Testy „client-side” (np. JavaScript, DOM XSS, HTML injection, itp.)

Audyt procesów

Zebranie danych do analizy będzie miało miejsce w oparciu o:

  • Dostępną dokumentację architektury, projekt i dokumentację powdrożeniową
  • Wywiad z osobami zajmującymi się rozwojem i projektowaniem
  • Osobami zajmującymi się administracją i utrzymaniem systemu IT utrzymującego aplikację
  • Zebraniu wyników do analizy poprzez użycie narzędzi i ręczny przegląd ustawień elementów systemu
  • Przegląd i analizę konfiguracji środowiska witalizacyjnego
  • Przegląd i analizę konfiguracji serwerów narzędziowych i aplikacji wspomagających i automatyzujących pracę środowiska
  • Przegląd i analizę konfiguracji systemów operacyjnych
  • Przegląd i analizę uprawnień kont uprzywilejowanych oraz serwisowych
  • Przegląd i analizę środowiska IT otaczającego aplikację (storage, sieć)

Partnerzy

Oferujemy profesjonalne usługi, narzędzia i systemy renomowanych firm z zakresu bezpieczeństwa IT.

Kontakt