Usługi

Wiedza ekspercka
– certyfikaty

Testy podatności

Testy penetracyjne

Partnerzy

Kontakt

MANAGED IT SERVICES FOR YOUR BUSINESS

We Plan. We Deploy. YOU GROW.

Outsec Sp. z o.o. jest wiodącym dostawcą usług doradczych i rozwiązań informatycznych z szeroko rozumianego obszaru bezpieczeństwa IT.

Oferujemy profesjonalne usługi, narzędzia i systemy renomowanych firm z zakresu bezpieczeństwa IT. Każde z proponowanych przez nas rozwiązań zostało sprawdzone poprzez wdrożenia w wymagających środowiskach IT, u Klientów w Polsce i na Świecie. Świadczone przez nas usługi cechują się kompletnością, profesjonalizmem oraz indywidualnym podejściem do Klienta, co zapewnia dopasowanie do potrzeb biznesowych Zamawiającego.

Dział Usług został zbudowany na podstawie wielu lat doświadczeń i dobrych praktyk, które przez lata wypracowali nasi pracownicy i współpracownicy. Dokładność, profesjonalizm i elastyczność to główne cechy naszego zespołu.

Dzięki połączeniu wieloletniego doświadczenia oraz wiedzy ekspertów dziedzinowych i nowoczesnych technologii, wspieramy przedsiębiorstwa i instytucje państwowe w zabezpieczaniu posiadanego e-biznesu, informacji oraz infrastruktury teleinformatycznej.

Nasi eksperci łączą rozległą wiedzę merytoryczną z doświadczeniem branżowym zdobytym przy realizacji ambitnych, wymagających projektów.

Zarząd spółki Outsec stanowią doświadczeni menadżerowie. Członkowie zarządu bezpośrednio angażują się w działalność operacyjną Spółki. Jako zespół ponosimy wspólną odpowiedzialność za realizację projektów dla naszych klientów.

Zapewnienie bezpieczeństwa informatycznego definiujemy jednocześnie jako proces, wyzwanie i konieczność.

Usługi

W zakresie szerokiego wachlarza usług, oferowanych przez firmę Outsec, wyróżnić można:

    • Audyt w zakresie spełnienia wymagań europejskiego rozporządzenia o ochronie danych osobowych (RODO)
    • Wdrażanie RODO – audyt, analiza ryzyka, dostosowanie procesów i środowiska IT, dokumentacja, szkolenia
    • Projektowanie i implementacja procedur i rozwiązań technicznych w zakresie oprogramowania i infrastruktury w obszarze bezpieczeństwa (ciągłości działania)
    • Przeprowadzanie penetracyjnych testów bezpieczeństwa podatności na zagrożenia aplikacji webowych
    • Przeprowadzanie testów bezpieczeństwa aplikacji webowych typu on-site na podstawie analizy stanu faktycznego
    • Przygotowywanie raportów poaudytowych dostosowanych do wymagań
    • Wsparcie w realizacji, projektowaniu, odbiorze systemów zabezpieczeń oraz centrów danych
    • Projektowanie i nadzór autorski nad systemami bezpieczeństwa oraz systemami zabezpieczeń centrów danych
    • Analiza i ocena istniejącego procesu zarządzania cyklem życia tożsamości w organizacji
    • Doradztwo oraz implementacja rozwiązań w zakresie procesu zarządzania cyklem życia tożsamości
    • Opracowywanie i wdrażanie elementów Bezpiecznego Cyklu Rozwojowego Oprogramowania (SDLC – Secure Development Lifecycle) w procesie wytwórczym oprogramowania
    • Prowadzenie bezpośrednich działań operacyjnych zmierzających do ustalenia sprawców ogólnie rozumianych przestępstw teleinformatycznych
    • Prowadzenie śledztw i retrospekcji aktywności na podstawie elektronicznych materiałów dowodowych
    • Przeprowadzanie audytów bezpieczeństwa fizycznego technicznej infrastruktury teleinformatycznej
    • Projektowanie i implementacja systemów bezpieczeństwa fizycznego technicznej infrastruktury teleinformatycznej
    • Wykonywanie audytów bezpieczeństwa warstwy sieciowej
    • Projektowanie i implementacja rozwiązań z zakresu bezpieczeństwa Systemów IT
    • Wdrażanie procesów zapewniających ciągłość działania w odniesieniu do warstwy sieciowej
    • Wykonywanie audytów w zakresie poziomu bezpieczeństwa ośrodków webowych
    • Projektowanie i implementacja procedur i rozwiązań technicznych w zakresie bezpieczeństwa ośrodków webowych

Testy podatności

W zakresie przeprowadzonach testów penetracyjnych wykorzystujemy metodyki OSSTM oraz OWASP.

Dysponujemy własnym Centrum Testów Bezpieczeństwa (Security Test Center), w zakresie, którego oferujemy wysokiej klasy narzędzia, specjalizujące się w zapewnieniu najwyższego poziomu bezpieczeństwa z zakresu Systemów IT, infrastruktury oraz aplikacji mobilnych.

Centrum Testów Bezpieczeństwa wyposażone jest także w rozwiązania umożliwiające wykonanie analizy bezpieczeństwa oprogramowania w postaci testów „White-Box” tzn. analizy kodów źródłowych, oferowanych przez zamawiającego usług i serwisów WWW, a także oprogramowania typu standalone.

Za pomocą dedykowanego Centrum Testów Bezpieczeństwa świadczymy usługi z zakresu testów podatności infrastruktury zamawiającego, udostępnianych przez niego usług w postaci aplikacji i serwisów WWW w formie skanów „Black-Box”. Tak przeprowadzony audyt oraz analiza podatności zakończona jest czytelnym, nawigowalnym raportem obrazującym poziom bezpieczeństwa obiektów objętych analizą. W raporcie zawarte są także sugestię pozwalające na sprawne wyeliminowanie wykrytych podatności.

Testy penetracyjne

Bazując na standardach przemysłowych (OWASP/OSSTMM/ISSAF) i najlepszych praktykach zespół ekspertów Outsec rozwinął swoją własną metodę przeprowadzania testów penetracyjnych oraz audytów bezpieczeństwa. Poniższe podejścia zostały zdefiniowane w celu spełnienia wymagań różnych klientów oraz dostarczenia najbardziej dokładnego i realistycznego obrazu oceny ryzyka.

Klasyfikacja podatności

Metodologia klasyfikacji jest oparta na metodzie OWASP (Open Web Application Security Project). Każda odnaleziona podatność jest analizowana pod względem dwóch aspektów: Prawdopodobieństwo (Likelihood) oraz Wpływ (Impact). Skala współczynników każdego z tych aspektów wynosi od 1 do 9.

Następujące współczynniki opisują Prawdopodobieństwo:

  • Czynniki związane z atakującym (Threat Agent). Pierwsze zbiory współczynników dotyczą zaangażowania atakującego. Celem jest oszacowanie prawdopodobieństwa sukcesu ataku.
  • Współczynniki podatności (Vulnerability Factors). Następny zbiór współczynników jest związany z samą podatnością. Celem jest oszacowanie prawdopodobieństwa odkrycia i wykorzystania danej podatności. Zakładany jest ten sam atakujący, jak wyżej.

Następujące czynniki opisują Wpływ (Impact):

  • Techniczne współczynniki wpływu (Technical). Techniczny wpływ można podzielić na współczynniki związane z następującymi obszarami bezpieczeństwa IT: poufnością, integralnością, dostępnością oraz odpowiedzialnością. Celem jest oszacowanie wielkości wpływu na system, w momencie wykorzystania odkrytej podatności.
  • Współczynniki wpływu na biznes (Business). Wpływ na biznes jest całkowicie zależny od wpływu technicznego, aczkolwiek wymaga głębokiego zrozumienia, jakie cele są dla organizacji najważniejsze. Ogólnie rzecz biorąc, należy dążyć do opisania i obsługi potencjalnego ryzyka biorąc pod uwagę wpływ na biznes. Ryzyko biznesowe uzasadnia inwestycje dążące do rozwiązania problemów bezpieczeństwa IT. Wiele organizacji posiada opis klasyfikacji zasobów aby rozróżnić, które są ważniejsze dla funkcjonowania biznesu. Jeśli takowy standard nie istnieje, należy skonsultować się z osobami, które rozumieją potrzeby biznesowe danej organizacji.

Testy BlackBox

Testy penetracyjne typu BlackBox wyróżniają następujące cechy:

  • Przed rozpoczęciem prac tester nie posiada wiedzy dotyczącej zdalnego systemu
  • Zazwyczaj klient udostępnia nazwy domenowe, konkretne url-e lub zakres adresów IP.
  • Symuluje typowe działania hakera (zagrożenie zewnętrzne), który nie zna środowiska (systemów operacyjnych, działających w systemie usług i aplikacji, topologii sieci itp.).
  • Najczęściej stosowane podejście przy testach typu „external” np. dla środowisk DMZ/ECAP
  • W metodyce tej jednym z najważniejszych elementów jest zebranie właściwej ilości informacji dotyczących celu ataku, przy czym stosowane jest podejście pasywne (tzw. „biały wywiad”, np. analiza vendora aplikacji pod kątem wykorzystywanych technologii czy framework’ów), analiza aktywna systemów (np. enumeracja DNS, port/service probing, port scanning, czy website spidering). Za zgodą klienta mogą zostać wykonane ataki socjotechniczne.
  • Po zebraniu odpowiedniej ilości informacji następuje identyfikacja i analiza wektorów ataku na system lub aplikację, wykrywanie podatności (np. poprzez analizę zachowania protokołów, fuzzing, manualne testy itp.)
  • Kolejnym etapem jest weryfikacja znalezionych podatności, w celu eliminacji tzw. false-positive’ów
  • W zależności od zapisów umowy możliwe jest podjęcie dalszych działań w celu eskalacji uprawnień w ramach systemu i ewentualnie dalszej eksploitacji środowiska
  • Ostatnim etapem jest wykonanie i prezentacja szczegółowego raportu wraz z rekomendacjami

Testy WhiteBox

Testy penetracyjne typu WhiteBox wyróżniają następujące cechy:

  • Klient udostępnia testerowi szczegółowe informacje
  • O badanym systemie, najczęściej w formie dokumentacji lub interview z odpowiednimi działami IT (zazwyczaj deweloperzy i/lub administratorzy)
  • Test odzwierciedla czynności wykonywane przez napastnika posiadającego szeroką wiedzę na temat celu ataku (np. Advanced Persistant Threat, włamania dokonywane przez byłych/obecnych pracowników itp.)
  • Faza rekonesansu jest zredukowana do minimum
  • Niejednokrotnie potwierdzenie istnienia podatności jest wykonywane przez przegląd odpowiedniego fragmentu kodu źródłowego (dla aplikacji typu „home-brew” oraz aplikacji „opensource”)
  • Poszczególne fazy podejścia „WhiteBox” są wspólne dla podejścia typu „BlackBox”, natomiast główna różnica polega na ilości i akuratności szczegółów dotyczących testowanego środowiska

Testy CrystalBox

Testy penetracyjne typu CrystalBox wyróżniają następujące cechy:

  • Połączenie podejścia WhiteBox i BlackBox
  • Tester otrzymuje dostępy do badanego systemu (np. login/hasło), zazwyczaj na poziomie użytkownika o najniższych przywilejach
  • Możliwe jest dostarczenie testerowi dodatkowych, podstawowych danych np. technologia, rodzaj i wersja systemu operacyjnego itp.
  • Jest to najczęściej stosowane podejście symulujące akcje nieuprzywilejowanego użytkownika systemu niedysponującego szczegółową wiedzą dotyczącą celu ataku.
  • Metoda stosowana najczęściej w ocenie bezpieczeństwa aplikacji firm trzecich poza generycznym podejściem wyszczególnionym w opisie dotyczącym podejścia typu „BlackBox” zasadniczym elementem jest zgłaszanie znalezionych i zweryfikowanych podatności deweloperowi aplikacji/środowiska. Współpraca z dostawcą produktu pozwala na dodatkową weryfikację i wypuszczenie odpowiednich „łat” bezpieczeństwa, zamiast stosowania alternatywnych środków mitygacyjnych.

Etapy testowania

Metodyka używana przez ekspertów firmy Outsec oparta jest o OWASP Web Application Penetration zgodnie z OWASP Testing Guide v3/v4b. Zawiera ona następujące etapy testu, które zostaną dopasowane do testowanej usługi / serwisu.

  • Określenie celu/zakresu
  • Zbieranie informacji
  • Testowanie zarządzania konfiguracją
  • Testowanie zarządzania tożsamością
  • Testowanie uwierzytelniania
  • Testowanie zarządzania sesjami
  • Testowanie autoryzacji
  • Testowanie logiki biznesowej
  • Testowanie zabezpieczeń kryptograficznych
  • Testowanie walidacji danych
  • Testowanie obsługi błędów
  • Testy „client-side” (np. JavaScript, DOM XSS, HTML injection, itp.)

Audyt procesów

Zebranie danych do analizy będzie miało miejsce w oparciu o:

  • Dostępną dokumentację architektury, projekt i dokumentację powdrożeniową
  • Wywiad z osobami zajmującymi się rozwojem i projektowaniem
  • Osobami zajmującymi się administracją i utrzymaniem systemu IT utrzymującego aplikację
  • Zebraniu wyników do analizy poprzez użycie narzędzi i ręczny przegląd ustawień elementów systemu
  • Przegląd i analizę konfiguracji środowiska witalizacyjnego
  • Przegląd i analizę konfiguracji serwerów narzędziowych i aplikacji wspomagających i automatyzujących pracę środowiska
  • Przegląd i analizę konfiguracji systemów operacyjnych
  • Przegląd i analizę uprawnień kont uprzywilejowanych oraz serwisowych
  • Przegląd i analizę środowiska IT otaczającego aplikację (storage, sieć)

Partnerzy

Oferujemy profesjonalne usługi, narzędzia i systemy renomowanych firm z zakresu bezpieczeństwa IT.

IBM jest światowym liderem w kreowaniu, rozwijaniu i produkcji najbardziej zaawansowanych technologii informatycznych obejmujących systemy komputerowe, oprogramowanie, systemy sieciowe, pamięci masowe, rozwiązania z zakresu mikroelektroniki oraz zapewnienia bezpieczeństwa informatycznego.

Od 2013 roku firma Nozomi Networks dostarcza innowacyjne rozwiązania w zakresie cyberprzestępczości i operacyjności dla systemów kontroli przemysłowej (ICS). Firma została założona przez Andreę Carcano, autorytety do spraw sieci przemysłowych i Moreno Carullo, ekspert w dziedzinie sztucznej inteligencji.

Jest producentem innowacyjnej platformy bezpieczeństwa (Next-Generation Security Platform). Przedmiotowa platforma została zaprojektowana i stworzona do realizacji procesu bezpiecznego udostępniania aplikacji i ochrony przed znanymi jak i nieznanymi zagrożeniami w sieci, chmurze i na punktach końcowych.

Jest państwowym instytutem badawczym nadzorowanym przez Ministerstwo Cyfryzacji. Kluczowym polem aktywności NASK są działania związane z zapewnieniem bezpieczeństwa Internetu. Reagowaniem na zdarzenia naruszające bezpieczeństwo sieci zajmuje się Narodowe Centrum Cyberbezpieczeństwa (NC CYBER). NASK prowadzi działalność badawczo-rozwojową w zakresie opracowywania rozwiązań zwiększających efektywność, niezawodność i bezpieczeństwo sieci teleinformatycznych oraz innych złożonych systemów sieciowych. Istotne miejsce zajmują badania dotyczące biometrycznych metod weryfikacji tożsamości w bezpieczeństwie usług.

Omada jest światowym liderem rynku wiodących dostawców innowacyjnych rozwiązań i usług w zakresie zarządzania tożsamością i dostępu. Od roku 2000 firma Omada umożliwiła organizacjom na całym świecie zarządzanie procesami biznesowymi w zakresie praw użytkowników do systemów i aplikacji, które pomagają klientom w zarządzaniu ryzykiem tożsamości, ochronie osób i zasobów, a także zwiększaniu efektywności i osiągnięciu zgodności z zasadami zrównoważonego rozwoju. Klienci wybierają firmę Omada ze względu na sprawdzoną technologię, elastyczną platformę i możliwość wykonywania.

W AISECLAB uwalniamy kreatywne pomysły związane z nowoczesną technologią obejmującą takie obszary, jak informatyka, innowacyjne oprogramowanie, wyciąganie wniosków z wiedzy zawartej w danych (data mining), zaawansowana analiza statystyczna, bezpieczeństwo informacji, numeryczne wspieranie sportu i zdrowia, projektowanie 3d, tworzenie gier i oprogramowania związanego z rozrywką, profesjonalne zarządzanie projektami ict, projektowanie ekologicznych, nowoczesnych i inteligentnych budynków.

Fortinet to czołowy na świecie dostawcą wysoko wydajnych informatycznych rozwiązań zabezpieczających, które umożliwiają jej klientom ochronę i kontrolę używanej infrastruktury informatycznej. Jej specjalnie opracowane, zintegrowane technologie zabezpieczeń wraz z usługami FortiGuard badającymi zagrożenia zapewniają klientom niezwykle skuteczną ochronę treści dotrzymującą kroku nieustannie rozwijającym się zagrożeniom.

Fidelis oferuje jedyne komplementarne rozwiązanie chroniące przed zaawansowanymi cyber-zagrożeniami, które zatrzymuje w każdym momencie ich cyklu życia. Skupiając się na wykrywaniu w czasie rzeczywistym, zapobieganiu i natychmiastowej reakcji, Fidelis Network redukuje czas reakcji i pozwala na powstrzymanie przestępców, zanim uczynią oni nieodwracalne szkody.

Huawei to wiodący, globalny dostawca rozwiązań teleinformatycznych, obsługujący największe światowe przedsiębiorstwa i instytucje. Produkty firmy wdrożono w ponad 140 krajach. Huawei zatrudnia obecnie ponad 150 tysięcy pracowników, z których 70 tysięcy (ponad 46 proc.) bierze udział w projektach badawczo-rozwojowych.

Smart in koncentruje się na zwiększeniu efektywność przemysłu oraz jakość życia i bezpieczeństwo w naszych miastach. Smart in wdraża inteligentne systemy monitoringu i analiz, szczególnie w zakresie kompleksowych rozwiązań monitoringu wizyjnego i wspomagania decyzji dla służb miejskich i porządkowych. Smart in specjalizuje się także w cyber-bezpieczeństwie, rozwiązaniach i sprzęcie IT a także wizualizacji i analizie danych.

CISCO jest światowym liderem w dziedzinie technologii sieciowych przeznaczonych do obsługi Internetu. Sprzęt, oprogramowanie i usługi firmy Cisco są wykorzystywane do budowy rozwiązań internetowych, które umożliwiają zarówno użytkownikom indywidualnym, firmom, jak i całym państwom podniesienie efektywności, zwiększenie poziomu zadowolenia klientów oraz poprawę konkurencyjności.

Rhebo Industrial Protector monitoruje i zapewnia ciągłą, prawidłową i przewidywalną pracę systemów kontroli przemysłowej w czasie rzeczywistym. Ruch danych w sieciach przemysłowych jest rejestrowany i analizowany, aby automatycznie wykrywać i zgłaszać wszelkie anomalie. Rhebo Industrial Protector zapewnia ciągłość działania w środowiskach produkcyjnych i krytycznych infrastrukturach oraz chroni przed naruszeniami bezpieczeństwa i cyberatakami.

Założona w 1988 roku w Finlandii firma jest dziś wiodącym dostawcą oprogramowania zabezpieczającego serwery, komputery stacjonarne i przenośne oraz urządzenia typu handheld przed atakami hakerów i wirusami komputerowymi. Centrala firmy mieści się w Helsinkach, a jej główny oddział w San Jose (USA). Pozostałe biura sprzedaży znajdują się w Wielkiej Brytanii, Niemczech, Szwecji i Japonii. Z oprogramowania F-Secure korzystają największe na świecie korporacje; firmy telekomunikacyjne, linie lotnicze, siły zbrojne i administracja państwowa. Klientami firmy są m.in. Cap Gemini, Barclays Bank, Tesco, Glanbia, Deutsche Telekom, Aachener-Munchener, J&W, Honda, Tokyo-Mitsubishi Bank, Partek, ICL Invia, Sonera, Verizon.

BOMGAR jest liderem rozwiązań biznesowych z sektora Secure Access. Wiodące rozwiązania BOMGAR z zakresu zdalnego wsparcia, zarządzania uprzywilejowanym dostępem oraz zarządzania tożsamością pomagają osobom odpowiedzialnym za wsparcie i bezpieczeństwo zwiększać produktywność i bezpieczeństwo poprzez realizacje bezpiecznych i kontrolowanych połączeń z każdym systemem lub urządzeniem, w dowolnym miejscu a świecie. Ponad 10 tys. organizacji z 80 krajów korzysta z rozwiązań BOMGAR by świadczyć doskonałej jakości usługi wsparcia i ograniczać zagrożenia cennych danych i systemów.

Spółka założona w 2001 roku. Centrala w Karlskronie, Szwecji. Oddziały w ponad 40 krajach. Globalny lider technologiczny w zakresie zarządzania podatnościami i analizie bezpieczeństwa Lider rynku europejskiego z ponad 5000 zadowolonymi klientami.

Kontakt