Bezpečnostní audity

Prověříme bezpečnost Vašeho systému

Vykonáváme detailní bezpečnostní audity webových aplikací,
lokální systémové audity, audity bezdrátových sítí, RFID technologií, ale i bezpečnostní audity SAP systémů, VoIP a audity sociálního inženýrství.

 

Bezpečnostní audit

Představuje jak automatizované, tak manuálně technické posouzení informačních a komunikačních systémů, procesů, aplikací a praktik z hlediska bezpečnosti.

Pravidelně vykonávaný bezpečnostní audit patří mezi základní nástroje systematického přístupu k řízení informační bezpečnosti a poskytuje nezávislý pohled na informační bezpečnost.
V případě rozsáhlých a komplexních systémů není nutné vykonávat audit pro celý systém, ale je možné ho podle potřeb provést i pro jednotlivé přesně definované části, aplikace nebo procesy (např.: bezpečnostní audit webové aplikace, lokální intranetový audit (LAN sítě) z pohledu zaměstnance nebo anonymního útočníka, audit bezdrátové sítě, VoIP ústředny...)

Pokud Vám na bezpečnosti Vašich aplikací a informačních systémů skutečně záleží, nestačí se spoléhat na tvrzení Vašich dodavatelů, že Vaše aplikace nebo systém jsou skutečně bezpečné. Nezávislý audit nezainteresovanou třetí stranou dokáže odhalit závažné nedostatky a předejít zneužití v produkčním provozu.
Kromě toho Vám umožní optimalizovat náklady, které je smysluplné a nezbytné investovat do zabezpečení aktiv a kriticky důležitých dat.

Průběh bezpečnostního auditu

Před začátkem testování se klient a vykonavatel auditu dohodnou na:

  • předmětu testování
  • zda půjde o blackbox, whitebox nebo greybox testovaní
  • zda budou vykonané i agresivní testy DoS útoků
  • z jakého IP adresního rozsahu budu vykonané testy
  • kontaktech na zainteresované a zodpovědné osoby jak na straně klienta, tak na straně vykonavatele
  • specifických omezeních vykonání auditu.

Po vyjasnění těchto bodů podepíší smlouvy: „Smlouvu o vykonání bezpečnostního zhodnocení“ a „Smlouvu o mlčenlivosti (NDA)“, prípadně je možné smlouvu o mlčenlivosti podepsat předem.
Až po podepsání smluv může pověřený pracovník nebo tým pracovníků začít v dohodnutém čase vykonávat samotný bezpečnostní audit s využitím manuálních a automatizovaných nástrojů.

U bezpečnostních auditů a penetračních testů se využívají sady norem a metodik, například OSSTMM (Open Source Security Testing Methodology Manual), OWASP Testing Guide, jako tzv. "nejlepší doporučení" (tj. „best practices“) pro danou oblast.

U auditu systému řízení informační bezpečnosti se postupuje podle mezinárodního standardu ISO/IEC 27001:2005. Výsledkem bezpečnostního auditu je závěrečná zpráva hodnotící soulad úrovně informační bezpečnosti v organizaci právě vůči tomuto mezinárodnímu standardu.

V závěru testování je vytvořený dokument popisující nálezy realizovaných testů a analýz s detailním popisem bezpečnostních chyb objevených v rámci testování a stručný návod na odstranění či opravu uvedených chyb.

Informace o zranitelnostech získané pomocí jednotlivých dílčích testů jsou analyzované a rozdělené podle potenciálního rizika závažnosti. To představuje základ výsledné zprávy, která je doplněná o množství dalších informací.

Výsledná zpráva je standardně předávaná v elektronické podobě (PDF) a jednotlivé výsledky zprávy je možné následně konzultovat se specialistou společnosti Nethemba.
Cílem těchto konzultací je nejen odhalit tzv. falešný poplach („false positive“), ale zároveň upřesnit odhalené bezpečnostní nedostatky a následná rizika s nimi spojená.


Společnost Nethemba

Nethemba je slovenská bezpečnostní IT společnost, založená v roce 2007, specializující se primárně na bezpečnost webových aplikací a penetrační testy. Tvoří ji specialisté s mnohaletými zkušenostmi v oblasti bezpečnosti.

Nethemba, jako jediná na Slovensku a v Čechách, nabízí bezpečnostní audity RFID technologií a SAP systémů. Kromě toho se věnuje aktivnímu výzkumu v oblasti bezpečnosti, což demonstruje pravidelnými prezentacemi na konferencích po celém světě.

Proč si vybrat právě nás?

Přístup

Naší hlavní filosofií je důvěra, spolehlivostprofesionalita. Svým klientům jsme dlouhodobým partnerem, na kterého se mohou vždy spolehnout.

Reference

Mezi naše klienty patří státní instituce, mobilní operátor, banky, ale i webové portály a firmy s různou IT infrastrukturou. Seznam referencí.

Certifikace


Vykonávané bezpečnostní audity

Detailní bezpečnostní audit webové aplikace a webového serveru

Cílem detailního bezpečnostního auditu webové aplikace a webového serveru je co najdůkladněji a najdetailněji otestovat webovou aplikaci a webový server.

Test je velmi podrobný a realizovaný podle testovací příručky OWASP.


Lokální systémový bezpečnostní audit

Cílem lokálního systémového bezpečnostního auditu je kontrola lokální systémové bezpečnosti daného operačního systému (OS). Auditované jsou všechny známé operační systémy: Windows, Linux, Solaris, OS X a jiné.

Čas testování: 3-4 dny.


Bezpečnostní audit SAP systémů a aplikací

Cílem bezpečnostního auditu SAP systému a aplikací je odhalit vážné bezpečnostní zranitelnosti v aplikacích SAP ERP a příslušné databázi. Je možné prověřit i zabezpečení J2EE části, SAP Web AS Portal, případně modulu SAP PI.

Audit SAP je vhodný pro všechny střední a velké společnosti využívající systémy SAP R3.

Bezpečnostní audit čipových karet

Cílem bezpečnostního auditu čipových karet je odhalit jak bezpečnostní zranitelnosti ve fyzické vrstvě daných kontaktních či bezkontaktních čipových karet, tak v aplikační vrstvě a softwaru, který je nasazený na koncových čtečkách/přístupových terminálech.

Bezpečnostní audit bezdrátové sítě

Cílem bezpečnostního auditu bezdrátové "wifi" sítě je analyzovat celkovou bezpečnost bezdrátových sítí zákazníka.

 

Kontakt

Dohodněte si s námi schůzku, případně se zeptejte, co Vás zajímá ohledně bezpečnostních auditů, a my se Vám v nejbližší možné době ozveme.