ikona-logo

 

Wspomagamy naszych partnerów na każdym etapie tworzenia i utrzymania systemów. Od pomocy w definiowaniu wymagań bezpieczeństwa, przez testy bezpieczeństwa aplikacji i systemów, po wsparcie w analizie incydentów.

Testy bezpieczeństwa aplikacji

Celem testów jest wykrycie podatności aplikacji na ewentualne ataki, czyli znalezienie luk, które mogłyby zostać wykorzystane przez intruzów. Wykonujemy zarówno testy penetracyjne, czyli kontrolowane próby przełamania zabezpieczeń bez znajomości szczegółów budowy systemu (tzw. testy black-box), jak i testy połączone z przeglądem kodu (testy white-box)

zwiń

Przegląd kodu

Jeśli jest możliwy dostęp do kodu źródłowego, to proponujemy poszerzenie zakresu badania bezpieczeństwa aplikacji przez analizę kluczowych elementów kodu. Daje to możliwość dokładniejszej weryfikacji hipotez oraz lepszego wykorzystania czasu przeznaczonego na testy aplikacji.

zwiń

Bezpieczeństwo aplikacji mobilnych

Mamy szerokie doświadczenie w ocenie bezpieczeństwa aplikacji mobilnych w różnych zastosowaniach, m.in: bankowość mobilna, płatności mobilne, systemy lojalnościowe, handel elektroniczny. Wiedza i narzędzia pozwalają nam na objęcie testami bezpieczeństwa wszystkich współczesnych platform mobilnych (m.in. iOS, Android, Windows Phone, Blackberry).

zwiń

Blockchain i bezpieczeństwo Smart Contracts

Przeprowadzamy audyty bezpieczeństwa systemów opartych o systemy blockchain. Celem tych testów jest wykrycie podatności, które mogą złamać jego główne atrybuty takie jak nieodwracalność, niezaprzeczalność czy zaufanie. Wykonujemy również weryfikację bezpieczeństwa systemów blockchain nowej generacji takich jak platformy Ethereum, które zawierają „inteligentne umowy” i rozproszone aplikacje, a także testy penetracyjne – kontrolowane próby złamania zabezpieczeń oraz przeglądy kodu źródłowego smart contract i aplikacji rozporoszonych.

Czytaj więcej..

zwiń

Weryfikacja bezpieczeństwa infrastruktury

Podatności w systemie mogą wynikać zarówno z defektów aplikacji jak i defektów środowiska serwerowo-sieciowego aplikacji. W celu wykrycia i eliminacji luk w infrastrukturze, proponujemy wykonanie testów penetracyjnych jak i przeglądów konfiguracji kluczowych elementów.

zwiń

Wewnętrzne testy penetracyjne

Nasze podejście do wewnętrznych testów penetracyjnych polega na imitowaniu działania atakującego, który uzyskał dostęp do sieci wewnętrznej i przejął kontrolę nad stacją roboczą użytkownika, np., poprzez zainstalowanie na niej oprogramowania typu malware. Podczas takich testów nasze zespół stara się zidentyfikować najistotniejsze zasoby w sieci wewnętrznej i uzyskać do nich dostęp za pomocą podatności znalezionych w tej sieci. Cały proces testów wewnętrznych przeprowadzany jest przy ścisłej współpracy z przedstawicielami Klienta tak aby zminimalizować ewentualny, negatywny wpływ na stabilność testowanego środowiska, a również a zmaksymalizować skuteczność działania zespołu testującego.

zwiń

Wsparcie w zakresie analizy incydentów

W przypadku wystąpienia incydentów związanych z bezpieczeństwem aplikacji, np. oszustw („fraudów”) w bankowości internetowej, pomagamy przeanalizować scenariusze działania atakujących oraz zaprojektować środki zaradcze – krótko, średnio i długoterminowe.

zwiń

Bezpieczeństwo usług chmurowych

Oferujemy testy bezpieczeństwa środowiska chmurowego, przeglądy konfiguracji oraz konsultacje. Głównym celem jest identyfikacja potencjalnie niebezpiecznych luk w konfiguracji usług chmurowych dostarczanych przez AWS, Microsoft Azure, Google Cloud, czy OpenStack. Przeprowadzamy testy penetracyjne i przeglądy konfiguracji środowiska oraz konsultacje jak poprawić bezpieczeństwo środowiska oraz zabezpieczeń infrastruktury chmurowej.

Czytaj więcej..

zwiń

Testy penetracyjne w oparciu o zalecenia PCI DSS

Zalecenia PCI DSS mówią, że wszystkie podmioty, które przetwarzają dane powinny regularnie przeprowadzać testy bezpieczeństwa środowiska sieciowego, w którym są przetwarzane dane kartowe (ang. CDE, Cardholder Data Environment).

Oferowane przez nas testy są w pełni zgodne z wytycznymi PCI DSS dotyczącymi takich testów penetracyjnych.

Czytaj więcej..

zwiń

Szkolenia

Nasze szkolenia są przeznaczone dla zespołów projektowych (programistów, architektów, PM-ów, specjalistów QA) zainteresowanych poszerzeniem swojej wiedzy dotyczącej bezpieczeństwa aplikacji. Szkolenia są dostosowane do technologii w jakich jest wytwarzane oprogramowania (J2EE, .NET, PHP, mobilne). Proponujemy również szkolenie z podstaw testowania bezpieczeństwa przeznaczone dla specjalistów QA.

Szkolenia organizujemy dla grup zamkniętych i dlatego możemy je dostosowywać do specyfiki danego zespołu, prowadzonych projektów, profilu ryzyka dla konkretnych aplikacji i używanych technik programistycznych. Zainteresowanych szczegółami prosimy o kontakt.

 

Przykładowe programy szkoleń:

zwiń