Kibernetska varnost

 

 

Varnost informacijskih sistemov je ključnega pomena za poslovanje organizacij. Informacijsko-komunikacijski sistemi morajo biti varno načrtovani, implementirani in vzdrževani. Informacijska varnost je proces, ki potrebuje kontinuirano pozornost in ni stanje, ki ga dosežemo z enkratnim posegom. S kompleksnostjo IKT  sistemov narašča tudi verjetnost varnostnih ranljivosti. V podjetju PRO.Astec razpolagamo s širokim naborom certificiranih varnostnih strokovnjakov, ki imajo dolgoletne izkušnje z izvajanjem raznovrstnih varnostnih pregledov.

 

Z opravljenim varnostnim pregledom organizacija pridobi poglobljene informacije o stopnji varnosti informacijsko-komunikacijskega sistema v danem trenutku.

 

Cilj varnostnega pregleda je identificiranje ranljivosti, ki lahko napadalcu omogočijo vplivanje na zaupnost, integriteto ali dostopnost informacij, ter s tem ocena varnostnih tveganj.

 

Zunanji varnostni pregled je namenjen odkrivanju varnostnih groženj, ki pretijo informacijski infrastrukturi, dostopni iz javnih omrežij. Varnostni pregled je izvedba kontroliranega hekerskega napada, pri katerem se ne izvaja testov, za katere se v naprej predvideva, da bi onemogočali delovanje produkcijskih sistemov.

 

Obseg pregleda:

  • spletne strani in aplikacije,
  • poštni, datotečni, imenski in imeniški, spletni in drugi strežniki,
  • storitve za oddaljen dostop,
  • uporabljeni varnostni mehanizmi,
  • druge javno dostopne storitve organizacije.

Cilj zunanjega varnostnega pregleda je ugotoviti kako globoko v IKT sistem organizacije lahko prodre zunanji napadalec, ali možnost prevzema nadzora nad ključnimi sistemi.

 

Notranji varnostni pregled je namenjen odkrivanju varnostnih groženj, ki pretijo informacijskemu sistemu oziroma infrastrukturi iz internega omrežja organizacije. Varnostni pregled je kontrolirana simulacija hekerskega napada, pri kateri se ne izvaja testov, za katere se v naprej predvideva, da bi onemogočali delovanje produkcijskih sistemov.

 

Obseg pregleda:

  • strežniška infrastruktura s poudarkom na ključnih strežnikih,
  • namenski odjemalci in spletne aplikacije,
  • mrežna infrastruktura,
  • IoT, SCADA infrastruktura,
  • varnostni mehanizmi,
  • druge interne storitve organizacije.

Cilj notranjega varnostnega pregleda je ugotoviti, ali lahko neavtenticiran uporabnik dostopa do ključnih sistemov in zaupnih podatkov organizacije, ter s tem možnost prevzema nadzora nad ključnimi sistemi.

 

Penetracijski test je poglobljeni varnostni pregled, kjer izvajalec dokaže in izrabi ranljivosti, ki jih avtomatizirana orodja ne morejo odkriti. Tovrstna testiranja lahko izvajajo le izkušeni strokovnjaki, saj je od kombinacije izkušenj in znanja odvisen rezultat testa.

 

Z varnostnim pregledom spletnih aplikacij določimo stopnjo varnosti aplikacije v danem trenutku. Poleg strežniške infrastrukture lahko napadalci izrabijo tudi ranljivosti v aplikacijah in s tem ogrozijo strežnike ali končne uporabnike.

 

Spletne aplikacije testiramo skladno z mednarodno uveljavljeno OWASP metodologijo. Varnostni pregled razkrije stopnjo varnosti spletne aplikacije in izpostavi ključne ukrepe, ki jih je potrebno izvesti za izboljšanje varnosti aplikacije.

 

Aplikacije je mogoče testirati na naslednja načina:

  • »Black-box« testiranje je opravljeno brez predhodnega znanja in se najbolj približa realnemu zlonamernemu hekerskemu napadu,
  • »Gray-box« testiranje je opravljeno s poznavanjem osnovnega delovanja aplikacije ter testnim uporabniškim računom.

Z uporabo primerljive metodologije testiramo varnost mobilnih in drugih aplikacij. Vse aplikacije so v prvem koraku testirane z uporabo namenskih, licenčnih orodij za odkrivanje varnostnih ranljivosti. V drugem koraku izvedemo poglobljen pregled, kjer se osredotočamo na logične napake aplikacije ter tiste dele, ki jih avtomatizirana orodja ne odkrijejo.

 

Cilj varnostnega pregleda je odkriti varnostne pomanjkljivosti aplikacij, komunikacijskih poti in zalednih storitev.

 

Poleg penetracijskega testa lahko izvedemo tudi varnostni pregled izvorne kode aplikacije, ki predstavlja dodano vrednost pri zagotavljanju celostne varnosti aplikacije. S pregledi naši strokovnjaki odkrivajo varnostna tveganja, ki jih s penetracijskimi testi ni mogoče odkriti. Pri tem je pomembno, da izvorno kodo preverijo neodvisni strokovnjaki, ki niso sodelovali pri razvoju aplikacije.

 

Cilj pregleda izvorne kode je identifikacija vgrajenih napak in njihova opredelitev s stališča varnosti in ranljivosti.

 

Neosveščen uporabnik je najšibkejši člen v varnostni verigi. Že nekaj napačnih klikov uporabnika lahko napadalcu omogoči, da zaobide varnostne mehanizme in pridobi dostop do internega omrežja organizacije. Zato je ključnega pomena, da so zaposleni ustrezno izobraženi in se znajo primerno odzvati na napade z uporabo socialnega inženiringa.

 

Simulacija socialnega inženiringa je kritična komponenta pri ocenjevanju stopnje informacijske varnosti, saj pripomore k identifikaciji tveganj in ranljivosti v organizaciji, ki se jih ne da odpraviti s tehničnimi rešitvami, kot so požarni zidovi ali sistemi za preprečevanje vdorov. Periodično izvajanje simulacij socialnega inženiringa organizaciji pomaga, da uspešneje prepozna resnične napade.

 

Socialni inženiring je skupek tehnik, s katerimi napadalec s pomočjo manipulacije pretenta uporabnika, da izvede določeno aktivnost. S tem lahko napadalec pridobi dostop do internih podatkov organizacije.

Scenariji socialnega inženiringa vključujejo:

  • pošiljanje elektronskih sporočil, ki vsebujejo navidezno zlonamerno povezavo,
  • pošiljanje elektronskih sporočil, ki vsebujejo navidezno zlonamerno priponko,
  • navidezno zlonamerne kopije spletnih strani,
  • napadi preko telefonskih klicev in SMS sporočil,
  • napadi z uporabo prenosnih medijev ...

 

Cilj simuliranega napada je ugotoviti odzive uporabnikov ter jih izobraziti, da znajo bolje prepoznati tovrstne napade in se nanje primerno odzvati.

 

Storitev PRO.red predstavlja najbolj realen scenarij vdora v organizacijo. Gre za nadgradnjo ponudbe penetracijskih testov in celovito obravnava elemente varnosti, ki zajema:

 

  • napredne tehnike socialnega inženiringa,
  • testiranje IKT okolja,
  • preverjanje procesov organizacije,
  • testiranje fizične varnosti.

 

Poseben poudarek namenjamo poglobljenemu, ciljanemu napadu na uporabnika, pri čemer uporabimo napredne tehnike socialnega inženiringa. Glede na zastavljene cilje, PRO.red storitev izvajamo v naslednjih sklopih:

 

  • izvedba storitve na daljavo,
  • izvedba storitve na lokaciji naročnika brez fizičnega vstopa,
  • izvedba storitve s poskusom fizičnega vstopa v organizacijo.

 

Vse aktivnosti so predhodno natančno načrtovane in usklajene z naročnikovo projektno ekipo.

 

Cilj celovitega pregleda varnosti je določitev poslovnega tveganja nedelovanja osnovne dejavnosti ali dela le te in morebiten prevzem nadzora nad ključnimi sistemi in/ali odtujitev zaupnih podatkov.

 

Strokovnjaki družbe PRO.Astec imamo na področju varnosti več kot 20-letne izkušnje. Zaupajo nam finančne institucije, storitvena podjetja, ki upravljajo kritično infrastrukturo ter javne in gospodarske družbe, kjer je neprekinjenost poslovanja in ugled ter ščitenje intelektualne lastnine poslovna prioriteta.

 

V sklopu kibernetske varnosti izvajamo naslednje storitve:

 

  • Zunanji varnostni pregled informacijskega sistema
  • Notranji varnostni pregled informacijskega sistema
  • Varnostni pregled spletne strani
  • Varnostni pregled spletne aplikacije
  • Varnostni pregled mobilne aplikacije
  • Varnostni pregled imeniških storitev
  • Varnostni pregled požarnih pregrad
  • Varnostni pregled podatkovnih skladišč
  • Varnostni pregled datotečnih storitev
  • Varnostni pregled omrežnih storitev
  • Varnostni pregled zagotavljanja neprekinjenosti poslovanja
  • Zunanji penetracijski test informacijskega sistema
  • Notranji penetracijski test informacijskega sistema
  • Penetracijski test spletne strani
  • Penetracijski test spletne aplikacije
  • Penetracijski test mobilne aplikacije
  • ASAP
  • PRO.red

 

Storitev

Penetracijski test

PRO.RED 2000

PRO.BLACK 3000

Obseg

Pregled strežnikov, storitev in aplikacij

Realističen targetiran hekerski napad

Razširjen hekerski napad tudi izven organizacije

Cilj

Prevzem nadzora nad ključnimi sistemi

Prevzem nadzora nad ključnimi sistemi in odtujitev zaupnih podatkov

Prevzem nadzora nad ključnimi sistemi in odtujitev zaupnih podatkov

Predmet napada

IKT sistemi

IKT sistemi, uporabnik

IKT sistemi, uporabnik, partnerji, domače okolje

TESTIRANJE SISTEMOV

Zbiranje informacij

Avtomatizirano iskanje ranljivosti

Potrjevanje ranljivosti

Ročni pregled ranljivosti

Izraba ranljivosti

Onemogočanje storitev

~

TESTIRANJE TER OZAVEŠČANJE UPORABNIKOV

Socialni inženiring na daljavo

Socialni inženiring na lokaciji

Ozaveščanje in izobraževanje

PREMIUM METODE

Napad na zaposlene v domačem okolju

Detektivske storitve

Dostop z uporabo sile

Kontinuirani tromesečni pregled

POROČANJE IN REZULTATI

Tehnično poročilo

Vodstveno poročilo

Predstavitev naročniku

Piškotki za analitiko
Ti se uporabljajo za beleženje analitike obsikanosti spletne strani in nam zagotavljajo podatke na podlagi katerih lahko zagotovimo boljšo uporabniško izkušnjo.
Piškotki za družabna omrežja
Piškotki potrebni za vtičnike za deljenje vsebin iz strani na socialna omrežja.
Piškotki za komunikacijo na strani
Piškotki omogočajo pirkaz, kontaktiranje in komunikacijo preko komunikacijskega vtičnika na strani.
Piškotki za oglaševanje
So namenjeni targetiranemu oglaševanju glede na pretekle uporabnikove aktvinosti na drugih straneh.
Kaj so piškotki?
Z obiskom in uporabo spletnega mesta soglašate z uporabo in beleženjem piškotkov.V redu Več o piškotkih