Kibernetska varnost

 

Varnost informacijskih sistemov je ključnega pomena za poslovanje organizacij. Informacijsko-komunikacijski sistemi morajo biti varno načrtovani, implementirani in vzdrževani. Informacijska varnost je proces, ki potrebuje kontinuirano pozornost in ni stanje, ki ga dosežemo z enkratnim posegom. S kompleksnostjo IKT-sistemov narašča tudi verjetnost varnostnih ranljivosti. V podjetju PRO.Astec deluje širok nabor certificiranih varnostnih strokovnjakov, ki imajo dolgoletne izkušnje z izvajanjem raznovrstnih varnostnih pregledov.

 

Z opravljenim varnostnim pregledom organizacija pridobi poglobljene informacije o stopnji varnosti informacijsko-komunikacijskega sistema v danem trenutku.

 

Cilj varnostnega pregleda je identificiranje ranljivosti, ki lahko napadalcu omogočijo vplivanje na zaupnost, celovitost ali dostopnost informacij. Rezultat pregleda vsebuje tudi oceno varnostnih tveganj.

 

Zunanji varnostni pregled je namenjen odkrivanju varnostnih groženj, ki pretijo informacijski infrastrukturi, dostopni iz javnih omrežij. Varnostni pregled je izvedba kontroliranega hekerskega napada, pri katerem se ne izvajajo testi, za katere se vnaprej predvideva, da bi onemogočali delovanje produkcijskih sistemov.

 

Obseg zunanjega varnostnega pregleda:

  • spletne strani in aplikacije,
  • poštni, datotečni, imenski in imeniški, spletni in drugi strežniki,
  • storitve za oddaljen dostop,
  • uporabljeni varnostni mehanizmi ter
  • druge javno dostopne storitve organizacije.

Cilj zunanjega varnostnega pregleda je ugotoviti, kako globoko v IKT-sistem organizacije lahko prodre zunanji napadalec, ter ali obstaja možnost prevzema nadzora nad ključnimi sistemi.

 

Notranji varnostni pregled je namenjen odkrivanju varnostnih groženj, ki pretijo informacijskemu sistemu oziroma infrastrukturi iz internega omrežja organizacije. Varnostni pregled je kontrolirana simulacija hekerskega napada, pri kateri se ne izvajajo testi, za katere se vnaprej predvideva, da bi onemogočali delovanje produkcijskih sistemov.

 

Obseg notranjega varnostnega pregleda:

  • strežniška infrastruktura s poudarkom na ključnih strežnikih,
  • namenski odjemalci in spletne aplikacije,
  • mrežna infrastruktura,
  • IoT, SCADA-infrastruktura,
  • varnostni mehanizmi ter
  • druge interne storitve organizacije.

Cilj notranjega varnostnega pregleda je ugotoviti, ali lahko neavtenticiran uporabnik dostopa do ključnih sistemov in zaupnih podatkov organizacije, ter ali obstaja možnost prevzema nadzora nad ključnimi sistemi.

 

Penetracijski test je poglobljen varnostni pregled, kjer izvajalec dokaže in izrabi ranljivosti, ki jih avtomatizirana orodja ne morejo odkriti. Tovrstna testiranja lahko izvajajo le izkušeni strokovnjaki, saj je rezultat odvisen od kombinacije izkušenj in znanja testa.

 

Z varnostnim pregledom spletnih aplikacij določimo stopnjo varnosti aplikacije v danem trenutku. Poleg strežniške infrastrukture lahko napadalci izrabijo tudi ranljivosti v aplikacijah in s tem ogrozijo strežnike ali končne uporabnike.

 

Spletne aplikacije testiramo skladno z mednarodno uveljavljeno metodologijo OWASP. Varnostni pregled razkrije stopnjo varnosti spletne aplikacije in izpostavi ključne ukrepe, ki jih je treba izvesti za izboljšanje varnosti aplikacije.

 

Aplikacije je mogoče testirati na naslednja načina:

  • »Black-box« testiranje je opravljeno brez predhodnega znanja in se najbolj približa realnemu zlonamernemu hekerskemu napadu ali
  • »Gray-box« testiranje je opravljeno s poznavanjem osnovnega delovanja aplikacije ter testnim uporabniškim računom.

Z uporabo primerljive metodologije testiramo varnost mobilnih in drugih aplikacij. Vse aplikacije so v prvem koraku testirane z uporabo namenskih licenčnih orodij za odkrivanje varnostnih ranljivosti. V drugem koraku izvedemo poglobljen pregled, kjer se osredotočamo na logične napake aplikacije ter tiste dele, ki jih avtomatizirana orodja ne odkrijejo.

 

Cilj varnostnega pregleda je odkriti varnostne pomanjkljivosti aplikacij, komunikacijskih poti in zalednih storitev.

 

Poleg penetracijskega testa lahko izvedemo tudi varnostni pregled izvorne kode aplikacije, ki predstavlja dodano vrednost pri zagotavljanju celostne varnosti aplikacije. S pregledi naši strokovnjaki odkrivajo varnostna tveganja, ki jih s penetracijskimi testi ni mogoče odkriti. Pri tem je pomembno, da izvorno kodo preverijo neodvisni strokovnjaki, ki niso sodelovali pri razvoju aplikacije.

 

Cilj pregleda izvorne kode je identifikacija vgrajenih napak in njihova opredelitev s stališča varnosti in ranljivosti.

 

Neosveščen uporabnik je najšibkejši člen v varnostni verigi. Že nekaj napačnih klikov uporabnika lahko napadalcu omogoči, da zaobide varnostne mehanizme in pridobi dostop do internega omrežja organizacije. Zato je ključnega pomena, da so zaposleni ustrezno izobraženi in se znajo primerno odzvati na napade z uporabo tehnike socialnega inženiringa.

 

Simulacija socialnega inženiringa je kritična komponenta pri ocenjevanju stopnje informacijske varnosti, saj pripomore k identifikaciji tveganj in ranljivosti v organizaciji, ki se jih ne da odpraviti s tehničnimi rešitvami, kot so požarni zidovi ali sistemi za preprečevanje vdorov. Periodično izvajanje simulacij socialnega inženiringa organizaciji pomaga, da uspešneje prepozna resnične napade.

 

Socialni inženiring je skupek tehnik, s katerimi napadalec s pomočjo manipulacije pretenta uporabnika, da izvede določeno aktivnost. S tem lahko napadalec pridobi dostop do internih podatkov organizacije.

Scenariji socialnega inženiringa vključujejo:

  • pošiljanje elektronskih sporočil, ki vsebujejo navidezno zlonamerno povezavo,
  • pošiljanje elektronskih sporočil, ki vsebujejo navidezno zlonamerno priponko,
  • navidezno zlonamerne kopije spletnih strani,
  • napade preko telefonskih klicev in SMS sporočil ter
  • napade z uporabo prenosnih medijev.

 

Cilj simuliranega napada je ugotoviti odzive uporabnikov ter jih izobraziti, da znajo bolje prepoznati tovrstne napade in se nanje primerno odzvati.

 

Storitev PRO.red predstavlja najbolj realen scenarij vdora v organizacijo. Gre za nadgradnjo ponudbe penetracijskih testov in celovito obravnava elemente varnosti. Storitev PRO.red zajema:

 

  • napredne tehnike socialnega inženiringa,
  • testiranje IKT-okolja,
  • preverjanje procesov organizacije ter
  • testiranje fizične varnosti.

 

Poseben poudarek namenjamo poglobljenemu, ciljanemu napadu na uporabnika, pri čemer uporabimo napredne tehnike socialnega inženiringa. Glede na zastavljene cilje, storitev PRO.red izvajamo v naslednjih sklopih:

 

  • izvedba storitve na daljavo,
  • izvedba storitve na lokaciji naročnika brez fizičnega vstopa ali
  • izvedba storitve s poskusom fizičnega vstopa v organizacijo.

 

Vse aktivnosti so predhodno natančno načrtovane in usklajene z naročnikovo projektno ekipo.

 

Cilj celovitega pregleda varnosti je določitev poslovnega tveganja nedelovanja osnovne dejavnosti ali dela le-te in morebiten prevzem nadzora nad ključnimi sistemi in/ali odtujitev zaupnih podatkov.

 

Strokovnjaki družbe PRO.Astec imamo na področju informacijske varnosti več kot 20-letne izkušnje. Zaupajo nam finančne institucije, storitvena podjetja, ki upravljajo kritično infrastrukturo ter javne in gospodarske družbe, kjer so neprekinjeno poslovanje, ugled ter ščitenje intelektualne lastnine poslovna prioriteta.

 

V sklopu kibernetske varnosti izvajamo naslednje storitve:

 

  • zunanji varnostni pregled informacijskega sistema,
  • notranji varnostni pregled informacijskega sistema,
  • varnostni pregled spletne strani,
  • varnostni pregled spletne aplikacije,
  • varnostni pregled mobilne aplikacije,
  • varnostni pregled imeniških storitev,
  • varnostni pregled požarnih pregrad,
  • varnostni pregled podatkovnih skladišč,
  • varnostni pregled datotečnih storitev,
  • varnostni pregled omrežnih storitev,
  • varnostni pregled zagotavljanja neprekinjenega poslovanja,
  • zunanji penetracijski test informacijskega sistema,
  • notranji penetracijski test informacijskega sistema,
  • penetracijski test spletne strani,
  • penetracijski test spletne aplikacije,
  • penetracijski test mobilne aplikacije,
  • ASAP ter
  • PRO.red.

 

storitev

penetracijski test

PRO.red 2000

PRO.black 3000

obseg

pregled strežnikov, storitev in aplikacij

realističen targetiran hekerski napad

razširjen hekerski napad tudi izven organizacije

cilj

prevzem nadzora nad ključnimi sistemi

prevzem nadzora nad ključnimi sistemi in odtujitev zaupnih podatkov

prevzem nadzora nad ključnimi sistemi in odtujitev zaupnih podatkov

predmet napada

IKT-sistemi

IKT sistemi in uporabniki

IKT-sistemi, uporabniki, partnerji, domače okolje

TESTIRANJE SISTEMOV

zbiranje informacij

avtomatizirano iskanje ranljivosti

potrjevanje ranljivosti

ročni pregled ranljivosti

izraba ranljivosti

onemogočanje storitev

~

TESTIRANJE TER OZAVEŠČANJE UPORABNIKOV

socialni inženiring na daljavo

socialni inženiring na lokaciji

ozaveščanje in izobraževanje

DODATNE NAPREDNE METODE

napad na zaposlene v domačem okolju

detektivske storitve

dostop z uporabo sile

kontinuirani trimesečni pregled

POROČANJE IN REZULTATI

tehnično poročilo

vodstveno poročilo

predstavitev naročniku

Piškotki za analitiko
Ti se uporabljajo za beleženje analitike obsikanosti spletne strani in nam zagotavljajo podatke na podlagi katerih lahko zagotovimo boljšo uporabniško izkušnjo.
Piškotki za družabna omrežja
Piškotki potrebni za vtičnike za deljenje vsebin iz strani na socialna omrežja.
Piškotki za komunikacijo na strani
Piškotki omogočajo pirkaz, kontaktiranje in komunikacijo preko komunikacijskega vtičnika na strani.
Piškotki za oglaševanje
So namenjeni targetiranemu oglaševanju glede na pretekle uporabnikove aktvinosti na drugih straneh.
Kaj so piškotki?
Z obiskom in uporabo spletnega mesta soglašate z uporabo in beleženjem piškotkov.V redu Več o piškotkih