zamknięte

Ochrona

Co oferujemy:

1. Testowanie bezpieczeństwa sieci:

  • Zewnętrzne testy penetracyjne;
    Ta aktywność obejmuje rodzaj ataku, którego przestępca użyje do zdalnej eskalacji uprawnień. Używamy potężnego oprogramowania, a ten rodzaj testów penetracyjnych może skutkować odmową systemu (DOS) i niemożnością użycia wyznaczonych celów przez klienta.
  • Wewnętrzne testy penetracyjne.
    Tego typu atak powinien być przeprowadzany zarówno zdalnie, jak i w siedzibie klienta, aby symulować scenariusz, w którym sprawca ma dostęp do sieci wewnętrznej. Te scenariusze działają ręka w rękę.

2. Testowanie bezpieczeństwa aplikacji;

Jeśli aplikacja jest wewnętrzna, możemy symulować dowolny scenariusz, aby jak najlepiej dopasować go do aplikacji klienta.

3. Testy penetracyjne aplikacji mobilnych;

Te testy są wykonywane na niestandardowych urządzeniach w celu przetestowania i przetestowania konkretnej aplikacji mobilnej i mogą dostarczyć bardzo przydatnej wiedzy programistom mobilnym. Nasz zespół może współpracować z firmą zajmującą się tworzeniem oprogramowania, aby zapewnić najbardziej zaawansowaną ochronę aplikacji.

4. Testowanie penetracyjne aplikacji internetowych;

Te testy są wykonywane zdalnie dla konkretnej aplikacji i mogą dostarczyć bardzo przydatnej wiedzy dla programistów internetowych. Nasz zespół może współpracować z firmą zajmującą się tworzeniem oprogramowania, aby zapewnić najbardziej zaawansowaną ochronę dla aplikacji internetowych.

5. Testowanie bezpieczeństwa fizycznego i sieci bezprzewodowych w siedzibie klienta;

Te testy są wykonywane w zakresie sieci bezprzewodowej za pomocą określonych narzędzi (również bardzo wydajnych). Sieć bezprzewodowa jest zwykle słabym punktem Awhile'a, a większość dużych firm, w tym banki i inne instytucje finansowe, zaniedbuje konsolidację. Sieć bezprzewodowa może stanowić punkt wejścia dla atakującego i powinna być uważana za bardzo ważną.

6. Szkolenie pracowników Klienta.

  • Ataki socjotechniczne (SEA) są obecnie jednymi z najpopularniejszych.
    SEA NIE jest atakiem cybernetycznym. To włamanie, gdy haker na przykład podszywa się pod kogoś godnego zaufania (na przykład: inżyniera IT firmy), aby znaleźć kluczowe informacje o sieci (zwykle identyfikator logowania i hasło). Dobry pracownik powinien przestrzegać kilku prostych zasad, ale te zasady dostarczone przez nasz zespół należy uznać za kluczowe, aby zapewnić ochronę danych firmy.
  • Szkolenie użytkowników końcowych jest również kluczowe, ponieważ WSZYSTKIE inne środki okażą się bezużyteczne, jeśli młody stażysta przekaże swoje dane hakerowi.
  • Za pomocą prostego wyszukiwania w Google, Facebooku i Instagramie haker może użyć skryptu do wygenerowania listy haseł, aby brutalnie złamać konto pracownika. Na przykład hasło takie jak pet-name_date_of_birth można zhakować w ciągu kilku sekund po szybkim wyszukiwaniu.

II. Co robimy:

1. Wyczerpujące spotkanie z klientem w celu zaproponowania najlepszego pakietu usług, który zaspokoi jego potrzeby.

2. zdalne wykrywanie systemu:

  • weryfikujemy z klientem własność odkrytych aktywów (IP)
    rekonesans
  • identyfikacja luk i słabych punktów bezpieczeństwa.

3. atak*:

  • uzyskać nieautoryzowany dostęp do danych organizacji!
  • modyfikujemy/rozszerzamy publiczne exploity (exploit to fragment kodu, który narusza ochronę celu. Zazwyczaj może dać atakującemu powłokę, możliwość użycia wiersza poleceń do odczytu, zapisu, usuwania danych), aby dopasować je do rzeczywistych celów!
  • wszystko zgodnie z zaleceniami określonymi w normach NIST 800-115 i ISO 27001;
  • zdalnie lub lokalnie w siedzibie klienta.

4. raport / ocena ryzyka:

  • szczegółowy raport działań wykonanych na celu(ach). Raporty te mają charakter techniczny i są zazwyczaj przeznaczone dla programistów oprogramowania klienta w celu złagodzenia ryzyka i rozwiązania luk w zabezpieczeniach);
  • określenie wpływu naruszenia bezpieczeństwa (WYSOKI / ŚREDNI / NISKI);
  • wniosek – Jest to zasadniczo nietechniczny raport przeznaczony dla dyrektora generalnego firmy w celu zrozumienia rzeczywistych scenariuszy i problemów, które wykryliśmy podczas audytu.

5. zalecenia

  • terminowy raport wiodących rozwiązań rynkowych w celu uzyskania najlepszej ochrony przed audytem.

6. Opinie klientów

  • kluczowy krok, ponieważ ponosimy odpowiedzialność za dane klienta i musimy mieć pewność, że klient zrozumiał każdą część audytu i podejmie odpowiednie środki w celu zastosowania się do naszych zaleceń.

III. Jakie koszty są związane**:

Możemy zapewnić praktycznie każdy rodzaj usługi, który odpowiada rzeczywistym potrzebom klienta

  • Lekki / Podstawowy: jedynie ogólne sprawdzenie witryny / aplikacji / sieci wewnętrznej, po którym następuje raport podsumowujący i kilka zaleceń;
  • Normalny: kompleksowa ocena klienta z wykorzystaniem najpopularniejszych metod, w poszukiwaniu najczęściej występujących luk, wszystko na poziomie standardowym;
  • Dokładny/Zaawansowany: długoterminowe badanie, obejmujące niemal wszystkie możliwości ataku + plus kompleksowy raport + plus precyzyjne zalecenia
  • Szczegółowa: ta ocena ma zastosowanie w szczególnych przypadkach, gdy klient chce zbadać aplikację, witrynę, system operacyjny, oprogramowanie, z którego korzysta (lub grupę takich rzeczy), sieć wewnętrzną (cokolwiek konkretnego);
  • Szkolenie: ten unikalny pakiet zapewnia pracownikom klienta wiedzę specjalistyczną, która pozwala ograniczyć błędy ludzkie i ataki socjotechniczne.

Załącznik A: Szczegóły dotyczące luk w zabezpieczeniach i ich łagodzenie:

Skala oceny ryzyka – zgodnie z NIST 800-30

  • Domyślne słabe poświadczenia
  •  Ponowne użycie hasła
  • Wspólne hasło administratora
  • Zarządzanie poprawkamiStrefa DNZ Transfer
  • Domyślne pliki Apache
  • Segmentacja sieci
  • Czynnik ludzki

* OS – wszystkie testy i działania są przeprowadzane w kontrolowanych warunkach
** Kształtujemy ostateczną cenę na podstawie liczby celów i wymaganych metod testowania. Z przyjemnością przedstawimy wycenę Twojego projektu.

zamknięte
wpisz znaki, aby wyszukać...
zamknięte