Advanced White-box

​​​​​​​​​​​Advanced White-box

Advanced white-box je produkt kombinující penetrační testy a Secure code review, případně další assessment služby. Cílem advanced white-box je komplexní prověření bezpečnosti vyvíjených aplikací za pomoci simulace hackerských útoků, automatizované analýzy kódu, manuálních revizí kódu a auditů.


 


Náš příběh

Jeden z našich předních klientů nás požádal o penetrační testy nově vytvářené mobilní aplikace, která spravuje finanční informace uživatelů. Jelikož byla aplikace vyvíjena dodavatelskou firmou, byly jsme klientem kromě ověření bezpečnosti požádání také o prověření dodržení kritérií, které měla aplikace dle návrhu splňovat.

Při analýze zdrojových kódů v součinnosti s penetračními testy jsme objevili několik velmi závažných zranitelností v oblasti autentizace a autorizace, díky kterým by mohl útočník přistupovat k profilovým a finančním informacím všech uživatelů produktu. Tato velmi kritická data by mohla být hackery využita například k phishingovým kampaním, mířeným na uživatele, či přímo v útocích na instituci. Pokud by tato situace nastala již za reálného provozu, hrozily by společnosti velké finanční ztráty, s nimi spojena ztráta klientské základny a poškození dobré pověsti. Protože však penetrační testy proběhly včas před publikací aplikace do reálného provozu, podařilo se tomuto závažnému incidentu zabránit.
Analýza návrhu a reálného stavu aplikace navíc poukázala na některé odchylky od smluvených požadavků, například v oblasti práce s dokumenty uživatele, jenž podléhá zákonu o GDPR, kterou dodavatel v aplikaci nedostatečně zabezpečil. Klient tak mohl v rámci smlouvy vyjednat urychlené bezplatné opravy, a ještě tak navýšit úroveň zabezpečení své mobilní aplikace.

​Po​pis řešení

Advanced White-box tvoří:

Penetrační testy

Penetrační testy jsou prováděny jako simulace hackerských útoků na síťové i aplikační úrovni prověří schopnost systémů organizace odolávat reálným kybernetickým útokům z vnějšího prostředí, ale také schopnost odolat neautorizovaným zásahům zaměstnanců, a to bez ohledu na to, jestli jednají vědomě, nebo se pouze dopustí chyby. Secure code review Bezpečnostní revize zdrojových kódů spočívá v kontrole zdrojových kódů aplikací, a to formou manuálních revizí zdrojového kódu a automatizovaných analýz pomocí SAST nástrojů.

​Secure code review 

Bezpečnostní revize zdrojových kódů spočívá v kontrole zdrojových kódů aplikací, a to formou manuálních revizí zdrojového kódu a automatizovaných analýz pomocí SAST nástrojů. ​​​

Podrobný popis

​Penetrační testy

  • ​Jsou simulací hackerských útoků na aplikace, systémy i celou infrastrukturu.
  • Využívání globálně uznávaných metodik jako je OWASP Web Security Testing Guide (WSTG) či Penetration Testing Standard (PTES). 
  • Penetrační testy provádí certifikovaní penetrační testeři podle požadovaných standardů. 
  • Prověřování bezpečnosti manuálními testy v kombinaci s pokročilými komerčními automatizovanými skenovacími nástroji, ale také vlastními nástroji z portfolia AEC toolkit. 
  • Výsledkem penetračních testů je detekce zranitelností, konfiguračních nedostatků případně odhalení poddimenzovaných prvků systému na všech vrstvách testované aplikace nebo systému.

Code review

  • ​Revize aplikací v mnoha populárních jazycích (Java, C#, PHP, …). 
  • Interní metodologie založená na zkušenostech z bezpečného vývoje i penetračních testů, opírající se o uznávané standardy projektu OWASP. 
  • Umožňuje odhalit vývojářské chyby, backdoory, chyby v návrhu, nedodržování best practices, použití slabé kryptografie a mnoho dalších zranitelných míst v aplikaci. 
  • Code review se skládá ze dvou hlavních analyzačních částí: 
    • Automatizovaná revize celého kódu pomocí open-source i proprietárních nástrojů a prověření výsledků bezpečnostním specialistou. ​
    • Manuální revize celého kódu, či jeho dílčích částí vybraných klientem či bezpečnostním specialistou. 
  • Nalezené zranitelnosti jsou podrobně popsány a jsou k nim na míru poskytnuta doporučení, která berou v potaz použitý technologický stack.

Naše přednosti 

  • ​Patříme mezi zavedené české security firmy, na trhu úspěšně působíme již déle než 30 let. 
  • Nasloucháme klientům a přizpůsobujeme služby jejich potřebám a časovým možnostem. 
  • Náš tým tvoří specialisté s bohatými zkušenostmi z oblasti vývoje i etického hackingu. 
  • Sledujeme moderní trendy v oblasti vývoje, bezpečnosti a technologií. 
  • Kombinujeme provádění penetračních testů, automatizovaných analýz zdrojových kódů, manuálních revizí a auditů pro odhalení široké škály zranitelností. 
  • Výsledné zprávy z prováděných testů obsahují podrobné popisy nalezených zranitelností a konkrétní doporučení k jejich nápravě šitými na míru použitým technologiím. 
  • Stavíme své služby na mnohaletých zkušenostech a léty prověřených standardech. ​

​Reference

Naše zkušenosti z projektů​ pro významné organizace ve svém oboru rádi sdělíme na vyžádání.

Rádi zkonzultujeme vaši konkrétní situaci


Ověření: