Naše odporúčania sú presné a konkrétne

Jedna z najväčších slovenských bánk prechádzala komplikovanou reštrukturalizáciou infraštruktúry. V rámci projektu sme už od počiatku úzko spolupracovali a disponovali sme tak dobrou znalosťou prostredia a interných štandardov. Po implementácii bezpečnosti na nových systémoch nám bol zverený kompletný audit týchto systémov.

Do prípravy auditu sme vložili nemalé úsilie úpravou vlastného auditovacieho softvéru tak, aby výsledky korešpondovali s prostredím banky a boli čo najviac relevantné. Následne sme odporúčali najlepšie opatrenia na zamedzenie zistených rizík s minimálnym dopadom na priebeh projektu.

Našimi znalosťami a našou vecnou konzultáciou behom auditu sme odporúčali konkrétne nápravné opatrenia na mieru auditovanej infraštruktúre. Diskusia nad odporúčaniami tak bola značne skrátená a audit ukončený s predstihom.

Audity systémov a zariadení

Urobili ste penetračné testy, a napriek tomu si nie ste istí, či je zabezpečenie konkrétneho serveru alebo inej aplikačnej platformy dostatočné? Potrebujete dôkladne preveriť zabezpečenie kľúčových prvkov vášho informačného systému? Riešením týchto a mnohých ďalších problémov je vykonanie detailného auditu zabezpečenia konkrétnych systémov alebo zariadení v rámci informačného systému organizácie.

Zatiaľ čo pri penetračných testoch sa špecialisti AEC stavajú skôr do roly potenciálneho útočníka, pri auditoch technického zabezpečenia pristupujú ku skúmanému prvku skôr v role systémového administrátora a implementátora odporúčaných opatrení na zvýšenie jeho bezpečnosti. Pri kontrole nastavenia jednotlivých systémov využívame znalosti a skúsenosti bezpečnostných a systémových špecialistov AEC, odporúčania výrobcov pre hardening daných systémov a pod.

Všetky nájdené nedostatky sú podrobne opísané v správe z auditu. Sú tu opísané riziká týchto zraniteľností a nechýbajú, samozrejme, ani návrhy na ich odstránenie (prípadne minimalizáciu rizika).

V rámci technických auditov poskytujeme tieto služby

• Audit konfigurácie aktívnych sieťových prvkov.
• Audit konfigurácie operačných systémov na serveroch.
• Audit konfigurácie firewallov a systémov IDS/IPS.
• Audit bezpečnosti špeciálnych systémov, aplikácií a služieb.

Ďalšie špecializované audity

• Audity v súlade so štandardmi PCI-DSS a PA-DSS.
• Audity topológie a infraštruktúry.

Metodika

Pri realizácii bezpečnostných auditov využívame ucelenú a priebežne aktualizovanú metodiku AEC vychádzajúcu z metodík a odporučení popredných organizácií zaoberajúcich sa bezpečnosťou informačných technológií.

• Odporúčania výrobcov týkajúce sa hardeningu auditovaných HW, OS a SW.
• Odporúčania organizácie IETF (Internet Engineering Task Force) – organizácie vydávajúcej RFCs, tzv. štandardy internetu.
• Odporúčania organizácie NIST (napr. NIST SP 800-44 Guidlines on Securing Public Web Servers).
• CVE – Common Vulnerabilities and Exposures – štandardizovaný slovník všeobecných zraniteľností a ohrození.
• Common Criteria (ISO/IEC 15408) – štandard pre hodnotenie úrovne bezpečnosti systémov a ďalšie.

Prínosy riešení

• Viac ako 20 rokov skúseností na poli bezpečnosti v Českej a Slovenskej republike.
• Široký tím certifikovaných audítorov a administrátorov so skúsenosťami z niekoľkých desiatok vykonaných auditov ročne.
• Využívame komerčné, free a tiež vlastné nástroje a skripty na zber dát a následnú analýzu.
• Vyhodnotenie úrovne zabezpečenia ICT spoločnosti a definície reálnych rizík v kontexte predpokladaného dopadu na business.
• Vykonávame audity v súlade so štandardmi PCI-DSS a PA-DSS.

Referencie

Ak sa chcete presvedčiť o kvalite výstupov, ktoré Vám poskytneme, môžeme predložiť vzorový report z auditov na nahliadnutie. Ak máte záujem zistiť viac o tom, ako pracujeme, neváhajte sa na nás spýtať v niektorej z nasledujúcich spoločností. Ide iba o vybrané a schválené referencie z poslednej doby.

• Volksbank
• ING bank

Pravidelně testujeme bezpečnost pro zákazníky, jako jsou T-Mobile, Komerční banka, Česká spořitelna, ČSOB, Zuno bank AG či Poštová banka.

Radi skonzultujeme vašu konkrétnu situáciu