PL | EN
Używamy plików cookies. Korzystanie z serwisu oznacza zgodę na ich używanie.
STRONA GŁÓWNA
Znajdujesz się: Strona główna Usługi Przykładowy audyt bezpieczeństwa

Usługi

Zadzwoń 801 011 395
Usługi

Przykładowy audyt bezpieczeństwa

Ikaria Tytanem Sprzedaży ESET 2018!
Ikaria Tytanem Sprzedaży ESET 2018!
TOP10 dostawców rozwiązań Eset.
Z radością informujemy, że po raz kolejny, Ikaria została uhonorowana statuetką Tytana Sprzedaży ESET!
Ikaria wspiera maluchy z Tuli Luli
Ikaria wspiera maluchy z Tuli Luli
Zbiórka funduszy na dzieci z Ośrodka Preadopcyjnego Tuli Luli w Łodzi
Zespół Ikarii po raz kolejny wykazał się inicjatywą i obdarował maluchy z Ośrodka Tuli Luli.
Ikaria Gold Partnerem Fortinet
Ikaria Gold Partnerem Fortinet
Miło nam poinformować, że dołączyliśmy do grona Gold Partnerów firmy Fortinet.
Status GOLD jest potwierdzeniem wysokich kompetencji i doświadczeń firmy w zakresie sprzedaży i wsparcia technologii Fortinet.
Nowa strona o UTM
Nowa strona o UTM
Wszystkie informacje na temat technologii UTM w jedym miejscu.
Na stronie znaleźć można informacje opracowane przez naszych specjalistów na temat technologii każdego z czołowych producentów UTM.
Konkurs Bezpieczny Uczeń
Konkurs Bezpieczny Uczeń
Ikaria sponsorem konkursu informatycznego dla młodzieży.
Nasza firma od lat pomaga zwiększyć świadomość młodych internautów i chętnie wspiera inicjatywy związane z bezpieczeństwem w sieci.
JAKOŚĆ POD KONTROLĄ
JAKOŚĆ POD KONTROLĄ
Analizujemy Wasze opinie
W 2016 roku 97% klientów było zadowolonych z naszej obsługi, a 88% zostało z nami na kolejny rok.
Ikaria obchodzi jubileusz 15-lecia założenia firmy
Ikaria obchodzi jubileusz 15-lecia założenia firmy
Świętujemy urodziny!
Przez 15 lat zdobyliśmy doświadczenie i unikalną wiedzę ekspercką, stając się tym samym liderem branży.
Nowa strona produktowa Fortinet
Nowa strona produktowa Fortinet
Pragniemy poinformować, że ruszyła nasza nowa strona internetowa www.fortigate.pl
Najlepsze dowcipy IT 2014
Najlepsze dowcipy IT 2014
Konkurs 10 parówek rozstrzygnięty
Zobacz, który dowcip wygrał konkurs i kto zgarnął Sony PlayStation®4 + dodatkowy kontroler DualShock®4.
CHRONIMY KLIENTÓW BANKU PEKAO S.A.
CHRONIMY KLIENTÓW BANKU PEKAO S.A.
Specjalna oferta dla klientów banku
Ikaria dostarcza ochronę dla 210000 klientów banku PEKAO S.A.
IKARIA POMAGA
IKARIA POMAGA
Dlatego, że silni powinni pomagać słabszym
Pomagamy potrzebującym. Od 2010 roku współpracujemy z organizacją Habitat for Humanity.
IKARIA i TEDx
IKARIA i TEDx
Wspieramy łódzką edycję
Ikaria była oficjalnym sponsorem łódzkiej edycji konferencji TEDx.
LEPIEJ SIĘ ZABEZPIECZ
LEPIEJ SIĘ ZABEZPIECZ
Chronimy również Twój komputer domowy
Zapraszamy do największego sklepu z antywirusami w Internecie!

Etap planowania

Przed uruchomieniem produkcyjnym portalu służącemu obsłudze klientów korporacyjnych, instytucja finansowa zleciła wykonanie testu bezpieczeństwa.

Ustalono, że testy obejmować będą:

  • aplikację www (portal),
  • infrastrukturę (system operacyjny, serwer aplikacyjny, serwer www),
  • sieć (w której znajduje się portal www).

Etap realizacji

Dwutygodniowe testy wykonywane były metodą:

  • blackbox dla aplikacji i sieci (bez kodu źródłowego aplikacji, bez znajomości konfiguracji urządzeń sieciowych),
    • whitebox dla infrastruktury (ze znajomością konfiguracji komponentów infrastruktury).

    W znacznej mierze testy prowadzone były zdalnie, co umożliwiło nieabsorbowanie pracowników Zlecającego.

    Na bieżąco tworzone były raporty zawierające informacje o zlokalizowanych błędach bezpieczeństwa, a w trybie natychmiastowym zgłaszane były podatności krytyczne. Umożliwiło to naprawę najistotniejszych błędów jeszcze przed ukończeniem testu.

    Większość prac wykonywała była zdalnie, a komunikacja odbywała się z wykorzystaniem poniższych środków wysokiej ostrożności:

    • wykorzystanie szyfrowanej poczty e-mail,
    • przechowywanie poufnych informacji tylko w formie szyfrowanej (na dyskach twardych jak i na pendrive),
    • trwałe usuwanie poufnych danych (zarówno jeśli chodzi o formę elektroniczną i papierową).

    Etap korekty

    Instytucja finansowa otrzymała precyzyjny raport podatności zawierający dokładny opis każdego ze znalezionych błędów bezpieczeństwa (łącznie z opisem naprawy).
    Znaleziono błędy m.in.: następującej klasy:

    • SQL injection (umożliwiające pełen nieautoryzowany dostęp do bazy danych z poziomu Internetu),
    • Persistent XSS (umożliwiające m.in. zautomatyzowane przejmowanie kont innych użytkowników),

  • Authorization bypass (umożliwiające pełen dostęp do dokumentów, które dostępne powinny być tylko dla odpowiednich, zalogowanych użytkowników),
  • Wykorzystanie nieaktualnej wersji oprogramowania serwera aplikacyjnego (umożliwiające zastopowanie działania całego portalu z poziomu Internetu - atak klasy DoS).

Ponadto znaleziono mniej powszechne błędy, np.:

  • silnik wyszukiwawczy google zawierał zindeksowane strony portalu działające w trybie debug (w google cache wykryto dostępne dokładne komunikaty o błędach, umożliwiające określenie oprogramowania działającego w ramach portalu. Błąd umożliwia dokładne zaplanowanie ataku, bazując na informacjach, które powinny być dostępne tylko dla programistów portalu),
  • Dostawca oprogramowania utrzymywał w swojej infrastrukturze niezabezpieczoną, dostępną z poziomu Internetu, testową wersję portalu (potencjalny atakujący mógł łatwo odnaleźć podatności na niezabezpieczonym systemie, a następnie wykonać skuteczny atak na realnym, lustrzanym systemie instytucji finansowej).

Etap ponownego sprawdzania

Dostawca oprogramowania na bieżąco wprowadzał poprawki do wdrażanego systemu. Wszystkie poprawki były ponownie sprawdzane - pod względem swojej skuteczności.


Wnioski

Wykonując test bezpieczeństwa, organizacja finansowa odniosła następujące korzyści:

  • znacznie zwiększyła bezpieczeństwo danych przetwarzanych w portalu (poprzez usunięcie wykrytych w portalu krytycznych błędów bezpieczeństwa),
  • znacznie zmniejszyła ryzyko utraty reputacji (zagrożenie tego typu istnieje np. w przypadku przejęcia kontroli nad portalem przez grupy hackerskie),
  • podniosła poziom wiedzy dotyczący bezpieczeństwa IT swoich pracowników (kolejny wdrażany system będzie mógł być szeroko i szybciej zabezpieczony),
  • zwiększyła wiarygodność biznesową. Partnerzy biznesowi otrzymali informację o wykonanym z powodzeniem audycie bezpieczeństwa,
  • na podstawie otrzymanego raportu, organizacja wdrożyła inne zabezpieczenia, chroniące portal www przed nieznanymi zagrożeniami płynącymi z Internetu.

Oprogramowanie:

Hardware:

Usługi:

Klienci:

Wsparcie:

Kariera:

Kontakt:

Inne:

Facebook Ikaria Ankieta