Zadaj pytanie

Odpowiemy na Twoje pytanie z największą przyjemnością!
Wiemy wszystko o bezpieczeństwie informacji i komunikacji IP więc możesz śmiało pisać. Zapraszamy!

Twoje dane

Interesują mnie usługi z zakresu*

Twoja wiadomość*

Ogólne Informacje

Testy bezpieczeństwa to jeden ze sposobów weryfikacji skuteczności rozwiązań mających na celu ochronę informacji oraz organizacji przed zagrożeniami. Testy skupiają sie na identfikacji problemów bezpieczeństwa w badanych aplikacjach lub infrastrukturze oraz próbie wykorzystania stwierdzonych podatności w taki sposób, aby uzyskać nieuprawniony dostęp do źle chronionych informacji lub zdalnie przejąć kontrolę nad systemami organizacji. Testy mogą obejmować zarówno aplikacje webowe, mobilne, jak i dedykowane rozwiązania aplikacyjne, a także infrastrukturę serwerową, wirtualną bądź urządzenia sieciowe (LAN / WLAN) czy mobilne.

Podejście do realizacji prac zależy od oczekiwań Klienta i może bazować na tzw. metodyce black-box, zakładającej minimalną wiedzę zespołu testującego o badanym systemie; metodyce white-box, zakładającej dostęp do kodu źródłowego badanego systemu oraz do jego dokumentacji; metodyce grey-box, zakładającej ograniczony dostęp do wiedzy na temat badanego rozwiązania (np. tylko do jego dokumentacji lub do fragmentów kodu źródłowego w celu weryfikacji występowania podatności).

 Celem testów może być identyfikacja możliwie wielu podatności bezpieczeństwa w badanej infrastrukturze (jest to tzw. analiza podatności, ang. Vulnerability Assessment), lub realizacja założonego scenariusza ukierunkowanego np. na zdobycie wskazanych cennych informacji lub przełamanie zabezpieczeń krytycznego systemu (są to tzw. testy penetracyjne, ang. Penetration Tests).

Szczególnym rodzajem testów są testy socjotechniczne, podczas których identyfikowane i wykorzystywane są zarówno podatności techniczne, jak i braki występujące w świadomości organizacji oraz jej personelu. W czasie testów socjotechnicznych wykorzystywane są metody na co dzień stosowane przez grupy przestępcze, jednak przy założeniu, że użyte techniki nie spowodują dla organizacji szkody.

W toku testów bezpieczeństwa wykorzystywane są zarówno komercyjne, jak i darmowe narzędzia wspierające pracę zespołu. Jego siłą jest jednak zdolność do ręcznej analizy mechanizmów bezpieczeństwa bez ograniczeń narzucanych przez gotowe rozwiązania. Pozwala to na osiągnięcie wysokiej jakości wyników testów oraz na eliminację tzw. false positives czyli problemów błędnie zdiagnozowanych przez automatyczne programy.

Takie podejście do realizacji testów możliwe jest dzięki bogatemu doświadczeniu zespołu w dziedzinie projektowania, budowania, walidacji oraz inżynierii wstecznej szerokiego spektrum rozwiązań ICT, a także praktycznej znajomości protokołów sieciowych, licznych języków oprogramowania (wysko i niskopoziomowych) oraz rozmaitych technologii – zarówno tych nowoczesnych, jak i legacy.

Efektem prac zespołu jest raport prezentujący zidentyfikowane podatności, omawiający i obrazujący sposoby ich wykorzystania, opisujący towarzyszące im ryzyka, oraz zawierający rekomendacje, których realizacja ma na celu ograniczenie negatywnych skutków wykorzystania błędów bezpieczeństwa i – przede wszystkim – wyeliminowanie ich przyczyn. Wysoką jakość raportów (zarówno w wersji polskiej, jak i angielskiej) zapewnia proces quality assurance, w toku którego materiał poddawany jest krytycznej ocenie zarówno w warstwie merytorycznej, językowej, jak i formalnej.

Gdy organizacja wdroży rekomendacje, przeprowadzany jest re-test, mający na celu zweryfikowanie skuteczności zastosowanych poprawek. Na zakończenie tego etapu sporządzany jest raport finalny dokumentujący stan bezpieczeństwa badanego rozwiązania.

Cykliczne testy bezpieczeństwa są sposobem na stałe podnoszenie poziomu ochrony przy zachowaniu efektywności kosztowej w zakresie doboru mechanizmów bezpieczeństwa. Są też elementem tzw. Cyklu Życia Systemu IT (ang. Systems Development Life Cycle – SDLC) dzięki czemu mogą być zaplanowane z góry i pozytywnie wpływać na przebieg prac projektowych. 

Niewątpliwą zaletą regularnej oceny bezpieczeństwa systemów tą metodą jest także możliwość spełnienia oczekiwań nałożonych przez regulacje lub przjęte standardy.

Obszary działania

Bezpieczeństwo
Informacji
Efektywne funkcjonowanie firmy wymaga sprawnego i bezpiecznego systemu informatycznego.
zabezpiecz swoją firmę
Apius Technologies
Komunikacja
IP
Bezpieczna i łatwa w obsłudze komunikacja IP to efektywne i mądre zarządzanie.
usprawnij komunikacje w swojej firmie

Zobacz także

Close
Search

Wyszukaj
hasło