Audyty bezpieczeństwa

mis² proponuje swoim Klientom usługi z zakresu bezpieczeństwa infrastruktury IT:

Analiza podatności:

Analiza podatności to najprostsza i najszybciej przynosząca wyniki usługa sprawdzająca, czy komponenty teleinformatyczne, usługi sieciowe czy też serwis internetowy nie posiada znanych luk bezpieczeństwa, które mogą być wykorzystane do przełamania istniejących zabezpieczeń. Analiza taka polega na skonfigurowaniu, a następnie uruchomieniu pod kontrolą specjalisty oprogramowania, które w sposób automatyczny weryfikuje wszystkie znane i opublikowane podatności. Oprogramowanie skanujące w krótkim czasie może wykonać testy nawet dla około 100 000 znanych podatności. Wiele światowych standardów i regulacji zaleca przeprowadzać analizę podatności regularnie co 3 miesiące.

Najważniejsze zalety przeprowadzenia analizy przez konsultantów mi:

  • odpowiednio skonfigurowanie oprogramowania ograniczające do minimum możliwość niekontrolowanego „wyłączenia lub uszkodzenia” badanego komponentu
  • zweryfikowanie autentyczności wskazanych przez oprogramowanie podatności
  • przedstawienie raportu z faktycznie występującymi zagrożeniami wraz ze wskazaniem poziomu zagrożenia oraz opisaniem prac jakie należy wykonać aby je wyeliminować

Testy penetracyjne:

Test penetracyjny jest to kontrolowany atak na infrastrukturę teleinformatyczną, przeprowadzany w celu oceny bieżącego stanu bezpieczeństwa. W ramach testu weryfikowane jest czy wskazane podatności za pomocą np. automatycznego skanera można wykorzystać i przejąć kontrolę nad badanym komponentem teleinformatycznym. Podczas przeprowadzania testu dokonywana jest analiza wykorzystywanego środowiska co pozwala wskazać również błędy spowodowane niewłaściwą konfiguracją usługi bądź istniejącymi błędami w oprogramowaniu. Test penetracyjny weryfikuje podatności, które nie są jeszcze zaimplementowane w narzędziach automatycznych oraz te, których narzędzia nigdy nie sprawdzą ze względu na brak możliwości zaimplementowania w nich odpowiedniej inteligencji.

W zależności od wiedzy osób testujących dane środowisko, testy można przeprowadzić posiadając pełną wiedzę o badanych komponentach (tzw. White Box – model, w którym klient przekazuje pełne informacje o badanym środowisku osobom testującym) oraz bez posiadania takiej wiedzy, co odzwierciedla próbę ataku przeprowadzaną przez hackerów (tzw. Black Box – model, w którym osoby testujące posiadają tylko adres IP lub nazwę domeny testowanej). W zależności od potrzeb klienta testy przeprowadzane mogą być z wnętrza sieci organizacji lub zdalnie, od strony Internetu.

Test penetracyjny infrastruktury IT dotyczy usług realizowanych w infrastrukturze (np. DNS, DHCP, FTP) oraz urządzeń w niej działających (drukarki, telefony VOIP, switche, firewall).

W większości przypadków testów prace wykonuje się według poniżej wskazanej kolejności:

  • Zbieranie informacji o badanym środowisku
  • Analiza działających usług, otwartych portów
  • Analiza podatności , np. przy wykorzystaniu narzędzia automatycznego
  • Penetracja słabości, próba ich wykorzystania (np. exploity)
  • Próba zwiększenia uprawnień użytkownika
  • Analiza komunikacji sieciowej zachodzącej między komponentami
  • Analiza połączeń zdalnych wykonywanych przez administratorów
  • Próba otwarcia „tylnych drzwi”, tylnego dostępu do badanego środowiska
  • Próba usunięcia śladów logowania, aktywności użytkownika
  • Próba wyłączenia wewnętrznych zabezpieczeń typu antywirus, firewall

Test penetracyjny strony internetowej najczęściej przeprowadza się zgodnie z wytycznymi organizacji OWASP. Organizacja ta wskazuje TOP 10 najczęściej występujących podatności w aplikacjach webowych.

Najważniejsze zalety przeprowadzenia testów przez konsultantów mi:

  • dobranie do testów osób o odpowiednich kwalifikacjach
  • wykonanie realnych prób wykorzystania wszystkich wykrytych podatności
  • postępowanie według międzynarodowych standardów
  • zweryfikowanie autentyczności wskazanych przez oprogramowanie podatności
  • przedstawienie raportu z faktycznie występującymi zagrożeniami wraz ze wskazaniem poziomu zagrożenia oraz opisaniem prac jakie należy wykonać aby je wyeliminować
  • gwarancja wysokiej jakości realizacji prac

Analiza bezpieczeństwa konfiguracji usług IT:

Odpowiednia konfiguracja komponentów informatycznych ma bardzo ważne znaczenie dla wydajności usługi i jej bezpieczeństwa. Analiza bezpieczeństwa konfiguracji elementów infrastruktury IT, takich jak np. serwera DNS, systemu Firewall, bazy danych, przeprowadzona przez osobę znającą dany komponent pozwala wskazać słabe jej punkty, mogące powstać np. w wyniku zaniedbania administratora, braku jego wiedzy bądź też z braku odpowiedniej ilości czasu na zapoznanie się ze specyfikacją.

Bardzo ważne jest aby przeglądu konfiguracji dla wszystkich krytycznych systemów działających w organizacji dokonywany był raz w roku.

Zarządzanie ciągłością działania

Organizacja w swoim codziennym funkcjonowaniu narażona jest na wystąpienie sytuacji, która może spowodować nagłe przerwanie działalności. Nawet krótkotrwała utrata zdolności operacyjnej może mieć wpływ na wynik finansowy firmy. Dlatego organizacja ceniąca Klientów powinna dbać o zapewnienie ciągłości działania swoich usług. Zarządzanie ciągłością biznesową (Business Continuity Management) oznacza przygotowanie organizacji na różnego rodzaju zdarzenia, które mogą spowodować przerwanie realizacji procesów, od awarii systemów IT zaczynając, przez niedostępność budynków, a na epidemiach chorób, klęskach żywiołowych, czy atakach terrorystycznych kończąc. BCM polega na ograniczaniu bezpośrednich lub pośrednich strat wynikających z braku możliwości realizacji procesów krytycznych wskutek incydentu, który spowodował przerwanie tych procesów.

Konsultanci mi mogą pomóc w:

  • opracowaniu polityki zarządzania ciągłością działania
  • zbudowaniu procesu zarządzania ciągłością
  • opracowaniu struktury zarządzania ciągłością
  • pomocy w przeprowadzeniu analizy wpływu na biznes (identyfikacja procesów i ryzyk, wycena krytyczności procesów, określenie zasobów potrzebnych do odtworzenia procesów)
  • opracowaniu strategii, procedur postępowania w przypadku zaistnienia zdarzenia
  • stworzeniu planów ciągłości działania
  • wsparciu w testowaniu planów awaryjnych

Doradztwo i konsultacje:

Istotą usług doradczych jest zapewnienie wsparcia właściwym procesom biznesowym, co pozawala na sprawne zarządzanie organizacją. Działania te obejmują czynności związane z określeniem potrzeb technologicznych danej firmy, planowaniem rozwoju, doborem i wdrożeniem odpowiedniej infrastruktury informatycznej, jaki i zarządzanie już istniejącą. Doradztwo IT oferowane przez mi obejmuje bardzo szeroki zakres działań.

Konsultanci mi mogą pomóc między innymi w:

  • opracowaniu i wdrożeniu polityki bezpieczeństwa informacji
  • opracowaniu strategii organizacji i obszaru IT
  • opracowaniu zasad współpracy biznesu z obszarami IT, w określeniu ról i obowiązków
  • opracowaniu zasad prowadzenia projektów
  • opracowaniu zasad zarządzania incydentami
  • opracowaniu zasad współpracy z zewnętrznymi dostawcami usług IT
  • doborze odpowiednich środków bezpieczeństwa
  • ustaleniu i opisaniu zasad zarządzania infrastrukturą teleinformatyczną
  • wdrożeniu procesu do zarządzania zmianą w systemach informatycznych
  • zbudowaniu wewnętrznego centrum wsparcia użytkowników (Service Desk)
  • wdrożeniu wybranych procesów ITIL
  • pomocy we wdrożeniu wytycznych wskazanych przez Komitet Nadzoru Finansowego (Rekomendacja D dla Banków, wytyczne dla zakładów ubezpieczeń)

Jeżeli któryś z obszarów jest dla Twojej organizacji interesujący to zapraszamy do kontaktu z  mi . Chętnie odpowiemy na wszystkie pytania.