Technologinio pažeidžiamumo vertinimo paslaugos

Technologinio pažeidžiamumo (įsilaužimo testavimo) vertinimas padės organizacijoms įsivertinti:

• Išorinio kompiuterinio tinklo (perimetro) sistemų pažeidžiamumus (saugumo spragas), jų išnaudojimo galimybes ir keliamą riziką pagal „black box“ metodiką
• Internetinių tinklalapių (angl. web aplikacijų) taikomųjų programų ir paslaugų, serviso konfigūracijų pažeidžiamumus (saugumo spragas), jų išnaudojimo galimybes ir keliamą riziką
• Vidinio kompiuterinio tinklo, informacinių sistemų ir kompiuterizuotų darbo vietų, taip pat bevielio tinklo pažeidžiamumus (saugumo spragas), jų išnaudojimo galimybes ir keliamą riziką pagal „white box“ metodiką
• Programinio kodo, jo architektūros ir jo komponentų, bibliotekų modulių, taip pat autentifikacijos mechanizmo, prieigų valdymo, kenksmingo įvesties valdymo, kriptografijos, duomenų apsaugos pažeidžiamumus (saugumo spragas), jų išnaudojimo galimybes ir keliamą riziką

Nustačius pažeidžiamumus atliekamas įsilaužimo testavimas. Pažeidžiamumų vertinimas ir įsilaužimų testavimas yra atliekamas naudojant pažeidžiamumų ir įsilaužimų testavimo metodiką.

Atsižvelgiant į nustatytus pažeidžiamumus (saugumo spragas) yra įvertinamos jų išnaudojimo galimybės ir keliama rizika pagal „CVSSv3.1“ metodiką, bei pateikiamos detalios pažeidžiamumų šalinimo rekomendacijos.

• Parengiame ir suderiname pirminį pažeidžiamumo vertinimo ir įsilaužimo testavimo planą ir grafiką
• Surenkame viešai prieinamą informaciją apie išorinį tinklą ir atliekame prievadų ir paslaugų automatizuotą skanavimą, siekiant nustatyti pažeidžiamumus
• Nustatę pažeidžiamumus atliekame rankinį šių pažeidžiamumų vertinimą (įsilaužimų testavimą)
• Atliekame internetinių tinklalapių (angl. web aplikacijų) taikomųjų programų ir paslaugų, serviso konfigūracijų automatizuotą skanavimą ir nustatytų pažeidžiamumų vertinimą (įsilaužimų testavimą)
• Automatizuotomis priemonėmis ir rankiniu būdu atliekame vidinio kompiuterinio tinklo, informacinių sistemų ir kompiuterizuotų darbo vietų, taip pat bevielio tinklo pažeidžiamumus vertinimą ir įsilaužimų testavimą, tiek turint vartotojo teises, tiek jų neturint
• Automatizuotomis priemonėmis ir rankiniu būdu atliekame vidinio kompiuterinio tinklo, informacinių sistemų ir kompiuterizuotų darbo vietų, taip pat bevielio tinklo pažeidžiamumus vertinimą ir įsilaužimų testavimą, tiek turint vartotojo teises, tiek jų neturint;
• Esant poreikiui, atliekame programinio kodo, jo architektūros ir jo komponentų, bibliotekų modulių, taip pat autentifikacijos mechanizmo, prieigų valdymo, kenksmingo įvesties valdymo, kriptografijos, duomenų apsaugos auditą (saugumo vertinimą)
• Parengiame technologinio pažeidžiamumų vertinimo (įsilaužimo testavimo) ataskaitą, kurioje detaliai aprašome nustatytus pažeidžiamumus (saugumo spragas), pateikiame jų aptikimą patvirtinančius įrodymus, nustatome jų išnaudojimo galimybes ir įvertiname rizikos lygį. Šioje ataskaitoje prie kiekvieno pažeidžiamumo (saugumo spragos) pateikiame detalias rekomendacijas jiems pašalinti

• Nustatytas ir suderintas technologinio pažeidžiamumų vertinimo (įsilaužimo testavimo) objektas (-ai) ir apimtis
• Parengtas ir suderintas planas ir grafikas. Suderinamas išorinio ir vidinio testavimo grafikas, siekiant nesutrikdyti organizacijos veiklos
• Surinkta informacija. Surinkta informacija iš organizacijos išorinio tinklo ir kitų viešai prieinamų šaltinių
• Atliktas išorinio kompiuterinio tinklo (perimetro) sistemų skanavimas ir saugumo vertinimas. Testuojamoms sistemoms atliktas automatizuotas prievadų skanavimas, siekiant nustatyti jų teikiamas paslaugas. Nustačius pažeidžiamumus atliekas rankinis pažeidžiamumų patikrinimas pagal „OWASP“ metodiką
• Atliktas internetinių tinklalapių (angl. web aplikacijų) skanavimas ir saugumo vertinimas. Įvertintos identifikuotos paslaugos (servisai) ir nustatyti egzistuojantys pažeidžiamumai
• Atliktas vidinio kompiuterinio tinklo, informacinių sistemų ir kompiuterizuotų darbo vietų bei bevielio tinklo saugumo vertinimas
• Atliktas programinio kodo saugumo vertinimas
• Įvertintas pažeidžiamumų išnaudojimas. Įvertintos saugumo spragos, kurios gali būti panaudotos priėjimui prie sistemų ar duomenų gauti
• Įvertintos rizikos. Atliktas pažeidžiamumų rizikos įvertinimas naudojant „CVSSv3.1“ metodiką
• Parengtos rekomendacijos. Parengtos detalios rekomendacijas pažeidžiamumams pašalinimui

Nauda

• Nustatyta, ar organizacijos išorinis kompiuterinio tinklas (perimetras) yra saugus
• Nustatyta, ar organizacijos vidinis kompiuterinis tinklas, informacinės sistemos ir kompiuterizuotos darbo vietos ir bevielis tinklas yra saugus
• Nustatyta, ar informacinių sistemų, internetinių tinklalapių (angl. web aplikacijų) ir mobiliųjų aplikacijų programinis kodas yra saugus
• Nustatyti organizacijoje neefektyviai veikiantys arba neveikiantys IT bei informacijos saugos ir kibernetinio saugumo valdymo procesai
• Prioretizuoti veiksmai nustatytoms saugumo spragoms pašalinti

• AB „Klaipėdos energijos“ technologinio pažeidžiamumo vertinimo paslaugos