Σκοπός της υπηρεσίας αυτής είναι η διενέργεια αξιολόγησης – αποτίμησης της ασφάλειας του πληροφοριακού συστήματος και των δικτυακών υποδομών και υπηρεσιών ενός οργανισμού, με την διεξαγωγή δοκιμών παρείσδυσης σε όλο το εύρος της δικτυακής υποδομής που περιλαμβάνει συστήματα, εφαρμογές, δικτυακό εξοπλισμό, web εφαρμογές και βάσεις δεδομένων.
Εντοπίζονται οι ευπάθειες (και οι κίνδυνοι που αυτές επιφέρουν) στην ασφάλεια των πληροφοριακών συστημάτων του οργανισμού με τον τρόπο που αυτά καλύπτουν τις σημερινές επιχειρησιακές του ανάγκες εξετάζοντας:
- Αν και κατά πόσο είναι ευάλωτες σε επιθέσεις.
- Πιθανά προβλήματα ασφάλειας τα οποία θα ήταν δυνατόν να εκμεταλλευτούν κακόβουλα είτε από το εσωτερικό ή το εξωτερικό χώρο του οργανισμού.
Το πλαίσιο και η μεθοδολογία εφαρμογής της υπηρεσίας εξασφαλίζει την απρόσκοπτη λειτουργία του οργανισμού, καθώς επίσης την εμπιστευτικότητα και εχεμύθεια των αποτελεσμάτων.
Η Υπηρεσία αυτή περιλαμβάνει:
- Την καταγραφή των πόρων και των πληροφοριακών συστημάτων του οργανισμού.
- Την αποτίμηση – αξιολόγηση της ασφάλειας του δικτύου.
- Τη διεξαγωγή δοκιμών παρείσδυσης και αξιολόγηση ευπαθειών για όσα τα μηχανογραφικά συστήματα και υποδομές του οργανισμού.
- Την εκπαίδευση του προσωπικού, στην μεθοδολογία διενέργειας ελέγχων τρωτότητας και τη χρήση των ειδικών εργαλείων που χρησιμοποιούνται.
- Την προετοιμασία των υφιστάμενων μηχανισμών ασφάλειας της εταιρείας για την αποτελεσματική διερεύνηση παραβιάσεων ασφάλειας (forensic readiness).
Δομικά στοιχεία της υπηρεσίας:
- Καταγραφή και αποτίμηση κινδύνου (Risk analysis – Risk assessment).
- Εξωτερικές δοκιμές παρείσδυσης χωρίς γνώση (Black box external penetration testing).
- Εσωτερικές δοκιμές παρείσδυσης χωρίς γνώση (Black box internal penetration testing).
- Εξωτερικές δοκιμές παρείσδυσης με γνώση (White box external penetration testing).
- Εσωτερικές δοκιμές παρείσδυσης με γνώση (White box internal penetration testing).
Μεθοδολογία
Η μεθοδολογία διεξαγωγής των δοκιμών παρείσδυσης βασίζεται σε διαθέσιμους ανιχνευτές ασφάλειας (security scanners). Αξιολογείται αρχικά μέσω τεχνικών αποτίμησης κινδύνων ποιοι είναι οι κρίσιμοι πόροι του οργανισμοί και αναπτύσσεται ένα μοντέλο επίθεσης (customised attack pattern) προσαρμοσμένο για τα συστήματα του οργανισμού, προκειμένου να ελεγχθεί η αποτελεσματικότητα γνωστών επιθέσεων. Το μοντέλο επίθεσης δεν περιορίζεται σε υψηλό επίπεδο διάγνωσης αδυναμιών, αλλά στόχος είναι να αναγνωρίζει κινδύνους οποιουδήποτε επιπέδου.
Η μεθοδολογία που εφαρμόζεται περιλαμβάνει τα παρακάτω στάδια:
- Προσδιορισμός των κρίσιμων συστημάτων και των εφαρμογών.
- Διερεύνηση πληροφοριών για τα συστήματα-στόχους.
- Ανίχνευση των συστημάτων-στόχων για ανοικτές υπηρεσίες και θύρες επικοινωνίας.
- Διερεύνηση για τεχνικές αδυναμίες.
- Εκμετάλλευση των αδυναμιών.
Η InnoSec έχει ως βασική αρχή την παροχή υπηρεσιών ασφάλειας χωρίς καμία έκπτωση στην ποιότητά τους. Επιπλέον, η κοστολόγηση των υπηρεσιών αυτών προκύπτει μετά από την αξιολόγηση κάθε οργανισμού ξεχωριστά, σύμφωνα με το εύρος των πληροφοριακών συστημάτων του, τον όγκο των δεδομένων, το μέγεθός του και την οργανωτική του δομή.
Επικοινωνήστε μαζί μας για να προετοιμάσουμε μια κοστολόγηση – προσφορά, προσαρμοσμένη στις ανάγκες του οργανισμού σας.