Bezpieczeństwo systemów - Usługi

Inspekcja kodu źródłowego oraz analiza architektury systemu

Bezpieczeństwo oraz stabilność działania to dziś kluczowe atrybuty wielu systemów informatycznych. Te dwa aspekty w istotny sposób wpływają na postrzeganie firmy przez jej klientów. Usługa inspekcji kodu źródłowego ma na celu analizę stosowanych zabezpieczeń w aplikacji oraz ocenę ich jakości.

Kto potrzebuje?

Organizacje tworzące systemy, w których bezpieczeństwo i stabilność działania jest kluczowym elementem oraz potrzebujące zewnętrznego audytu aplikacji pod kątem wymienionych aspektów.

Korzyści:

Inspekcja kodu źródłowego oraz analiza architektury systemu pod kątem bezpieczeństwa i stabilności pozwoli na:

  • wykrycie ukrytych błędów w aplikacji
  • ocenę, czy aplikacja tworzona jest z dbałością o aktualne wytyczne związane z bezpieczeństwem
  • ocenę, czy aplikacja jest napisana zgodnie z dobrymi praktykami programowania
  • sprawdzenie, jak aplikacja zachowuje się pod dużym obciążeniem lub w innych nietypowych sytuacjach

Zakres usługi:

Usługa obejmuje audyt kodu źródłowego aplikacji, na który składa się:

  • automatyczna analiza kodu za pomocą wybranych narzędzi w celu wykrycia typowych błędów programistycznych mających wpływ na bezpieczeństwo rozwiązania
  • analiza wybranych fragmentów kodu przez naszych ekspertów celem wykrycia luk zabezpieczeń
  • ocena jakości architektury oraz metod zabezpieczeń wraz z propozycjami ich poprawy
  • testowanie obciążeniowe wybranych funkcji aplikacji
  • testowanie zabezpieczeń wybranych funkcji aplikacji

Przebieg realizacji usługi:

Etap I - analiza potrzeb

  • na poziomie organizacji: zaangażowanie kadry menadżerskiej wyższego szczebla
  • na poziomie zespołów produkcyjnych: zaangażowanie grupy reprezentatywnej dla wszystkich grup stanowiskowych zaangażowanych w wytwarzanie produktu

Cel: diagnoza stanu obecnego

Etap II - przedstawienie scenariusza działania

  • zakres działania
  • czas realizacji
  • narzędzia i metody realizacji usługi
  • harmonogram działań i milestones
  • szanse i ryzyka
  • kryteria sukcesu

Etap III - realizacja usługi

Etap IV - raport podsumowujący i spotkanie zamykające proces

Zakres raportu po przeprowadzonej inspekcji:

  • kryteria użyte podczas inspekcji
  • wskazanie, czy w aplikacji znajdują się typowe błędy zagrażające poprawnej pracy aplikacji oraz wskazówki, jak te błędy usunąć
  • ocena, czy aplikacja spełnia wymogi dotyczące zabezpieczeń oraz wskazówki jak je poprawić i podnieść
  • rekomendacje dotyczące obecnej architektury rozwiązania
  • raport z testów działania aplikacji (przy dużym obciążeniu, penetracyjnych)

Uwagi

  • czas trwania inspekcji zależy od jej zakresu oraz rozmiaru aplikacji
  • usługę realizujemy zarówno dla aplikacji z interfejsem WWW/REST, usług typu klient-serwer oraz samodzielnych aplikacji działających na różnych platformach (systemy uniksopodobne, Microsoft Windows, platformy mobilne, rozwiązania IoT) i wykonanych w różnych technikach (Java, PHP, Python, C++, C itp.)

Piotr Nazimek Opiekun merytoryczny

Absolwent Wydziału Elektroniki i Technik Informacyjnych Politechniki Warszawskiej, gdzie w 2012 roku obronił doktorat z obszaru niezawodności systemów komputerowych. Zawodowo pracuje od 2003 roku. Interesuje się szeroko pojętym bezpieczeństwem systemów komputerowych oraz inżynierią oprogramowania. Pracuje w projektach wykorzystujących karty elektroniczne takich jak systemy płatnicze i transportowe. Tworzył oprogramowanie dla bankomatów i terminali POS, realizował projekty kart miejskich w Białymstoku, Tarnowie, Poznaniu i Krakowie oraz projektował i weryfikował zabezpieczenia, a także wdrażał sprzętowe moduły bezpieczeństwa w aplikacjach płatności elektronicznych. Bierze udział w pracach Komitetu Technicznego Nr 172 ds. Kart Identyfikacyjnych przy Polskim Komitecie Normalizacyjnym. Prowadzi szkolenia z zakresu praktycznego stosowania kryptografii w systemach komputerowych. Wolny czas spędza na wyprawach rowerowych i w górach.




Testy penetracyjne

Wdrażane lub działające już systemy mogą stać się celem ataku, którego skutki mogą być bardzo dotkliwe zarówno dla użytkowników jak i właściciela rozwiązania. Usługa ma na celu przeprowadzenie kontrolowanych ataków na systemy informatyczne celem wyszukania luk oraz słabych punktów.

Kto potrzebuje?

  • firmy wdrażające, zarządzające i zamawiające aplikacje w środowisku sieciowym, dla których ważne jest bezpieczeństwo i niezawodność działania.
  • niezależne przeprowadzone testy penetracyjne wraz z raportem są przydatne przy odbiorach systemów lub ich okresowym przeglądzie.

Korzyści:

  • zwiększenie bezpieczeństwa rozwiązania poprzez wyszukanie i wskazanie potencjalnych luk oraz słabych punktów
  • wyeliminowanie źródeł zagrożenia

Przebieg realizacji usługi:

Etap I - przygotowanie

  • analiza architektury i użytych technologii
  • analiza kodu źródłowego
  • analiza konfiguracji serwera aplikacji
  • ankietowanie osób odpowiedzialnych za tworzenie aplikacji

Etap II - przeprowadzenie ataków na aplikację

Etap III - podsumowanie przeprowadzonych ataków

  • raport z interpretacją wyniku i analizą ryzyka
  • wnioski oraz rekomendacje dotyczące testowanego systemu
  • skorygowanie wykrytych nieprawidłowości

Uwagi

  • usługa obejmuje wszystkie aplikacje z interfejsem WWW od logiki interfejsu po logikę dostępu do systemu baz danych
  • usługę realizujemy dla systemów wykonanych w różnych technologiach

Sebastian Chmielewski Opiekun merytoryczny

Sebastian kontakt z komputerami zaczął od C64 i pierwszych dem pisanych w asemblerze. Obecnie zajmuje się techniczną stroną testowania - testami wydajności, bezpieczeństwa i automatyzacją. Wykonywał testy penetracyjne systemów bankowości internetowej, rozwiązań Big Data używanych przez instytucje finansowe i hydroelektrownie, klastra HPC, chmury AWS, platformy do budowy programowych robotów i aplikacji mobilnych Android i iOS. Miłośnik systemu FreeBSD, prostych rozwiązań i lekkich narzędzi.




Audyt zabezpieczeń infrastruktury sieciowej

Bezpieczna infrastruktura sieciowa jest niezbędnym elementem zapewniającym efektywne i ciągłe działanie współczesnej organizacji. Usługa polega na analizie zabezpieczeń infrastruktury sieciowej w kontekście bezpieczeństwa zasobów oraz przetwarzanych danych.

Kto potrzebuje?

Organizacje, które chcą zweryfikować oraz zwiększyć bezpieczeństwo swojej infrastruktury sieciowej lub są na etapie jej budowy i zależy im na wypracowaniu optymalnego i bezpiecznego rozwiązania.

Korzyści:

  • trwałe zwiększenie bezpieczeństwa IT w infrastrukturze sieciowej organizacji

Zakres usługi:

Usługa obejmuje sieci LAN/WLAN/WAN oraz systemy operacyjne działające w ich infrastrukturze.

Przebieg realizacji usługi:

Etap I

  • szczegółowy audyt istniejącej lub projektowanej infrastruktury sieciowej

Etap II

  • raport wskazujący możliwe rozwiązania zwiększające bezpieczeństwo sieci

Etap III

  • wsparcie w konfiguracji infrastruktury sieciowej oraz systemów operacyjnych

Zakres usługi:

Usługa obejmuje sieci LAN/WLAN/WAN oraz systemy operacyjne działające w ich infrastrukturze.


Krzysztof Cabaj Opiekun merytoryczny

Krzysztof jest certyfikowanym instruktorem kursów Cisco związanych z sieciami komputerowymi (Cisco Certified Network Associate i Cisco Certified Network Professional) oraz bezpieczeństwem sieci komputerowych (Network Security, wcześniej Fundaments of Network Security). Od wielu lat prowadzi kursy z tematów takich jak sieci komputerowe, bezpieczeństwo systemów i sieci oraz techniki internetowe. Aktywnie uczestniczy w pracach grupy badawczej bezpieczeństwa sieciowego przy Instytucie Telekomunikacji Politechniki Warszawskiej. W Sages jest odpowiedzialny za kursy związane z tematyką sieci komputerowych, w szczególności bezpieczeństwa sieciowego. W listopadzie 2009 obronił doktorat na wydziale Elektroniki i Technik Informacyjnych, gdzie aktualnie jest zatrudniony w Instytucie Informatyki na stanowisku adiunkta. Jego zainteresowania naukowe związane są z bezpieczeństwem sieciowym, systemami HoneyPot oraz możliwością wykorzystania metod eksploracji danych.




Wsparcie w projektowaniu bezpiecznych rozwiązań IT

Usługa ma na celu wsparcie w projektowaniu bezpiecznych rozwiązań IT w kontekście wyboru poprawnych zabezpieczeń sprzętowych oraz programowych. Wczesne wykrycie nieprawidłowych rozwiązań pozwoli na uniknięcie dodatkowych kosztów związanych ze zmianą infrastruktury sprzętowej lub oprogramowania.

Kto potrzebuje?

Zespoły przystępujące do realizacji zadania, w którym istotne będzie bezpieczeństwo w kontekście oprogramowania, sprzętu oraz konfiguracji.

Korzyści:

  • wytworzenie bezpiecznego rozwiązania informatycznego poprzez dobór właściwych i wydajnych rozwiązań
  • przyspieszenie implementacji oraz wdrożenia systemu dzięki wsparciu merytorycznemu oraz wykonawczemu
  • wczesne wykrycie nieprawidłowych rozwiązań pozwoli na uniknięcie dodatkowych kosztów związanych ze zmianą infrastruktury sprzętowej lub oprogramowania

Zakres usługi:

  • doradztwo w zakresie poprawnego wyboru zabezpieczeń sprzętowych i programowych w systemach informatycznych
  • analiza proponowanych zabezpieczeń w odniesieniu do aktualnych wymagań
  • analiza projektowanej architektury sprzętowo-implementacyjnej rozwiązania w kontekście bezpieczeństwa

Przebieg realizacji usługi:

Etap I

  • analiza potrzeb w zakresie wsparcia

Etap II

  • doradztwo merytoryczne przy projektowaniu rozwiązania zarówno w zakresie infrastruktury jak i oprogramowania

Etap III

  • asysta w implementacji lub konfiguracji elementów rozwiązania

Uwagi:

Przebieg usługi jest zależy od wymagań oraz systemu projektowanego przez Klienta.


Nasi eksperci

Krzysztof Cabaj

Sebastian Chmielewski

Piotr Nazimek