Advanced White-box
Nabízíme detailní analýzu aplikací. Kombinací znalostí z penetračních testování a analýzy kódů dokážeme poukázat na problémy, které se při využití jen jedné z metod nemusí projevit.
Advanced white-box kombinuje penetrační testy a secure code review, případně další assessment služby. Cílem advanced white-box je komplexní prověření bezpečnosti vyvíjených aplikací za pomoci simulace hackerských útoků, automatizované analýzy kódu, manuálních revizí kódu a auditů.
Výhodou služby je spojení sil expertů v několika bezpečnostních disciplínách, které vede k maximalizaci užitku z provedených analýz a odhalení většího množství zranitelností, a to včetně detekce skrytých hrozeb a potenciálně slabých míst v auditované aplikaci. Výsledná zpráva z advanced white-box testů obsahuje popis zranitelností s konkrétními doporučeními k jejich nápravě, jež jsou stavěny na míru použitým technologiím.
Výhodou služby je spojení sil expertů v několika bezpečnostních disciplínách, které vede k maximalizaci užitku z provedených analýz a odhalení většího množství zranitelností, a to včetně detekce skrytých hrozeb a potenciálně slabých míst v auditované aplikaci. Výsledná zpráva z advanced white-box testů obsahuje popis zranitelností s konkrétními doporučeními k jejich nápravě, jež jsou stavěny na míru použitým technologiím.
Advanced White-box tvoří:
Penetrační testy Penetrační testy jsou prováděny jako simulace hackerských útoků na síťové i aplikační úrovni prověří schopnost systémů organizace odolávat reálným kybernetickým útokům z vnějšího prostředí, ale také schopnost odolat neautorizovaným zásahům zaměstnanců, a to bez ohledu na to, jestli jednají vědomě, nebo se pouze dopustí chyby.
Secure Code review Bezpečnostní revize zdrojových kódů spočívá v kontrole zdrojových kódů aplikací, a to formou manuálních revizí zdrojového kódu a automatizovaných analýz pomocí SAST nástrojů.
- Jsou simulací hackerských útoků na aplikace, systémy i celou infrastrukturu.
- Využívání globálně uznávaných metodik jako je OWASP Web Security Testing Guide (WSTG) či Penetration Testing Standard (PTES).
- Penetrační testy provádí certifikovaní penetrační testeři podle požadovaných standardů.
- Prověřování bezpečnosti manuálními testy v kombinaci s pokročilými komerčními automatizovanými skenovacími nástroji, ale také vlastními nástroji z portfolia Aricoma toolkit.
- Výsledkem penetračních testů je detekce zranitelností, konfiguračních nedostatků případně odhalení poddimenzovaných prvků systému na všech vrstvách testované aplikace nebo systému.
Secure Code review Bezpečnostní revize zdrojových kódů spočívá v kontrole zdrojových kódů aplikací, a to formou manuálních revizí zdrojového kódu a automatizovaných analýz pomocí SAST nástrojů.
- Revize aplikací v mnoha populárních jazycích (ASP.NET, Java, JavaScript, C#, PHP, …).
- Interní metodologie založená na zkušenostech z bezpečného vývoje i penetračních testů, opírající se o uznávané standardy projektu OWASP.
- Umožňuje odhalit vývojářské chyby, backdoory, chyby v návrhu, nedodržování best practices, použití slabé kryptografie a mnoho dalších zranitelných míst v aplikaci.
- Code review se skládá ze dvou hlavních analyzačních částí:
- Automatizovaná revize celého kódu pomocí open-source i proprietárních nástrojů a prověření výsledků bezpečnostním specialistou.
- Manuální revize celého kódu, či jeho dílčích částí vybraných klientem či bezpečnostním specialistou.
- Nalezené zranitelnosti jsou podrobně popsány a jsou k nim na míru poskytnuta doporučení, která berou v potaz použitý technologický stack.
Přínosy
- Vysoká kvalita plynoucí z white-box metodologie testování i spojení znalostí penetračního testera a vývojáře.
- Získáte přehled o tom, jaké zranitelnosti se v systémech nacházejí, a to včetně konkrétních míst ve zdrojovém kódu i konkrétních doporučení k jejich zabezpečení.
- Odhalíme specifické zranitelnosti, které by při běžných penetračních testech nebylo mnohdy možné odhalit z důvodu časových omezení.
Tisk do PDF
-
Pro Škoda Auto jsme provedli audity a sofistikované penetrační testy k identifikaci zranitelnosti -
Bezpečnost klientů i zaměstnanců ČSOB jsme zdokonalili nejen díky penetračním testům -
Realizace penetračních testů pro zdokonalení bezpečnosti společnosti ING -
Služby vzdělávání v oblasti kybernetické bezpečnosti pro desítky zaměstnanců společnosti OTE -
V T-Mobile jsme provedli bezpečnostní testy a audity -
Školeními zvyšujeme povědomí o kybernetické bezpečnosti zaměstnancům společnosti Broker Consulting -
V Deutsche Telekom (T-Systems) pokrýváme oblasti kybernetické bezpečnosti. -
Díky penetračním testům v Konica Minolta jsme efektivně identifikovali a opravili zranitelnost firmy -
Realizace bezpečnostních auditů a penetračních testů pro společnost ČEZ -
Zvýšení kybernetické bezpečnosti ve Fakultní nemocnici Hradec Králové
-
Křehkost IT systémů a nebezpečí jediné chyby
-
Umělá inteligence jako zbraň v rukou útočníků. Naučme se je odhalit.
-
Jak oživit bezpečnostní školení a udělat čtení dokumentů zábavnějším?
-
Školením uživatelů eliminujme novou taktiku kybernetických útoků. Jako ve fotbale.
-
Co zatím dokáží AI jazykové modely?
-
Nebezpečná rychlost
-
O.MG USB kabely a jejich použití v praxi, máme se čeho bát?
-
Vlna vishingu
-
Zachytili jsme novou plošnou phishing-malware kampaň
-
Juice Jacking
-
Masivní nárůst cílených útoků, deepfake i hacktivismus
-
Smítko
-
Ponaučení z jednoho předvánočního pokusu o podvod
-
Neusnadňujte hackerům přístup ke své peněžence
-
Dělám phishing
-
Pozor na Janet Jackson
-
Jak se bránit phishingu?
-
Našich softwarových security specialistů si IBM opravdu váží
-
Jak to chodí v ransomware gangu
-
Preventivní doporučení týkající se bezpečnostních hrozeb
-
Nechovejme se jako hackeři
NEVÁHEJTE, KONTAKTUJTE NÁS.
Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?