Advanced White-box

Advanced white-box kombinuje penetračné testy a secure code review alebo ďalšie assessment služby. Cieľom advanced white-box je poskytnúť komplexné preskúmanie bezpečnosti vyvíjaných aplikácií simuláciou hackerských útokov, automatizovanej analýzy kódu, manuálnych revízií kódu a auditov.

Výhodou tejto služby je spojenie síl expertov vo viacerých bezpečnostných disciplínach, čo vedie k maximalizácii úžitku z vykonaných analýz a odhaleniu väčšieho počtu zraniteľností vrátane odhalenia skrytých hrozieb a potenciálnych slabých miest v auditovanej aplikácii. Výsledná správa z advanced white-box testov obsahuje opis zraniteľností s konkrétnymi odporúčaniami na nápravu, ktoré sú postavené na použitých technológiách.

Penetračné testy Penetračné testy sa vykonávajú ako simulácia hackerských útokov na sieťovej a aplikačnej úrovni s cieľom otestovať schopnosť systémov organizácie odolať skutočným kybernetickým útokom z vonkajšieho prostredia, ale aj schopnosť odolať neoprávneným zásahom zo strany zamestnancov bez ohľadu na to, či konajú vedome alebo len urobia chybu. 

• Simulujú útoky hackerských útokov na aplikácie, systémy a celú infraštruktúru. 
• Využívajú pritom celosvetovo uznávané metodiky, ako je napríklad príručka OWASP Web Security Testing Guide (WSTG) alebo Penetration Testing Standard (PTES). 
• Penetračné testy vykonávajú certifikovaní penetrační testeri podľa požadovaných štandardov. 
• Bezpečnostné skenovanie pomocou manuálnych testov v kombinácii s pokročilými komerčnými automatizovanými skenovacími nástrojmi, ako aj vlastnými nástrojmi z portfólia Aricoma toolkit. 
• Výsledkom penetračných testov je detekcia zraniteľností, konfiguračných chýb alebo odhalenie poddimenzovaných prvkov systému na všetkých vrstvách testovanej aplikácie alebo systému. 

Secure Code review Kontrola bezpečnosti zdrojových kódov pozostáva z kontroly zdrojových kódov aplikácií prostredníctvom manuálnych kontrol zdrojových kódov a automatizovaných analýz pomocou nástrojov SAST. 

• Revízia aplikácií v mnohých populárnych jazykoch (ASP.NET, Java, JavaScript, C#, PHP, ...).  
• Interná metodológia založená na skúsenostiach v oblasti bezpečného vývoja a penetračných testov, podporená uznávanými štandardmi projektu OWASP.  
• Umožňuje odhaliť vývojárske chyby, backdoory, chyby v návrhu, nedodržiavanie best practices, používanie slabej kryptografie a mnohé ďalšie zraniteľnosti aplikácií.  
• Code review pozostáva z dvoch hlavných častí analýzy:  
• Automatizovaná revízia celého kódu pomocou open-source a proprietárnych nástrojov a revízia výsledkov bezpečnostným špecialistom.  
• Manuálna revízia celého kódu alebo jeho čiastkových častí vybraných klientom alebo bezpečnostným špecialistom. 
• Nájdené zraniteľnosti sú podrobne opísané a sú poskytnuté odporúčania s prihliadnutím na použitý technologický stack.