Naše doporučení jsou přesná a konkrétní

Jedna z největších slovenských bank procházela komplikovanou restrukturalizací infrastruktury. V rámci projektu jsme již od počátku úzce spolupracovali a disponovali jsme tak dobrou znalostí prostředí a interních standardů. Po implementaci bezpečnosti na nových systémech nám byl svěřen kompletní audit těchto systémů.

Do přípravy auditu jsme vložili nemalé úsilí úpravou vlastního auditovacího software tak, aby výsledky korespondovaly s prostředím banky a byly co nejvíce relevantní. Následně jsme doporučili nejlepší opatření pro zamezení zjištěných rizik s minimálním dopadem na průběh projektu.

Našimi znalostmi a naší věcnou konzultací během auditu jsme doporučili konkrétní nápravní opatření na míru auditované infrastruktury. Diskuze nad doporučeními tak byla značně zkrácena a audit ukončen s předstihem.

Audity systémů a zařízení

Provedli jste penetrační testy, a přesto si nejste jisti, zda je zabezpečení konkrétního serveru nebo jiné aplikační platformy dostatečné? Potřebujete důkladně prověřit zabezpečení klíčových prvků vašeho informačního systému? Řešením těchto a řady dalších problémů je provedení detailního auditu zabezpečení konkrétních systémů nebo zařízení v rámci informačního systému organizace.

Zatímco při penetračních testech se specialisté AEC staví spíše do role potenciálního útočníka, při auditech technického zabezpečení přistupují ke zkoumanému prvku spíše v roli systémového administrátora a implementátora doporučovaných opatření ke zvýšení jeho bezpečnosti. Při kontrole nastavení jednotlivých systémů využíváme znalostí a zkušeností bezpečnostních a systémových specialistů AEC, doporučení výrobců pro hardening daných systémů apod.

Všechny nalezené nedostatky jsou podrobně popsány ve zprávě z auditu. Jsou zde popsána rizika těchto zranitelností a nechybí samozřejmě i návrhy na jejich odstranění (případně minimalizaci rizika).

V rámci technických auditů poskytujeme tyto služby

• Audit konfigurace aktivních síťových prvků.
• Audit konfigurace operačních systémů na serverech.
• Audit konfigurace firewallů a systémů IDS/IPS.
• Audit bezpečnosti speciálních systémů, aplikací a služeb.

Další specializované audity

• Audity v souladu se standardy PCI-DSS a PA-DSS.
• Audity topologie a infrastruktury.

Metodika

Při realizaci bezpečnostních auditů využíváme ucelenou a průběžně aktualizovanou metodiku AEC vycházející z metodik a doporučení předních organizací zabývajících se bezpečností informačních technologií.

• Doporučení výrobců o hardeningu auditovaných HW, OS a SW.
• Doporučení organizace IETF (Internet Engineering Task Force) – organizace vydávající RFCs tzv. standardy internetu.
• Doporučení organizace NIST (např. NIST SP 800-44 Guidlines on Securing Public Web Servers).
• CVE – Common Vulnerabilities and Exposures – standardizovaný slovník obecných zranitelností a ohrožení.
• Common Criteria (ISO/IEC 15408) – standard pro hodnocení úrovně bezpečnosti systémů a další.

Přínosy řešení

• Více jak 30 let zkušeností na poli bezpečnosti v České a Slovenské republice.
• Široký tým certifikovaných auditorů a administrátorů se zkušenostmi z několika desítek provedených auditů ročně.
• Využíváme komerčních, free a také vlastních nástrojů a skriptů pro sběr dat a následnou analýzu.
• Vyhodnocení úrovně zabezpečení ICT společnosti a definice reálných rizik v kontextu předpokládaného dopadu na business.
• Provádíme audity v souladu se standardy PCI-DSS a PA-DSS.

Reference

Pokud se chcete přesvědčit o kvalitě výstupů, které Vám poskytneme, můžeme předložit vzorový report z auditů k nahlédnutí. Pokud máte zájem zjistit více o tom, jak pracujeme, neváhejte se na nás zeptat v některé z následujících společností. Jedná se pouze o vybrané a schválené reference z poslední doby.

• Volksbank
• ING bank

Pravidelně testujeme bezpečnost pro zákazníky, jako jsou T-Mobile, Komerční banka, Česká spořitelna, ČSOB, Zuno bank AG či Poštová banka.

Rádi zkonzultujeme vaši konkrétní situaci