FAQ

CZYM JEST FUZZOWANIE APLIKACJI?

Termin fuzzowanie (fuzzing, fault injector) odnosi się do aktywności mającej na celu wykrycie podatności testowanej aplikacji. Fuzzowanie to proces zautomatyzowany bądź częściowo zautomatyzowany, w ramach którego dochodzi do wielokrotnej manipulacji danych wejściowych dostarczanych do aplikacji oraz obserwacji reakcji aplikacji na te dane. Jeżeli podczas przetwarzania zmutowanych danych wystąpi wyjątek, można stwierdzić, iż podatność została wykryta.

CO TO SĄ TESTY PENETRACYJNE?

Termin ten odnosi się do testów, których celem jest wykrycie podatności systemów informatycznych, mogących stanowić przyczynę utraty kontroli nad poufnością, integralnością i dostępnością do przetwarzanych danych.

Testy penetracyjne pozwalają zweryfikować odporność środowiska informatycznego organizacji na próby przełamania zabezpieczeń. Wykonywane są zarówno z Internetu, jak i sieci prywatnej. Dzięki symulacji rzeczywistych ataków możliwa jest identyfikacja obszarów stanowiących zagrożenie dla bezpieczeństwa i poufności danych, a także mogących zakłócić ciągłość świadczenia usług biznesowych. Zakres testów uzależniony jest od struktury organizacji oraz wykorzystywanych systemów.

JAKIE TYPY TESTÓW PENETRACYJNYCH MOŻNA WYRÓŻNIĆ?

Najbardziej popularnym podziałem testów bezpieczeństwa jest trójstopniowy podział wg poziomu wiedzy o celu posiadanej przez atakującego.

BLACK-BOX - są to testy, w których początkowo zespół testerów nie posiada żadnej wiedzy o celu, którego testy dotyczą. Cel zostaje po prostu wskazany. W tym modelu testy rozpoczynają się od fazy rekonesansu, czyli zbierania informacji o celu. Następnie, wykorzystując uzyskaną w ten sposób wiedzę, możliwe jest płynne przejście do fazy skanowania i przełamywania zabezpieczeń.

GRAY-BOX - testy, w których zespół testerów wyjściowo posiada pewien niewielki zakres informacji o celu – mogą to być dane dotyczące adresacji, używanych systemów zabezpieczeń, systemów operacyjnych, elementów aktywnych sieci komputerowej czy startowy zestaw uprawnień w systemie. W zależności od kompletności informacji, w takim przypadku faza rekonesansu jest bardzo ograniczona lub całkowicie pomijana.

WHITE-BOX - zespół testerów posiada pełną wiedzę o celu, a faza rekonesansu jest całkowicie pomijana. Wszelkie możliwe dane, pozyskiwane w innych modelach testów w fazie rekonesansu, są przekazywane przez klienta. Dalsze prace przebiegają w sposób analogiczny do pozostałych typów.

NA CZYM POLEGAJĄ TESTY PROFILOWANE?

Testy profilowane polegają na opracowaniu, przygotowaniu i przeprowadzeniu spersonalizowanego ataku na organizację z wykorzystaniem wszystkich dostępnych metod, włączając w to ataki socjotechniczne, przełamywanie zabezpieczeń fizycznych oraz wyspecjalizowane ataki techniczne. Atak ma być jak najbardziej zbliżony do rzeczywistej próby przełamania zabezpieczeń firmy. Testowane obszary obejmują systemy informatyczne, procedury bezpieczeństwa oraz świadomość pracowników w zakresie sposobów ochrony. Cele testów są wybierane w taki sposób, aby ich osiągnięcie było dużym zagrożeniem dla organizacji.

W niektórych przypadkach klient sam określa cel, który ma zostać osiągnięty, na przykład: 

  • Pozyskanie danych kadrowo-płacowych.

  • Zdobycie poświadczeń administratora domeny.

  • Podtrzymanie dostępu.

  • Kompromitacja poczty pracowników o znaczeniu strategicznym.

  • Uzyskanie dostępu do sieci przemysłowej (SCADA).

  • Kradzież krytycznych dokumentów.

Testy profilowane łączą w sobie wszystkie dostępne metody ataku. Grono osób po stronie organizacji, które zostały poinformowane o działaniach, jest ograniczone do niezbędnego minimum. Celem takiego podejścia jest zwiększenie realizmu warunków badania oraz badanie reakcji i zachowań ludzkich, systemów obronnych i procedur podczas symulowanego ataku.

NA CZYM POLEGAJĄ TESTY SIECI BEZPRZEWODOWYCH WLAN?

Sieci bezprzewodowe to powszechne zjawisko zarówno w domach, jak i w pracy. W ostatnich latach wydajność sieci bezprzewodowych wzrosła wielokrotnie. Sieci bezprzewodowe są nie tylko wygodne w użyciu, ale również szybkie. Ze względu na specyfikę dostępu do sieci bezprzewodowych – brak konieczności fizycznego dostępu do medium transmisyjnego, należy zwrócić szczególną uwagę na ich bezpieczeństwo. Natura fal elektromagnetycznych powoduje, że bardzo ciężko jest ograniczyć zasięg tylko do chronionych stref. W konsekwencji pod względem bezpieczeństwa, sieci Wi-Fi stanowią bardzo ważny i wymagający obszar infrastruktury. Atakujący bardzo często wybierają sieci bezprzewodowe jako jeden z pierwszych obszarów wejścia do organizacji. W sieciach Wi-Fi stosowany jest szereg różnych zabezpieczeń. Warto podkreślić, iż stosowanie mechanizmów kryptograficznych powszechnie uznanych za bezpieczne np.: WPA3, WPA2 PSK, WPA Enterprise nie zawsze skutecznie chronią organizację przed atakami. Bezpieczeństwo sieci Wi-Fi zależy od wielu czynników – w tym od konfiguracji stacji roboczych pracowników czy ich przeszkolenia.

Zarówno podczas testów Wi-Fi, jak i innych testów, do przeprowadzenia których wymagane są duże moce obliczeniowe (na przykład do łamania haseł), firma STM Cyber korzysta jedynie z wewnętrznych zasobów. Dla klienta oznacza to tyle, że jego hasła nigdy nie wyciekną. Wiele innych firm zajmujących się bezpieczeństwem używa do tego typu prac mocy obliczeniowej ulokowanej w chmurze, przez co łamane hasła mogą wpaść w niepowołane ręce, jak również nie badają siły haseł używanych w sieciach Wi-Fi, uznając błędnie, że są one bezpieczne. Istotne jest, aby zweryfikować firmę i stosowane przez nią metody przed rozpoczęciem testów.

CZYM CHARAKTERYZUJĄ SIĘ TESTY SIECI?

Testy penetracyjne sieci polegają na przeprowadzeniu kontrolowanych ataków wykonywanych z różnych miejsc infrastruktury sieciowej klienta, na przykład:

  • Ataki na serwery klienta dostępne z poziomu sieci Internet.

  • Ataki na sieć klienta z połączenia sieciowego, udostępnianego dla gości w salach konferencyjnych.

  • Ataki na sieć klienta z poziomu sieci używanej przez telefonię wewnętrzną VoIP.

Jednym z ważniejszych zadań stojących przed atakującym podczas próby kompromitacji firmy jest zdobycie dostępu do sieci wewnętrznej ofiary. Często cel ten jest realizowany poprzez usługi wystawione w Internecie, które są uruchomione na maszynach pracujących także w sieci wewnętrznej firmy. Czasami jednak atakujący sięga po niekonwencjonalne metody, jak na przykład zostawienie własnego mini komputera w sali konferencyjnej.

Firma STM Cyber przed rozpoczęciem testów penetracyjnych sieci doradza klientowi w wyborze optymalnych obszarów testu. Po wykonaniu audytu klient dostaje rzetelnie przygotowaną informację w postaci raportu o wykrytych zagrożeniach oraz zidentyfikowanych lukach, które mogą zostać wykorzystane w przypadku cyberataku na infrastrukturę teleinformatyczną w jego organizacji.

NA CZYM POLEGAJĄ TESTY PENETRACYJNE APLIKACJI I APLIKACJI MOBILNYCH?

Aplikacje:

  • Przetwarzają krytyczne dla firmy dane – informacje o klientach, zleceniach, umowy, pocztę, transakcje.

  • Umożliwiają funkcjonowanie firmy – poczta, komunikatory dla pracowników, aplikacje sterujące procesem produkcji.

  • Stanowią komercyjne usługi dla klientów – portale klientów, panele klienckie.

Firma STM Cyber oferuje testy penetracyjne aplikacji dedykowanych oraz webowych, przeprowadzanych według trzech różnych metodyk: black-box, gray-box i white-box.

CZYM SĄ TESTY SOCJOTECHNICZNE?

Bardzo wiele znanych z historii udanych ataków hackerskich bazowało na słabościach czynnika ludzkiego, a nie systemach informatycznych. Człowiek jest elementem, który niezwykle ciężko wyeliminować z jakiegokolwiek procesu. Firmy inwestują coraz więcej w systemy zabezpieczeń, tymczasem ludzie zawsze będą ludźmi, którzy akurat w chwili ataku mogą spieszyć się, być zajętym lub mieć po prostu gorszy dzień.

Ludzie są często zbyt ufni, pomocni, nieświadomi zagrożenia. Te cechy sprawiają, że ataki socjotechniczne są tak skuteczne. Firma STM Cyber wykonuje usługi testów czynnika ludzkiego, polegające na fizycznym sprawdzeniu procedur bezpieczeństwa personelu klienta. Testy sprawdzają, czy atakujący jest w stanie wymusić wykonanie pożądanej akcji lub pozyskać dostęp do informacji lub miejsc, które nie powinny być dla niego dostępne.

Po przeprowadzeniu testów STM Cyber przedstawia raport pokazujący, w jakich obszarach pracownicy wymagają szkolenia podnoszącego świadomość niebezpieczeństw, wynikających z korzystania z infrastruktury teleinformatycznej i dotyczącego zasad bezpiecznego jej użytkowania.

CO TO JEST PROCES ZARZĄDZANIA INCYDENTAMI?

Szybkość obsługi incydentu naruszenia bezpieczeństwa może mieć krytyczny wpływ na bezpieczeństwo organizacji. STM Cyber oferuje zarządzanie incydentami teleinformatycznymi, również w postaci stałej rezerwacji zasobów na wyłączność dla klienta, celem podjęcia natychmiastowej, minimalizującej negatywne efekty ataku interwencji.

Obsługa incydentu może składać się z następujących zadań:

  • Zidentyfikowanie przyczyny wystąpienia incydentu.

  • Analiza luki – o ile taka została zidentyfikowana.

  • Stworzenie rekomendacji mających na celu uniemożliwienie lub zminimalizowanie ryzyka wystąpienia incydentu w przyszłości.

JAK PRZEBIEGA PROCES WSPARCIA W IMPLEMENTACJI I KONFIGURACJI OPROGRAMOWANIA?

Bezpieczeństwo systemów teleinformatycznych w każdej organizacji jest kluczowym elementem zapewnienia ciągłości realizacji procesów biznesowych.

STM Cyber proponuje wielowarstwowe podejście do bezpieczeństwa, obejmujące ochronę od najniższej warstwy (sieć), poprzez poziom systemu, aż do warstwy prezentacji danych (aplikacje). Podejście takie umożliwia ochronę zasobów informatycznych w każdej warstwie – jeśli któraś z nich przestaje być skuteczna, rolę ochrony przejmuje kolejna warstwa. Dobór właściwych i dopasowanych do potrzeb klienta rozwiązań bezpieczeństwa zapewniających ochronę w każdej warstwie możliwy jest po dokonaniu precyzyjnej i kompleksowej analizy stanu faktycznego infrastruktury bezpieczeństwa.

Kolejny etap to zaawansowany audyt bezpieczeństwa według metody black, white i graybox – urządzeń i infrastruktury informatycznej (urządzenia, systemy operacyjne), a także aplikacji.

Celem przeprowadzania zaawansowanego audytu bezpieczeństwa jest dobór ściśle dopasowanego, adekwatnego i optymalnego do chronionych zasobów rozwiązania. Proponując rozwiązania, opieramy się na kryterium optymalnego ich dopasowania do potrzeb klienta i oferujemy specjalistyczne doradztwo oraz wsparcie w zakresie produktów wielu dostawców, w tym wiodących producentów sprzętu, zapewniających ochronę przed zagrożeniami infrastruktury teleinformatycznej.

NA CZYM POLEGA ANALIZA POWŁAMANIOWA?

Analiza powłamaniowa – to szereg czynności mający na celu odtworzenie postępowania cyberprzestępcy, w tym także manualna i automatyczna analiza złośliwego oprogramowania, rozpoznanie narzędzi i metod, wykrycie rootkitów, backdorów, keyloggerów, koni trojańskich użytych w czasie ataku, jak również zabezpieczenie materiału dowodowego w taki sposób, aby jego wartość była niepodważalna w ewentualnym późniejszym postępowaniu.

Pojęcie to dotyczy również skutków incydentu bezpieczeństwa, które cechują każde bezprawne, nieautoryzowane lub niedopuszczalne działanie popełnione w ramach systemu komputerowego lub sieci komputerowej.

W ramach analizy możemy wyróżnić następujące fazy postępowania:

  • Wykrycie incydentu – identyfikacja potencjalnego złamania zasad polityki bezpieczeństwa.

  • Faza przygotowawcza – wykonywane są czynności związane ze wstępnym dochodzeniem, jak np. zbieranie logów, nagrywanie aktywności, zebranie zespołu reagowania, powiadomienie osób, które powinny wiedzieć o zaistniałym incydencie i prowadzonym postępowaniu.

  • Zdefiniowanie strategii reagowania – przygotowanie kolejnych kroków dochodzenia na podstawie zebranych informacji.

  • Analiza incydentu – przygotowanie oraz zebranie zabezpieczonych danych, analiza danych w celu ustalenia kolejnych faz incydentu (kto, kiedy i w jaki sposób).

  • Raportowanie – przygotowanie raportu wraz z wytycznymi, w jaki sposób zapobiegać podobnym incydentom w przyszłości.

  • Wdrożenie wytycznych – proces, w ramach którego wdrożone zostają zmiany w istniejących politykach bezpieczeństwa, mające na celu zapobieganie podobnym incydentom w przyszłości.

JAKIE KORZYŚCI NIESIE ZE SOBĄ WDROŻENIE SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI (ISMS) ZGODNIE Z NORMĄ ISO/IEC 27001?

Wdrażanie systemu zarządzania bezpieczeństwem informacji (ISMS – Information Security Management System) to rozwiązanie zgodne ze standardem opisanym międzynarodową normą ISO/IEC 27001.

Prawidłowe wdrożenie wymogów SZBI pozwala skutecznie, kompleksowo i efektywnie zarządzać bezpieczeństwem informacji w każdej organizacji. Informacja to wartościowy zasób, który może zarówno kreować, jak i skompromitować każdy biznes – odpowiednio zarządzana, pozwala działać pewnie, rozwijać się organizacji, poszerzać horyzonty i unowocześniać działalność, mając jednocześnie pewność, że jest odpowiednio zarządzana.

JAK WDROŻYĆ SYSTEM ZARZĄDZANIA CIĄGŁOŚCIĄ DZIAŁANIA (BUISNESS CONTINUITY MANAGAMENT SYSTEM - BCMS) ZGODNIE Z NORMĄ ISO 22301?

Oferujemy wdrożenie Systemu Zarządzania Ciągłością Działania (BCMS). Proponujemy podejście, którego podstawą jest wydany w 2012 roku standard – międzynarodowa norma ISO 22301.

BSMS to kompleksowe podejście do zarządzania procesami zachodzącymi w organizacji. Wdrożenie BCMS powoduje, że skutki incydentów związanych z dostępnością zasobów nie zakłócają ciągłości biznesowej organizacji lub je minimalizują.

SANDBOX
JAK TO DZIAŁA?

Termin sandbox dotyczy odizolowanego, bezpiecznego środowiska przygotowanego w celu monitorowania oraz analizy behawioralnej testowanego oprogramowania lub innych plików binarnych.

W ramach analizy sandbox wyróżnić możemy zarówno metody statyczne, jak i dynamiczne. Analiza sandboxowa może być realizowana lokalnie – w tym przypadku wyróżnić możemy analizę manualną i automatyczną. Sandbox może również stanowić część innego systemu, w ramach którego, przesyłane są interesujące pliki do automatycznej analizy np. w chmurze.

W ramach analizy sandbox obserwujemy zachowanie programu w następujących dziedzinach:

  • Aktywność na poziomie plików – jakie pliki zostały utworzone, zmienione lub wykasowane w trakcie wykonywania programu.

  • Aktywność na poziomie mutex – gdzie sprawdzamy jak wiele procesów odwołuje się do tego samego zasobu.

  • Aktywność w rejestrze plików – gdzie śledzone są zmiany w rejestrze systemu operacyjnego.

  • Aktywność sieciowa – badana jest aktywność sieciowa oprogramowania, która może wskazywać na próby połączenia się z serwerem C&C, bądź wskazywać, na oprogramowaniem typu stager.

JAK STAWIĆ CZOŁA ATAKOM TYPU DDOS?

Terminem tym określane są rozwiązania mające na celu przeciwdziałanie atakom typu Distributed Denial of Services.

Ataki typu DoS/DDoS mogą być skierowane zarówno na warstwę sieciową (UDP flood, TCP SYN, TCP SYN-ACK) jak również na warstwę aplikacyjną (session flooding, request flooding, slow reqest/response).

Celem ataku DDoS jest przerwanie ciągłości działania systemów informatycznych poprzez nadmierne obciążenie zasobów bądź saturację łącza. Systemy antyDDoS mogą być częścią składową innych systemów bezpieczeństwa chroniących zasoby na styku z Internetem.

Jaka jest zatem optymalna ochrona przed DDOS?

Przykładem może być technologia syncookie zaimplementowana w urządzeniach firewall. Innym bardziej skutecznym sposobem jest zbudowanie niezależnego wyspecjalizowanego rozwiązania, składającego się z sensora oraz jednostki filtrującej. Jednostka filtrująca wchodzi w skład tzw. scrubbing center. W przeciwieństwie do tradycyjnych systemów inspekcji, nie posiada tablicy stanów, tym samym jest niewrażliwa na ataki na warstwę sieciową. Takie podejście zapewnia zaawansowany monitoring ruchu (analiza TopTalkers, analiza peeringu), możliwość blokowania ataków u jego źródła (BGP Offramp, FlowSpec), jak również wysoką wydajność i niezawodność (wyspecjalizowane filtry i mechanizmy dodatkowej autentykacji w celu eliminacji spoofed IP).

JAK WALCZYĆ ZE ZŁOŚLIWYM OPROGRAMOWANIEM NA POZIOMIE SIECIOWYM ZA POMOCĄ NAV?

Systemy typu NAV (Network Anti Virus) wdrożone na styku z Internetem stanowią sieciowy system detekcji oprogramowania typu malware. Sposób wdrożenia zapewnia uproszczoną metodę implementacji w środowisku przedsiębiorstwa. Brak zainstalowanego oprogramowania antywirusowego na stacjach końcowych ma bezpośredni wpływ na ich wydajność oraz zmniejsza potencjalne problemy związane ze zgodnością oprogramowania.

Systemy tego typu są często uzupełnieniem systemów instalowanych na hostach. Systemy NAV wykorzystują dobrze znane metody detekcji oparte o sygnatury analizy behawioralnej oraz sandbox. Mogą być częścią innych systemów bezpieczeństwa, takich jak firewalle lub systemy ochrony przed wyciekiem informacji (Data Loss Protection), bądź stanowić samodzielne rozwiązanie.

NA CZYM POLEGA SKANOWANIE PODATNOŚCI?

Vulnerability scanning to termin oznaczający automatyczny proaktywny proces identyfikacji słabości bezpieczeństwa systemów teleinformatycznych w celu zbadania czy, oraz w jakich okolicznościach dana podatność może zostać wykorzystana w celu włamania, bądź destabilizacji (DoS) systemu. Efektem skanowania może być raport wskazujący na wykryte luki. Może też stanowić podstawę dla wykonania manualnej weryfikacji wykrytych podatności.