Bithex NSA™ Penetration Testing, öryggisúttekt, innbrotsprófanir og áhættumat á netkerfum
Bithex NSA er tæknileg öryggisúttekt, innbrotsprófun og áhættumat á upplýsingakerfum þar sem ráðgjafar Bithex fylgja nákvæmri aðferðafræði til að greina og prófa öryggiseiginleika upplýsingakerfa, s.s. í netþjónum og hugbúnaði.
Skimað er eftir þekktum veikleikum, göllum í stillingum hugbúnaðar og reynt er á innbrotskóða og aðferðir (e. exploits). Reynt er á stillingar og virkni netbúnaðar, eldveggja, VPN og IDS/IPS kerfa.
Hlíting við öryggisstaðla og áhættumat
Mörg fyrirtæki þurfa að uppfylla kröfur um framkvæmd reglulegra öryggisúttekta og að mat sé lagt á veikleika í upplýsingakerfum.
Bithex NSA öryggisúttektir nýtast vel í slíkum tilfellum þar sem reynt er á kröfur í stjórnunarstöðlum um upplýsingaöryggi, svo sem PCI DSS, ÍST ISO/IEC 27001, reglum Fjármálaeftirlitsins o.fl.
Sem dæmi má nefna kröfur um stýringar gegn spillikóða, öryggi í netþjónustum, vöktun á kerfisnotkun, notkun aðgangsorða, efirlit með nettengingum, öruggar innskráningaraðferðir, takmörkun á aðgengi að upplýsingum, stýringar á tækniveilum, upplýsingaleka, árleg innbrotspróf o.fl.
Hvað er innifalið í Bithex NSA öryggisúttektum?
Prófanaáætlun og framkvæmd Bithex NSA öryggisúttekta byggir á því að prófuð eru ytri og innri netkerfi fyrirtækja. Prófanir samanstanda af eftirfarandi þáttum:
- Eftirgrennslan og leit að vélum, kerfum og þjónustum (e. network enumeration).
- Skimað fyrir og borin kennsl á netþjónustur s.s., http, https, smtp, o.s.frv. (e. fingerprinting).
- Harðar portskanárásir til að reyna á virkni netbúnaðar, eldveggja og öryggismæra.
- Skimað fyrir þekktum veikleikum og spillikóða s.s. trojuhestum og bakdyrum.
- Leit að veikleikum í gagnagrunnum um veikleika (e. vulnerability tracking).
- Innbrotspróf og áhættumat á framneti (Internet) og innri netum.
- Úttekt á öryggi vefsíða og veflausna (Bithex WSC).
- Aðgengi að viðkvæmum upplýsingum, t.a.m. persónuupplýsingum, og frumkóða (e. source code) í kerfum.
- Kóðarýni á veflausnum og hugbúnaði.
- Greining á öllu innihaldi vefsíða (e. content crawling) og prófanir á aðgengi efnis.
- Greining á auðkenningu og leyfisveitingu (e. authentication and authorization) í veflausnum og harðar árásir á innskráningu (e. of brute force login).
- Fitl við breytur í vefsíðum (e.parameter tampering), XSS (e. cross site scripting), innsetning í gagnagrunna (e. sql-injection) and keyrsla skipana (e. remote command execution).
- Öryggisúttekt á Wifi þráðlausum netum.
- Úttekt á reglum eldveggja og VPN-gátta.
- Reynt er á aðgengi innri upplýsingakerfa með mismunandi aðgangsrullum á staðarnetum fyrirtækja.
- Úttekt á aðgengi að viðkvæmum netbúnaði og upplýsinga eigum í húsnæði viðskiptavinar.
- Flokkun öryggisveikleika og atriða skv. Bithex Security Issue Risk Level Definition.
Aðferðafræði og verkfæri
Ráðgjafar Bithex fylgja skjalfestum aðferðum í framkvæmd á allri þjónustu. Bithex NSA aðferðafræðin byggir á og uppfyllir staðla um öryggisúttektir á upplýsingakerfum, s.s. NIST-SP800-115 og OWASP Testing Guide.
Prófanir eru framkvæmdar með sjálfvirkum og handvirkum aðferðum þar sem notuð eru ýmis hugbúnaðarverkfæri og skriftur, eftir eðli og gerð upplýsingakerfa sem verið er að prófa. Nokkur algengustu hugbúnaðartól í vopnabúri Bithex, sem algeng eru í framkvæmd innbrotsprófana eru t.a.m. Nmap, Ncat, Hping, Metasploit framefork, Sqlmap, OWASP Zap, Web developer, Searchsploit, testssl.sh, skriftun á skipanalínu og beinar handvirkar aðferðir, t.d. í prófunum á vefsíðum og viðmóti.
Verð og verðtilboð
Verð fyrir öryggisúttektir og innbrotsprófanir fer eftir stærð og umfangi upplýsingakerfa. Hafið samband varðandi nánari upplýsingar og verðtilboð.