Veebiteenuste/Veebirakenduste/API-de turvatestimine(läbistustestimine/pen-test)
Turvatestimine on midagi sellist, mis peaks kuuluma iga ettevõtte jaoks vähegi olulisema veebiteenuse elutsükli juurde.
Meie poolt pakutav veebirakenduste/veebilehtede/API-de turvatestimise teenus põhineb OWASP ASVS standardil ning ei sisalda endas ainult tehnilisi kontrolle vaid suur rõhk on ka äriloogika vigadel. Lisaks rakenduse täielikule turvatestimisele võime soovikorral kontrollida ka vaid kindlate funktsionaalsuste turvalisust.
Enne kui turvatestimine saab üldse alata räägitakse kliendiga läbi testimisega seotud detailid ning lepitakse kokku projekti skoop, eesmärgid, tingimused, aeg ning hind.
Testimise käigus viiakse läbi ründeid, mis imiteerivad päris elulisi pahalaste ründeid. Ning kui peaks olema soov ka oma turva monitooringut testimise käigus proovile panna, siis testimise käigus saab simuleerida ka erineva tasemega pahalaste käitumist.
Testimise tulemusel tekib põhjalik raport, milles sisaldub detailsem info testide katvuse, leitud nõrkuste kohta ning informatsiooni/soovitusi leidude parandamiseks.
Regulaarne väline automaatne nõrkusteotsing (vulnerability scan)
Teostame ka automaatseid veebiteenuste/veebilehtede turvanõrkuste otsinguid. Mille tulemusel tekib ülevaatlik raport Teie teenuste hetke seisust kübeturvalisuse vaatenurgast, koos soovituste ja parendus ettepanekutega.
Kui teile on arendatud mõni enamlevinud sisuhaldusmootori peale üles ehitatud veebipood/veebileht ka need vajavad pidevat hooldust ja ülevaatamist. Tihtipeale ei peeta vajalikuks või lihtsalt unustatakse automaatsete uuenduste sisse lülitamine mille tulemusena võivad veebid olla aastaid uuendamata ning sisaldada endas mitmeid turvaauke.
Automaatne turva nõrkuseotsing aitab tuvastada enamlevinud sisuhaldus mootorites ja nende pistikprogrammides (plugin) esinevaid teada olevad nõrkuseid.
Lisaks pakume API-dele regulaarset automaatset DAST testimise teenust.
Turvateadlikkuse / küberhügieeni tõstmise koolitused
Viime läbi koolitusi tõstmaks töötajate turvateadlikkuse ning küberhügieeni taset. Koolitus võib olla, kas Teie enda soovide järgi koostatud või üks järgnevatest:
Mis selles küll halba on
Tegu on küberhügieeni koolitusega, mis on peamiselt küll seotud õnigitsemise ehk “phishingu” ära tundmisega ning näidatakse ka, mis võivad olla tagajärjed, kui mõnele õngitsuslingile vajutatakse.
Koolituse käigus tutvustatakse inimestele erinevaid variatsioone õngitsuskirjadest ning kuidas õngitsemist ära tunda. Lisaks õngitsus tehnikate ja kirjade turvustamisele näidatakse ka ära, et mis siis juhtuda võib, kui pahalase õngitsus kirjaga manus avada või nende saadetud lingile sattuda.
Enamlevinud vead veebirakendustes
Tegu on veebi arendajatele suunatud koolitusega, mille eesmärk on täiendada teadmisi turvalise arenduse vallas. Koolituse käigus tutvustatakse veebirakenduste turvatestimisel meile kõige tihedamalt ette jäänud vigu ning nende mõju rakenduste turvalisusele. Tutvustatavate vigade hulgas on ka arhitektuuri/süsteemi üldise seadistuse vigade näited. Puudutamata ei jää ka Smart-ID/Mobiil-ID/ID-kaardiga seotud teemad.
Tegu ei ole vaid teooria loenguga. Koolituse raames saab erinevaid vigu proovida ise ka ära kasutada selleks mõeldud nõrkuseid sisaldavate rakenduste peal.
Phishing ehk õngitsus testimine
Kui on soov saada ülevaadet oma töötajate küberhügieeni tasemest ja võimest tuvastada suunatud õngitsusründeid, siis me pakume ka õngitsus testimise teenust.
Õngitsustesti tulemuste pealt on võimalik saada ülevaade sellest, et kui tähelepanelikud on töötajad sisse tulevate kirjade käsitlemise ning kas üldse keegi või kui suur osa testis osalejatest “õnge lähevad”. Selle pealt saab juba edasi otsustada, et kas oleks vaja läbi viia üldine suurem küberhügieeni või siis phishingu alane koolitus.
Testis kasutatavad stsenaariumid koostatakse koostöös kliendiga ning need kujundatakse selliselt, et on suunatud otseselt kliendi töötajaskonnale.
Konsultatsioonid
Kuigi meie peamiseks teenuseks on veebirakenduste turvatestimine ja sellega seonduv, siis me pakume ka muid IT turvalisusega seonduvaid konsultatsioone. Kui vajad turvaanalüüsi või abi mõne süsteemi/võrgu/lahenduse ülesseadmisel, siis meil leidub pikaajalisi kogemusi nii Linux serverite, kui virtualiseerimise, arvutivõrkude ning erinevate turvalahendustega(NDR, IDS,jne). Rohkema informatsiooni saamiseks võta meiega ühendust, kontaktid leiad siit.