Advanced White-box

​​​​​​​​​​​​​Advanced White-box

Advanced white-box je produkt kombinujúci penetračné testy a secure code review, prípadne ďalšie assessment služby. Cieľom advanced white-box je komplexné preverenie bezpečnosti vyvíjaných aplikácií pomocou simulácie hakerských útokov, automatizované analýzy kódu, manuálnych revízií kódu a auditov.


 


Náš príbeh​

Jeden z našich popredných klientov nás požiadal o penetračné testy novo vytváranej mobilnej aplikácie, ktorá spravuje finančné informácie používateľov. Pretože aplikácia bola vyvíjaná dodávateľskou firmou, boli sme klientom okrem overenia bezpečnosti požiadaní aj o preverenie dodržania kritérií, ktoré mala aplikácia podľa návrhu spĺňať. 
Pri analýze zdrojových kódov v súčinnosti s penetračnými testami sme objavili niekoľko veľmi závažných zraniteľností v oblasti autentizácie a autorizácie, vďaka ktorým by mohol útočník pristupovať k profilovým a finančným informáciám všetkých používateľov produktu. Tieto veľmi kritické dáta by mohli byť hakermi využité napríklad na phishingové kampane mierené na používateľa, či priamo v útokoch na inštitúciu. Pokiaľ by táto situácia nastala už pri reálnej prevádzke, hrozili by spoločnosti veľké finančné straty, s nimi spojená strata klientskej základne a poškodenie dobrej povesti. Pretože však penetračné testy prebehli včas pred publikáciou aplikácie do reálnej prevádzky, podarilo sa tomuto závažnému incidentu zabrániť. 
eAnalýza návrhu a reálneho stavu aplikácie navyše poukázala na niektoré odchýlky od dohodnutých požiadaviek, napríklad v oblasti práce s dokumentmi používateľa, ktorá podlieha zákonu o GDPR, ktorú dodávateľ v aplikácii nedostatočne zabezpečil. Klient tak mohol v rámci zmluvy dohodnúť urýchlené bezplatné opravy, a ešte tak navýšiť úroveň zabezpečenia svojej mobilnej aplikácie.

Popis riešenia

Advanced White-box tvoria:

Penetračné testy

Penetračné testy sú vykonávané ako simulácia hakerských útokov na sieťovej a aplikačnej úrovni preverí schopnosť systémov organizácie odolávať reálnym kybernetickým útokom z vonkajšieho prostredia, ale tiež schopnosť odolať neautorizovaným zásahom zamestnancov, a to bez ohľadu na to, či konajú vedome, alebo sa iba dopustia chyby.

​Secure code review 

Bezpečnostná revízia zdrojových kódov spočíva v kontrole zdrojových kódov aplikácií, a to formou manuálnych revízií zdrojového kódu a automatizovaných analýz pomocou SAST nástrojov.​​​

Podrobný popis

​Penetračné testy

  • ​Sú simuláciou hackerských útokov na aplikácie, systémy aj celú infraštruktúru.
  • Využívanie globálne uznávaných metodík, ako je OWASP Web Security Testing Guide (WSTG) či Penetration Testing Standard (PTES).
  • Penetračné testy vykonávajú certifikovaní penetrační testeri podľa požadovaných štandardov.
  • Preverovanie bezpečnosti manuálnymi testami v kombinácii s pokročilými komerčnými automatizovanými skenovacími nástrojmi, ale tiež vlastnými nástrojmi z portfólia AEC toolkit.
  • Výsledkom penetračných testov je detekcia zraniteľností, konfiguračných nedostatkov, prípadne odhalenie poddimenzovaných prvkov systému na všetkých vrstvách testovanej aplikácie alebo systému.
  • Code review

    • ​Revízia aplikácií v mnohých populárnych jazykoch (Java, C#, PHP…).
    • ​Interná metodológia založená na skúsenostiach z bezpečného vývoja a penetračných testov, opierajúca sa o uznávané štandardy projektu OWASP.
    • ​Umožňuje odhaliť vývojárske chyby, backdoory, chyby v návrhu, nedodržiavanie best practices, použitie slabej kryptografie a mnoho ďalších zraniteľných miest v aplikácii.
    • ​Code review sa skladá z dvoch hlavných analyzačných častí:
      • ​Automatizovaná revízia celého kódu pomocou open-source aj proprietárnych nástrojov a preverenie výsledkov bezpečnostným špecialistom.
      • ​Manuálna revízia celého kódu či jeho častí vybraných klientom či bezpečnostným špecialistom.
    • ​Nájdené zraniteľnosti sú podrobne opísané a sú k nim na mieru poskytnuté odporúčania, ktoré berú do úvahy použitý technologický stack.

Naše prednosti 

  • ​Patříme mezi zavedené české security firmy, na trhu úspěšně působíme již déle než 30 let. 
  • Patríme medzi zavedené české security firmy, na trhu úspešne pôsobíme už dlhšie ako 30 rokov.
  • Počúvame klientov a prispôsobujeme služby ich potrebám a časovým možnostiam.
  • Náš tím tvoria špecialisti s bohatými skúsenosťami z oblasti vývoja i etického hakingu.
  • Sledujeme moderné trendy v oblasti vývoja, bezpečnosti a technológií.
  • Kombinujeme vykonávanie penetračných testov, automatizovaných analýz zdrojových kódov, manuálnych revízií a auditov na odhalenie širokej škály zraniteľností.
  • Výsledné správy z vykonávaných testov obsahujú podrobné opisy nájdených zraniteľností a konkrétne odporúčania na ich nápravu šité na mieru použitým technológiám.
  • Staviame svoje služby na dlhoročných skúsenostiach a rokmi preverených štandardoch.

​Referencie

​Naše skúsenosti z projektov pre významné organizácie vo svojom odbore radi oznámime na vyžiadanie.

Radi skonzultujeme vašu konkrétnu situáciu​


Overenie: