FAQ

Czym jest fuzzowanie aplikacji?
Termin fuzzowanie (fuzzing, fault injector) odnosi się do aktywności mającej na celu wykrycie podatności testowanej aplikacji. Fuzzowanie to proces zautomatyzowany, bądź częściowo zautomatyzowany, w ramach którego dochodzi do wielokrotnej manipulacji danych wsadowych dostarczanych do aplikacji. Jeżeli podczas przetwarzania tak spreparowanych danych doprowadzimy do wystąpienia wyjątku, zatrzymania aplikacji, bądź innego błędu po stronie serwera (w przypadku aplikacji web) możemy stwierdzić, iż podatność została wykryta.
Wyróżniamy dwa typy fuzzerów:
mutation-based fuzzers – programy tego typu dla prawidłowo przeprowadzonych testów przetwarzają/mutują dostarczone próbki danych stworzone w ten sposób wariacje wysyłają do testowanej aplikacji.
generation-based fuzzers– programy tego typu nie korzystają z dostarczonych próbek, samoistnie tworzą wariacje przy wykorzystaniu technik modelowania protokołu lub formatu plików.
Przykłady: PROTOS, SPIKE, Fuzz, Codenomicon,Peach

Testy penetracyjne (pentesty) - czym są , po co i jak je robić?
Termin ten odnosi się do testów, których celem jest wykrycie podatności systemów informatycznych mogących stanowić przyczynę utraty kontroli nad poufnością, integralnością bądź dostępem do przetwarzanych w ramach systemu danych. Testy penetracyjne pozwalają zweryfikować odporność środowiska informatycznego organizacji na próby przełamania zabezpieczeń, dokonywane zarówno z Internetu, jak i sieci prywatnej. Dzięki symulacji rzeczywistych ataków możliwa jest identyfikacja obszarów stanowiących zagrożenie dla bezpieczeństwa i poufności danych, a także mogących zakłócić ciągłość świadczenia usług biznesowych. Zakres testów uzależniony jest od struktury organizacji oraz wykorzystywanych systemów.
Końcowym etapem prac jest zawsze stworzenie kompleksowej dokumentacji opisującej:
⇒Wykryte problemy
⇒Zasadę ich działania
⇒Scenariusze ich wykorzystania
⇒Proponowane rozwiązania

Możemy wyróżnić 5 głównych domen będących celem testów penetracyjnych:
→ infrastruktura sieciowa
→ systemy operacyjne
→ aplikacje
→ bazy danych
→ interfejsy API

Typy testów penetracyjnych
black-box – są to testy, w których początkowo zespół testerów nie posiada żadnej wiedzy o przedsiębiorstwie, którego testy dotyczą. W tym modelu testy rozpoczynamy od fazy rekonesansu, czyli zbierania informacji o przedsiębiorstwie, a następnie, wykorzystując uzyskaną w ten sposób wiedzę o organizacji i jej systemach, przechodzimy do fazy skanowania i przełamywania zabezpieczeń.

gray-box – są to testy, w których zespół testerów wyjściowo posiada pewien niewielki zakres informacji o przedsiębiorstwie – mogą to być dane dotyczące adresacji IP, używanych systemów zabezpieczeń, systemów operacyjnych czy elementów aktywnych sieci komputerowej. W zależności od kompletności informacji, w takim przypadku faza rekonesansu jest bardzo ograniczona lub całkowicie pominięta.

white-box – są to testy, w których nasz zespół testerów posiada pełną wiedzę o sieci klienta, a faza rekonesansu jest całkowicie pominięta (wszelkie możliwe dane, pozyskiwane w innych modelach testów w fazie rekonesansu, są przekazywane przez klienta). Dalej prace przebiegają już w sposób analogiczny do pozostałych typów.

Na czym polegają testy profilowane?
Testy profilowane polegają na opracowaniu, przygotowaniu i przeprowadzeniu spersonalizowanego ataku hakerskiego na organizację z wykorzystaniem wszystkich dostępnych metod, włączając w to ataki socjotechniczne. Atak ma być jak najbardziej zbliżony do rzeczywistej próby przełamania zabezpieczeń firmy. Testowane obszary obejmują systemy informatyczne, procedury bezpieczeństwa oraz świadomość pracowników w zakresie sposobów obrony przed atakami socjotechnicznymi. Cele testów są wybierane w taki sposób, aby ich osiągnięcie przez potencjalnego cyberprzestępcę było dużym zagrożeniem dla klienta, zaś w niektórych przypadkach klient sam określa cel, który ma zdobyć audytor, na przykład:
⇒Pozyskanie danych kadrowo-płacowych
⇒Kompromitacja poczty strategicznych pracowników
⇒Uzyskanie dostępu do sieci przemysłowej (SCADA)
⇒Wykradzenie krytycznych dokumentów

Testy profilowane łączą w sobie wszystkie dostępne metody ataku i odbywają się z zachowaniem zasady ograniczenia do minimum grona osób po stronie klienta, które są o tych testach poinformowane. Celem takiego podejścia jest zwiększenie realizmu warunków badania oraz reakcji i zachowań ludzi oraz systemów obronnych podczas symulowanego ataku.

Testy sieci bezprzewodowych
Sieci bezprzewodowe to już powszechne zjawisko zarówno w domach, jak i pracy – stały się jednym z najbardziej popularnych sposobów dostępu do Internetu, a tym samym – krytycznym zasobem wielu instytucji. Niestety, natura fal elektromagnetycznych powoduje, że bardzo ciężko jest ograniczyć zasięg sieci do chronionych stref. W konsekwencji pod względem bezpieczeństwa, sieci WiFi stanowią bardzo ważny i wymagający opieki obszar infrastruktury. Profesjonalni atakujący bardzo często wybierają sieci WiFi jako jeden z pierwszych obszarów testowych, aby zdobyć dostęp do sieci wewnętrznej atakowanej organizacji. W sieciach WiFi stosuje się szereg różnych zabezpieczeń, jednak warto podkreślić, że nawet stosowanie szyfrowania powszechnie uznawanego za bezpieczne (WPA2 PSK, WPA Enterprise) nie zawsze jest w stanie ochronić firmę przed atakami. Bezpieczeństwo sieci WiFi zależy od wielu czynników – w tym także od konfiguracji stacji roboczej pracowników czy nawet samego ich przeszkolenia.

Zarówno podczas testów WiFi jak i innych testów, do przeprowadzenia których wymagane są duże moce obliczeniowe (na przykład do łamania haseł), firma STM Solutions korzysta jedynie z wewnętrznych zasobów. Dla klienta oznacza to, że jego hasła nie wpadną w niepowołane ręce. Wiele innych firm zajmujących się bezpieczeństwem używa do tego typu prac mocy obliczeniowej ulokowanej w chmurze, przez co łamane hasła klienta mogą wpaść w niepowołane ręce. Jeszcze inne zupełnie nie próbują siły haseł używanych w sieciach WiFi uznając błędnie, że są one bezpieczne. Warto zweryfikować firmę i stosowane przez nią metodologie przed wykupieniem u niej testów.

Należy podkreślić, że przy przeprowadzaniu testów profilowanych ważne jest, aby wiedziała o nich jak najmniejsza grupa osób. Pozwala to na przetestowanie, jak zachowują się pracownicy oraz systemy zabezpieczeń, kiedy atak przychodzi niespodziewanie.

Testy penetracyjne sieci
Testy penetracyjne sieci polegają na przeprowadzeniu kontrolowanych ataków wykonywanych z różnych miejsc infrastruktury sieciowej klienta, na przykład:
⇒Ataki na serwery klienta dostępne z poziomu sieci Internet
⇒Ataki na sieć klienta z połączenia sieciowego udostępnianego dla gości w salach konferencyjnych
⇒Ataki na sieć klienta z poziomu sieci używanej przez telefonie wewnętrzną VoIP

Jednym z ważniejszych zadań stojących przed atakującym podczas próby kompromitacji firmy jest zdobycie dostępu do sieci wewnętrznej ofiary. Często cel ten jest realizowany poprzez usługi wystawione w Internecie, które są uruchomione na maszynach pracujących także w sieci wewnętrznej firmy. Czasami jednak atakujący sięga po niekonwencjonalne metody jak na przykład zostawienie własnego mini komputera w sali konferencyjnej.

Firma STM Solutions przed rozpoczęciem testów penetracyjnych sieci doradza klientowi w wyborze optymalnych obszarów testu. Po wykonaniu audytu klient dostaje rzetelnie przygotowaną informację w postaci raportu o wykrytych zagrożeniach oraz zidentyfikowanych lukach, które mogą zostać wykorzystane w przypadku cyberataku na infrastrukturę teleinformatyczną w jego organizacji.

Testy penetracyjne aplikacji WWW i aplikacji mobilnych
Aplikacje:
⇒ Przetwarzają krytyczne dla firmy dane – informacje o klientach, zleceniach, umowy, pocztę, transakcje
⇒Umożliwiają funkcjonowanie firmy – poczta, komunikatory dla pracowników, aplikacje sterujące procesem produkcji
⇒ Stanowią komercyjne usługi dla klientów – portale klientów, panele klienckie
Firma STM Solutions oferuje testy penetracyjne aplikacji dedykowanych oraz webowych, przeprowadzanych według trzech różnych metodologii: black-box, gray-box i white-box.

Testy czynnika ludzkiego (socjotechnika)
Bardzo wiele udanych ataków znanych z historii bazuje na słabościach czynnika ludzkiego firmy, a nie na słabościach oprogramowania. Firmy inwestują coraz więcej w systemy zabezpieczeń, tymczasem ludzie zawsze będą ludźmi, którzy mogą akurat w chwili ataku spieszyć się, być zajętym lub mieć po prostu gorszy dzień. Ludzie są często zbyt ufni, pomocni,nieświadomi zagrożenia.
Firma STM Solutions wykonuje usługi testów czynnika ludzkiego polegające na fizycznym sprawdzeniu procedur bezpieczeństwa personelu klienta. Testy sprawdzają, czy atakujący podający się na przykład za pracownika firmy, znajomego lub osobę z firmy zewnętrznej jest w stanie pozyskać dostęp do informacji lub miejsc, które nie powinny być dla niego dostępne.

Po przeprowadzeniu testów firma STM Solutions przedstawia raport pokazujący w jakich obszarach pracownicy wymagają szkolenia podnoszącego świadomość niebezpieczeństw wynikających z korzystania z infrastruktury teleinformatycznej i dotyczącego zasad bezpiecznego jej użytkowania.

Zarządzanie incydentami
Kwestia szybkości obsługi incydentu bezpieczeństwa może mieć krytyczny wpływ na bezpieczeństwo organizacji – firma STM Solutions oferuje zarządzanie incydentami teleinformatycznymi, również w postaci stałej rezerwacji zasobów na wyłączność dla klienta celem podjęcia natychmiastowej, minimalizującej negatywne efekty ataku interwencji.
W przypadku skorzystania przez klienta z wiedzy eksperckiej STM Solutions, inżynierowie podejmą następujące działania dotyczące obsługi incydentu:

⇒Zidentyfikowanie przyczyny wystąpienia incydentu
⇒Analiza luki – o ile taka została zidentyfikowana
⇒Stworzenie rekomendacji mających na celu uniemożliwienie lub zniwelowanie ryzyka wystąpienia incydentu w przyszłości.

Jak przebiega proces wsparcia w implementacji i konfiguracji oprogramowania?
Bezpieczeństwo systemów teleinformatycznych w każdym przedsiębiorstwie jest kluczowym elementem zapewnienia ciągłości jego działania – firma STM Solutions proponuje wielowarstwowe podejście do bezpieczeństwa, obejmujące ochronę od najniższej warstwy (sieć) poprzez poziom systemu aż do warstwy prezentacji (aplikacje). Podejście takie umożliwia ochronę zasobów informatycznych w każdej warstwie – jeśli któraś z nich przestaje być skuteczna, rolę ochrony przejmuje kolejna warstwa. Dobór właściwych i dopasowanych do potrzeb klienta rozwiązań bezpieczeństwa zapewniających ochronę w każdej warstwie możliwy jest po dokonaniu precyzyjnej i kompleksowej analizy stanu faktycznego infrastruktury bezpieczeństwa. Kolejny etap to zaawansowany audyt bezpieczeństwa według metodologii black-, white- i graybox urządzeń, jak również w wielu przypadkach infrastruktury informatycznej (urządzenia, systemy operacyjne, aplikacje). Celem przeprowadzania zaawansowanego audytu bezpieczeństwa nie tylko istniejących rozwiązań, ale i wykorzystywanych systemów operacyjnych, aplikacji – jest dobór ściśle dopasowanego do chronionych zasobów i wykrytych podatności rozwiązania.

Proponując rozwiązania, opieramy się na kryterium optymalnego ich dopasowania do potrzeb klienta i oferujemy specjalistyczne doradztwo i wsparcie w zakresie produktów wielu dostawców, w tym wiodących producentów sprzętu zapewniających ochronę przez zagrożeniami infrastruktury teleinformatycznej takich jak Fidelis, Arbor czy Fortinet.

Na czym polega usługa analizy powłamaniowej?
Termin analiza powłamaniowa dotyczy analizy skutków incydentu bezpieczeństwa, który cechuje każde bezprawne, nieautoryzowane lub niedopuszczalne działanie popełnione w ramach systemu komputerowego lub sieci komputerowej. W ramach analizy możemy wyróżnić następujące fazy postępowania:

  • Wykrycie incydentu – identyfikacja potencjalnego złamania zasad polityki bezpieczeństwa.
  • Faza przygotowawcza – w trakcie której wykonywane są czynności związane ze wstępnym dochodzeniem, jak np. zbieranie logów, nagrywanie aktywności, zebranie zespołu reagowania, powiadomienie osób, które muszą wiedzieć o incydencie i prowadzonym postępowaniu.
  • Zdefiniowanie strategii reagowania – na podstawie zebranych informacji przygotować kolejne kroki dochodzenia oraz uzyskać potrzebne zezwolenia ze strony zarządu.
  • Analiza incydentu – przygotowanie oraz zebranie zabezpieczonych danych, analiza danych w celu ustalenia kolejnych faz incydentu (kto, kiedy i w jaki sposób).
  • Raportowanie – przygotowanie raportu wraz z wytycznymi, w jaki sposób zapobiegać podobnym incydentom w przyszłości.
  • Wdrożenie wytycznych – proces, w ramach którego wdrożone zostają zmiany w istniejących politykach bezpieczeństwa, mające na celu eliminację podobnych incydentów w przyszłości.

Na czym polega usługa wdrażania polityki bezpieczeństwa danych osobowych?

Celem tej usługi jest dostosowanie procesu przetwarzania danych osobowych w organizacji do wymogów ustawy o ochronie danych osobowych. W ramach usługi wykonywany jest najpierw audyt mający na celu ocenę aktualnego stopnia zgodności działań organizacji z wymaganiami ustawy o ochronie danych osobowych, a następnie, na podstawie analizy wyników audytu, sporządzany jest plan działań niezbędnych dla pełnego dostosowania firmy do wymogów ustawy.

Wykonywanie nadzoru nad przetwarzaniem danych osobowych, czyli outsourcing funkcji Administratora Bezpieczeństwa Informacji (ABI)
Administrator Bezpieczeństwa Informacji to osoba, która w organizacji nadzoruje przestrzegania zapisów Polityki Bezpieczeństwa Danych Osobowych, kontroluje poprawność dokumentacji, pomaga w reagowaniu na incydenty. Nawiązując do ustawy o ochronie danych osobowych, każdy administrator danych musi sprawować nadzór nad danymi osobowymi przetwarzanymi w swojej organizacji. Nadzór ten może wykonywać osobiście lub powołać w tym celu administratora bezpieczeństwa informacji.

JAKIE SĄ INNE POWODY, DLA KTÓRYCH POWINNIŚMY GO POWOŁAĆ?

⇒Zwolnienie z obowiązku rejestracji zbiorów danych
⇒Oddelegowanie obowiązków związanych z nadzorem nad przestrzeganiem danych osobowych
⇒Wyznaczane innych obowiązków, np. przeprowadzanie szkoleń innym pracownikom lub doradztwo w zakresie ochrony danych osobowych
⇒Obniżenie kosztów – outsourcing umożliwia skorzystanie z pomocy fachowców zajmujących się danymi osobowymi za niższe koszty niż w wypadku zatrudnienia na etacie.

Wdrażanie systemu zarządzania bezpieczeństwem informacji (ISMS) zgodnie z międzynarodową normą ISO/IEC 27001
Wdrażanie systemu zarządzania bezpieczeństwem informacji (ISMS – Information Security Management System ) – rozwiązania zgodnego z uznanym standardem opisanym międzynarodową normą ISO/IEC 27001 – dostosowanie się do jego wymogów pozwala skutecznie, kompleksowo i efektywnie zarządzać bezpieczeństwem informacji w firmie. Informacja to wartościowy zasób, który może zarówno kreować, jak i skompromitować Twój biznes – jeśli odpowiednio się nią zarządza, Ty możesz działać pewnie, rozwijać, poszerzać i unowocześniać swoją działalność mając pewność, że poufne dane takimi pozostaną.

Wdrażanie systemu zarządzania ciągłością działania (BCMS – Business Continuity Management System) zgodnie z międzynarodową normą ISO 22301
Oferując wdrożenia Systemu Zarządzania Ciągłością Działania (BCMS) proponujemy podejście, którego podstawą jest wydany w 2012 roku standard – międzynarodowa norma ISO 22301. BSMS to kompleksowe podejście do zarządzania procesami zachodzącymi w organizacji – określa określa wymogi wobec systemu zarządzania w celu zapobiegania incydentom zakłócającym pracę, zmniejszenia prawdopodobieństwa ich raz zapewnienia, że w razie gdyby do nich doszło, firma będzie w stanie utrzymać wyznaczony i akceptowalny poziom dostarczania wyrobów i usług.

Sandbox - jak to działa?
Termin sandbox dotyczy odizolowanego, bezpiecznego środowiska przygotowanego w celu monitorowania oraz analizy behawioralnej testowanego oprogramowania lub innych plików binarnych. W ramach analizy sandbox wyróżnić możemy zarówno metody statyczne, jak i dynamiczne. Analiza sandbox’owa może być realizowana lokalnie – w tym przypadku wyróżnić możemy analizę manualną i automatyczną. Sandbox może również stanowić część innego systemu, w ramach którego przesyłamy interesujące nas pliki do automatycznej analizy w chmurze. W ramach analizy sandbox obserwujemy zachowanie programu w następujących dziedzinach:

  1. 1. Aktywność na poziomie plików – jakie pliki zostały utworzone, zmienione, bądź wykasowane w trakcie wykonywania programu.
  2. 2. Aktywność na poziomie mutex – gdzie sprawdzamy jak wiele procesów odwołuje się do tego samego zasobu
  3. 3. Aktywność w rejestrze plików – gdzie śledzimy zmiany w rejestrze systemu operacyjnego.
  4. 4. Aktywność sieciowa – badamy aktywność sieciową oprogramowania, która może wskazywać na próby połączenia się z serwerem C&C, bądź wskazywać, iż mamy do czynienia z oprogramowaniem typu stager

Przykłady: ThretaExpert, Anubis, FireEye,WildFire,FireAmp,Fidelis,Trend Micro

AntyDDos a ochrona - jak stawiać czoła atakom na ciągłość systemów informatycznych
Terminem tym określamy rozwiązania mające na celu przeciwdziałanie atakom typu Distributed Denial of Services. Ataki typu DoS/DDoS mogą być skierowane zarówno na warstwę sieciową (UDP flood, TCP SYN, TCP SYN-ACK) jak również na warstwę aplikacyjną (session flooding, request flooding, slow reqest/response). Celem ataku DDoS jest przerwanie ciągłości działania systemów informatycznych poprzez nadmierne obciążenie zasobów, bądź saturację łącza. Systemy antyDDoS mogą być częścią składowa innych systemów bezpieczeństwa chroniących zasoby na styku z Internetem. Jaka jest zatem optymalna ochrona przed ddos? Przykładem może być technologia syncookie zaimplementowana w urządzeniach firewall. Innym bardziej skutecznym sposobem jest zbudowanie niezależnego wyspecjalizowanego rozwiązania, składającego się z sensora oraz jednostki filtrującej. Jednostka filtrująca wchodząca w skład tzw. scrubbing center w przeciwieństwie do tradycyjnych systemów inspekcji nie posiada tablicy stanów tym samym jest niewrażliwa na ataki na warstwę sieciową. Takie podejście zapewnia nam zaawansowany monitoring ruchu (analiza TopTalkers, analiza peeringu) możliwość blokowania ataków u jego źródła (BGP Offramp, FlowSpec) jak również wysoką wydajność i niezawodność (wyspecjalizowane filtry i mechanizmy dodatkowej autentykacji w celu eliminacji spoofed IP).
Przykłady: Paloalto, Arbor Networks

NAV - czyli jak walczyć ze złośliwym kodem na poziomie transmisji sieciowej
Systemy typu NAV (Network Anti Virus) wdrożone na styku z Internetem stanowią sieciowy system detekcji oprogramowania typu malware. Sposób wdrożenia zapewnia uproszczoną metodę implementacji w środowisku przedsiębiorstwa. Brak zainstalowanego oprogramowania antywirusowego na końcówkach ma bezpośredni wpływ na ich wydajność oraz zmniejsza potencjalne problemy związane ze zgodnością oprogramowania. Systemy tego typu są często uzupełnieniem systemów instalowanych na hostach. Systemy NAV wykorzystują dobrze znane metody detekcji oparte o sygnatury analizę behawioralną oraz sandbox. Mogą być częścią innych systemów bezpieczeństwa takich jak firewalle lub systemy ochrony przed wyciekiem informacji (Data Loss Protection) bądź stanowić samodzielne rozwiązanie.
Przykłady: FireEye, Fidelis XPS

Na czym polega skanowanie podatności?
Vulnerability scanning to termin oznaczający automatyczny proaktywny proces identyfikacji słabości bezpieczeństwa systemów teleinformatycznych w celu zbadania czy, oraz w jakich okolicznościach dana podatność może zostać wykorzystana w celu włamania, bądź destabilizacji (DoS) systemu. Efektem skanowania może być raport wskazujący na wykryte luki, bądź może stanowić podstawę dla wykonania manualnej weryfikacji wykrytych podatności.
Przykłady: Rapid 7