Segurtasun auditoretza eta bidegabe sartzeari buruzko proba
Areagotu zure erakundearen ziberrerresilientzia balizko erasoen aurrean
Zibergaizkileek erabil litzaketen ahulguneak identifikatzen ditugu
- Benetako erasoak simulatzen ditugu.
- Balizko zibermehatxuen jatorria izan daitezkeen ahulguneak identifikatzen ditugu.
- Zure enpresan dauden babes-neurriak ebaluatzen ditugu.
- Lotutako arriskuak murrizten edo ezabatzen dituzten gomendioen plana egiten dugu.
Balizko ziberreraso batekin lotutako arriskuak gutxitu edo ezabatzen ditugu
- Zure informazio-sistemek erasoen eta kanpoko eta barneko erabilera txarren aurrean duen sendotasuna hobetzen dugu.
- Erakundeko langileak trebatu eta kontzientziatzen ditugu euren eguneroko lanean portaera eta jarrera jakin bat indartzeko.
Optimizatu zure enpresaren segurtasuna ziberrerasoen aurrean
Zure informazio-sistemen ahulgune guztiak xehe eta dokumentatuta ebaluatzen ditugu, eta txosten osatu eta zehatz bat idazten dugu hizkuntza argi, soil eta ulergarrian
Egindako frogak xehatzen ditugu, baita gomendio aplikagarriak ere.
Ahulguneak konpontzen eta egindako zuzenketak berrikusten laguntzen dugu.
PTES, OWASP eta gisako metodologiak erabiltzen ditugu horretarako.
Ahulguneen inpaktua CVSSren arabera sailkatzen dugu.
Kanpoko auditoretzaren edo auditoretza perimetralaren helburua sarbide-bektoren, konfigurazio okerren eta Interneten argitaratutako aktiboetan dauden ahulguneen ikuspegi orokor bat lortzea da, IP helbideak, webguneak, DNS eta ziberreraso batek atzi dezakeen beste edozein zerbitzu ere kontuan hartuta.
Wifi-sareen auditoretzarekin konfigurazio okerrak eta segurtasun-protokolo zaharkituen erabilera identifika ditzakezu, baimendu gabe sartzea eta informazio-ihesak saihesteko.
Barne-auditoretza barne-sarerako sarbidea duen erasotzaile baten ikuspegitik egiten da, segurtasun-neurrien eta -kontrolen sendotasuna egiaztatzeko, baita ahulguneak identifikatu eta gero ustiatzeko ere.
Web-auditoretzaren helburua web-aplikazioaren eta bere azpiegituraren segurtasun-egoera identifikatzea eta ahulguneak zehaztea da, plataformaren eskuragarrritasuna eta erabiltzaileen konfidentzialtasuna arriskuan jar ditzaketelako.
Horretarako, OWASP metodologiari jarraituko diogu, eta besteak beste web-arkitektura duten aplikazioen segurtasun-arrisku handi hauek nabarmentzen dira: injekzioak, autentifikazio-galerak, informazio sentikorraren esposizioa, kanpoko XML erakundeak, sarbide-kontrol desegokia, segurtasun-konfigurazio okerra, cross-site scripting, deserializazio ez-segurua, ahulgune ezagunak dituzten osagaien erabilera eta behar adinakoa ez den erregistroa eta monitorizazioa.
Aplikazio mugikorraren auditoretzak, OWASP Mobile metodologiari jarraikiz, Android eta iOS teknologia mugikorrek informazioa nola biltegiratzen, transmititzen eta prozesatzen duten erakusten duten segurtasun-frogak dira.
Norberaren eta hirugarrenen tresnak erabiliz, analisi automatikoekin eta eskuzkoekin, gure segurtasun-talde erasokorrak auditoretza egingo du arrisku nagusi hauek kontuan hartuta: plataformaren erabilera desegokia, datuen biltegiratze ez-segurua, komunikazio ez-segurua, baimentze ez-segurua, bezeroaren kodearen kalitatea, kodearen manipulazioa, alderantzikatutako ingeniaritza eta funtzionalitate arraroak.
ICS OT zibersegurtasunaren auditoretzaren helburua ekoizpen-ingurunetako arriskuak, ahulguneak eta balizko arazoak identifikatzea da. Honela lortzen dugu:
- Lehendik dauden aktiboen, kokapenen, sareen, trafikoaren eta komunikazioen inbentarioa eginda
- Segurtasun fisikoaren ahulguneak, sareen segmentazioa, datuen segurtasuna, softwarearen ahulguneak, urruneko sarbideak, IAAA, akatsen tolerantzia, konfigurazioak eta abar aztertzea.
- Kontrolak ebaluatuta, IEC 62443, NIST 800-53 eta gisako zibersegurtasuneko estandar industrialen araudietan oinarrituta.
- Arriskuak aritzeko eta ekintza-plan orokorra definitzeko gomendioak egitea.
IoT gailuak ikaragarri ugaritzen ari dira eta geroz eta ohikoagoa da erasoak jasotzea euren sareen izaera soil eta irekia dela eta. Beraz, pribatutasuna eta segurtasuna dira teknologia honen ardura nagusiak, eta segurtasun-maila auditatu eta hobetu egin behar da.
Gure IoT segurtasunaren auditoretzaren zerbitzuarekin, gailuak kudeatzen dituen azpiegituran dauden gainazal guztien segurtasunaren egoera ezagut dezake bezeroak, eta edozein teknologia bidez (NFC, Bluetootha, wifia eta abar) konektatuta dauden balizko segurtasun-akatsen soluzioak aurki ditzake.
Kodearen auditoretzak programa, aplikazio edo zerbitzu baten iturburuko kodearen segurtasun-eskakizun batzuen bermea balioztatu nahi du.
Estatistikak aztertzeko tekniken bidez, kodea bera irakurtzea eta bere arkitektura berrikustea; ahulgune eta garapeneko ohitura txar mordoa bizkor-bizkor ezagutzen uzten digu.
Hodeiko zerbitzuak erabiltzen hasteak abantaila ugari ekartzen ditu, baina baita identifikatu eta kontrolatu behar diren arrisku berriak ere.
Hodeiko ingurunearen auditoretzan hodeiko zerbitzuekin eta hornitzaileekin lotutako segurtasun-kontrolak aztertzen dira, baimen-ahulguneak hautematzeko, biltegiratze-edukiontzien segurtasuna ebaluatzeko eta balizko konfigurazio ez-seguruak identifikatzeko.
Erabiltzileen informazio konfidentziala lortzeko zibergaizkileek erabiltzen duten manipulatzeko edo engainatzeko teknika ohikoenetako bat gizarte-ingeniaritza da. Erabiltzaileak segurtaun-kateko kate-maila ahulena dira, eta erasotzaileak sartzeko ate nagusia.
Gizarte-ingeniaritzaren simulakroen helburu nagusia dituen arriskuez eta erasotzeko modu ohikoenei buruz kontzientziatzea da; baita zuzendaritzari erakundea nolako arriskuan dagoen jakinaraztea ere.
Zaintza digitala eta iruzurra Adimen digitalean oinarritutako mehatxuak hautemateko zerbitzua da. Interneten argitaratutako informazioaren miaketarekin erakundearen izen onaren aurka egiten duten datuak biltzen dira.
Egiteko hori OSINT adimenarekin (kode irekiko adimena) egiten da, tekniken eta tresnen bidez, sare sozialetan, komunikabideetan, blogetan eta foroetan argitaratutako edukiak ikertzeko, baita Deep Web eta Dark Weben ere.
APT terminoak egun erakundeek aurre egin beharreko mehatxu isil berriei egiten die erreferentzia. Mehatxu aurreratu horien aurkako babesak erakundea eraso zibernetiko konplexuetatik (hala nola malwarea, gizarte-ingeniaritzako kanpainak eta abar) babesteko datu konfidentzialak babesteko diseinatutako segurtasun-soluzioak dira.
APT bidegabe sartzeari buruzko proben zerbitzuarekin erakunde baten ziberrerresilientzia azter dezakezu zuzendutako erasoen aurrean, eta erakundearen zibersegurtasun-gaitasunen heldutasun-maila ere ebalua dezakezu. Horretarako, erakundearen aurkako benetako eraso bat simulatzen da Etengabeko mehatxu aurreratu baten ezaugarriekin, tresna desberdinen bidez azpiegitura korporatiboan sartzeko helburuz.
Red Team zerbitzua erakunde baten azpiegituren, sistemen eta zerbitzuen aurkako eraso gaizto bat simulatzeko ekintza da, ad-hoc tresna erasotzaileak erabiliz, erakundean infiltratu eta ahulguneak aztertzeko.
Horretarako, gure adituek ahulguneak erasotzen dituzte eta sistema korporatiboetan sartzen aukera egiaztatzen dute, horrek negozioan izan dezakeen eragina aztertzeko eta erakundearen segurtasuna indartzeko. Erakundean horrelako egoera baterako prestatuta ote dagoen erakutsi nahi du.
Red Team batek bidegabeko sarrera bat lehen unetan hautematen eta eusten lagunduko du enpresarako ahulgune transbertsalak hautemanda, erantzutek prozedura hobetuz, monitorizatzeko sistemak hobetuz eta segurtasun-langileak entrenatuz.
Gure adituak zure esanetara daude
Bilera bat hitzartu nahi duzu?
Elkar ezagutu eta zure zibersegurtasunerako
ditugun soluzioei buruz
hitz egiteko unea.
