Skip links

Testare de securitate cibernetică

Servicii profesionale de evaluare a eficacității și nivelului de conformitate

Serviciile de testare de securitate cibernetică livrate de Safetech Innovations evaluează eficacitatea măsurilor de securitate ale organizației și identifică vulnerabilitățile care ar putea fi exploatate de atacatori. În plus, testarea este necesară pentru respectarea cerințelor de reglementare și conformității cu anumite standarde precum PCI DSS, ISO 27002, NIS, norme ale BNR, ASF s.a. Demonstrând că au luat măsuri pentru a-și securiza sistemele și datele, organizațiile pot, de asemenea, să își îmbunătățească relațiile de încredere cu clienții, partenerii și părțile interesate.

Serviciile Safetech de testare cuprind evaluarea vulnerabilităților, teste de penetrare pentru rețele de date, medii cloud, aplicații mobile, evaluarea securităţii codului software, inginerie socială etc.

Metodologia folosită pentru
testarea de securitate

Serviciile de testare securitate cibernetică livrate de Safetech Innovations includ următorii paşi:

Definirea scopului serviciilor şi elaborarea unui plan de acțiuni.

Vom agrea un acord de confidențialitate și vom conveni asupra scopului și acoperirii lucrărilor, inclusiv tipul de testare care va avea loc și scenariile de atac. În această fază centralizăm cerințele, agreem obiectivele, convenim formularele, termenele, precondițiile, limitările și excluderile.

Executarea planului de acțiune.

Această fază are ca scop descoperirea defectelor în rețele, sisteme și/sau aplicații folosind mecanisme active și pasive, verificând, între altele, configurarea greșită a sistemelor și a serviciilor, versiunile instalate de aplicații și de corecții software și proiectarea nesigură a aplicației. Testarea automată pe care o efectuăm descoperă vulnerabilitățile și aplicațiile malware prezente în infrastructură și indică modurile de a exploata vulnerabilitățile prezente și ușurința efectuării exploatărilor.

Raportarea rezultatelor.

Acțiunile de evaluare de securitate cibernetică efectuate în timpul fazei de execuție vor fi documentate într-un raport care conține testele finalizate, vulnerabilitățile descoperite și riscurile de securitate asociate, împreună cu recomandări pentru remedierea acestora.

Informare pentru facilitarea remedierii şi retestare.

În această etapă vă vom acorda suport pentru înțelegerea problemelor identificate și a recomandărilor propuse pentru reducerea riscurilor asociate vulnerabilităților descoperite. Orice angajament de securitate cibernetică efectuat de echipa noastră se încheie cu o retestare, astfel încât să fiți siguri că problemele identificate au fost rezolvate cu succes.

Caracteristici specifice ale serviciilor Safetech de testare de sisteme

Serviciul nostru de scanare a vulnerabilităților oferă informații actualizate, folosind scanere interne și externe pentru a detecta cu acuratețe vulnerabilitățile din rețeaua dvs. și din mediile cloud acceptate. Efectuăm scanări foarte precise asupra dispozitivelor de rețea, serverelor, aplicațiilor web, bazelor de date și altor active la nivel local și în medii cloud.

Serviciul nostru vă asigură gestionarea vulnerabilităților fără a pune asupra dv. sarcini cu privire la hardware, software și mentenanță pentru produse de scanare. Serviciul este gestionat integral de echipa noastră dedicată, eliminând din responsabilitatea dumneavoastră activitățile de administrare și întreținere. 

Cu ajutorul serviciului nostru veți identifica vulnerabilități reale, exploatabile, veți îndeplini necesitățile de conformitate cu reglementările, veți completa echipa, pe durata serviciilor noastre, cu experți dedicați în gestionarea vulnerabilităților și vă veți simplifica procesul de remediere, aplicând recomandările conținute în raportul livrat de noi.

Testele de penetrare reprezintă o modalitate de evaluare a securității unui sistem informatic prin simularea unor atacuri, prin exploatarea vulnerabilităților existente și cunoscute într-un mod asemănător încercărilor unui atacator, cu diferența că acestea vor fi efectuate într-un mod etic, cu permisiunea beneficiarului.

Un test de penetrare complet va cuprinde atât teste automate cât și manuale. Testele manuale vor identifica erori de programare și vor analiza și confirmă sau infirma rezultatele testelor automate.

Testarea de penetrare are loc în trei abordări principale: black box, grey box și white box:

  1. Black box – în această situație echipa de testare nu va cunoaște nici o informație despre sistemele testate, cu excepția informațiilor de accesare a aplicațiilor (pagini web, adrese IP). Această infrastructură va fi utilizată pentru testarea externă a beneficiarului.
  2. Grey Box - în această situație echipa de testare nu va cunoaște informații despre sistemele testate, dar va dispune de un cont de utilizator la o stație de lucru cu anumite roluri. Această abordare hibridă este cea mai comună formă de test de penetrare, deoarece testerul poate simulă un atac metodic fără a fi nevoie să cunoască fiecare detaliu al sistemelor țintă.
  3. White box – în această situație echipa de testare va avea acces la orice informație despre sisteme, incluzând codul sursă sau privilegii administrative. Această metodă permite o testare amănunțită, permițând ca problemele de securitate să fie descoperite mai rapid și în număr mai mare.

Echipa noastră utilizează echipamente și aplicații specifice și are o experiență solidă cu privire la efectuarea de teste de penetrare la nivel de rețea, inclusiv wireless, sisteme de operare, baze de date și aplicații, inclusiv web, mobile, client/server, servicii din cloud, atacuri informatice ce simulează aplicații malițioase și de degradare/întrerupere a serviciului (DoS, DDoS). Safetech are proceduri de lucru conforme bunelor practici în domeniu, prin care este redus riscul de a afecta sistemele informatice aflate în scop.

Safetech Innovations folosește o abordare în patru pași pentru a efectua verificări de cod:

  • Identificarea obiectivelor verificării codului - În acest pas investigăm arhitectura aplicației și tehnologia utilizată, pentru a găsi specificațiile cheie de securitate și amenințări. Pe baza acestora, dezvoltăm un document care descrie obiectivele revizuirii codului. Aceasta include un set de tehnologii și vulnerabilități specifice care urmează să fie revizuite de experții noștri.
  • Efectuarea unei scanări preliminare - În al doilea pas folosim, dacă este posibil, un scanner de analiză statică pentru a descoperi un set inițial de probleme la nivel de cod care ar putea necesita o verificare manuală detaliată. Scanarea implică o combinație de metode de analiză statică și verificare manuală pentru a identifica vulnerabilitățile din interiorul codului - zone în care probabilitatea de a avea breșe de securitate este peste medie.
  • Efectuarea unei inspecţii detaliate - În continuare, trecem la verificarea manuală a codului pentru a identifica defectele greu de descoperit folosind instrumente de analiză statică.
  • Raportarea rezultatelor - Etapa finală a verificării implică analiza problemelor cauzate de arhitectura aplicației. În final, documentăm problemele identificate și facem recomandări pentru remediere.

Ingineria socială acoperă elementul uman al securității, direcție prin care evaluatorii vor încerca să acceseze informații sensibile manipulând psihologia umană. Echipa Safetech Innovations va determina cât de vulnerabili sunt angajații Beneficiarului la un potenţial atac de inginerie socială şi care este probabilitatea ca aceştia să încalce regulile şi/sau procedurile companiei.

Serviciile de inginerie socială tip phishing oferite de compania noastră sunt concepute pentru a imita atacurile pe care persoane rău intenționate le-ar putea efectua pentru a obţine informații confidențiale din organizația dumneavoastră. Phishingul constă în trimiterea de către un terț de comunicări, cel mai frecvent prin e-mail, de la o sursă aparent legitimă - de exemplu, imitând o persoană cu funcţie de conducere, un coleg sau un furnizor de servicii. 

Serviciile propuse se finalizează cu livrarea unui raport complet al constatărilor și recomandărilor de atenuare a riscurilor identificate, ce include numărul de mesaje trimise, destinatarii, numărul de mesaje deschise, numărul de formulare completate. În raport vor fi incluse statistici comparative ale rezultatelor obţinute, față de  alte campanii derulate de către Safetech Innovations, pentru a avea o referința reală din piață.

Ce recomandă serviciile Safetech?

Numărând în prezent peste 70 de angajați, compania are echipe dedicate de cercetare și dezvoltare de produse software de securitate cibernetică, de implementare și suport de soluții de securitate și, respectiv, de tip Computer Emergency Response Team (CERT).


Ne-am specializat în identificarea vulnerabilităților, în reducerea riscurilor și în crearea programelor de securitate care să asigure pe termen lung condițiile de care compania are nevoie pentru a se dezvolta.

Specialiștii Safetech au expertiză avansată în:

Analiza amenințărilor și a vulnerabilităților existente/potențiale,

Evaluarea riscurilor și a impactului de business,

Consultanță în vederea asigurării confidențialității, integrității și disponibilității informațiilor,

Implementarea soluțiilor necesare în vederea realizării unui nivel optim de securitate, care să mențină un business sănătos pe termen lung,

Monitorizarea continuă a evenimentelor și răspunsul la incidentele de securitate cibernetică.

ics detect

Contactează-ne