Audyt kodu

Audyt bezpieczeństwa kodu źródłowego polega na kompleksowej analizie kodu źródłowego pod kątem bezpieczeństwa.

Głównym celem audytu jest sprawdzenie bezpieczeństwa aplikacji od strony kodu źródłowego, co umożliwia identyfikację podatności trudnych do wykrycia w inny sposób.

Zrealizowane projekty: Pracowaliśmy m.in. dla banków, domów maklerskich, firm leasingowych, energetycznych, telekomunikacyjnych, produkcyjnych oraz e-commerce.

Dowiedz się więcej

Kluczowe cechy usługi audyt kodu:

  • W ramach testów sprawdzamy: 1) odwołania do bibliotek zewnętrznych/zależności oraz podatności w tych zależnościach, 2) podatności opisane w OWASP TOP 10, OWASP ASVS, OWASP Testing Guide, OWASP MASVS/OWASP MAS, PCI DSS – w zależności od wybranego zakresu – również takie, które są trudne do weryfikacji podczas testów bezpieczeństwa, 3) zastosowanie bezpiecznych praktyk programowania.
  • Zakres prac może obejmować: 1) audyt za pomocą narzędzi automatycznych, 2) ręczną / manualną weryfikację kodu, 3) podejście hybrydowe/mieszane – np. audyt całości kodu przy pomocy automatów i ręczna analiza wybranych fragmentów kodu.
  • Ryzyko oceniane według międzynarodowych standardów CVSS, OWASP RRM.
  • Stanowią kluczowy element budowania świadomości bezpieczeństwa (security awareness) wśród pracowników.
  • Wyniki testów stanowią informacje wejściowe dla procesów zarządzania ryzykiem oraz incydentami bezpieczeństwa w organizacji.
  • Testy realizowane przez ekspertów z certyfikatami, m.in. OSCE, OSCP, OSWE, OSEE, CPTE, CEH, CISSP, CISA i wieloletnim doświadczeniem w zabezpieczaniu systemów, administracji i programowaniu.
Sprawdź, co zyskujesz »

Korzyści

Zwiększenie bezpieczeństwa danych

Poprawa ochrony informacji przetwarzanych w systemach IT.

Redukcja ryzyka ataków

Zmniejszenie ryzyka włamań i skutecznych cyberataków.

Wczesne wykrywanie podatności

Identyfikacja luk, błędów i słabych punktów systemów zanim zrobią to cyberprzestępcy.

Praktyczne rekomendacje

Szybkie i efektywne kosztowo rozwiązania gotowe do wdrożenia (tzw. "quick wins").

Zgodność z normami

Spełnienie międzynarodowych standardów, takich jak ISO 27001, OWASP, OSSTMM i PCI DSS.

Uniknięcie strat

Zapobieganie stratom finansowym, utracie reputacji, problemom prawnym oraz sankcjom nadzorczym, w tym karom przewidzianym dla Zarządu w regulacjach DORA, RODO, itp.

Sprawdzenie bezpieczeństwa

Ocena, jak dobrze chronione są systemy IT i procesy w organizacji.

SWOT bezpieczeństwa

Wskazanie mocnych i słabych stron systemów IT oraz procedur bezpieczeństwa.

Zmniejszenie ryzyka

Wykrywanie i usuwanie słabych punktów, aby ograniczyć możliwość ataków i incydentów.

Ochrona przed atakami

Testy oparte na rzeczywistych scenariuszach pomagają w skutecznej obronie przed cyberzagrożeniami.

Oszczędność kosztów

Wczesne wykrycie luk pozwala uniknąć wydatków na naprawę skutków ataków.

Sprawdź nasze podejście »

Przemyślany plan działania

PL

EN

DE

Zobacz raport »

Masz pytania?

Skorzystaj z BEZPŁATNEJ KONSULTACJI

Zapisz się już teraz!

Raport

Wynikiem będzie szczegółowy raport z wynikami testów oraz praktycznymi rekomendacjami, obejmujący:

  • Streszczenie dla Zarządu, obejmujące:
    • Cel i zakres wykonanych prac;
    • Zastosowane podejście;
    • Podsumowanie wyników i wykonanych prac opisane biznesowym (nietechnicznym) językiem;
  • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
    • Zakres testów;
    • Data realizacji testów;
    • Opis zastosowanych metodyk i technik;
    • Zestawienie zidentyfikowanych podatności;
    • Narzędzia wykorzystane do realizacji testów;
    • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
      • Tytuł – tytuł zidentyfikowanej podatności;
      • Opis podatności – szczegółowy, techniczny opis zidentyfikowanych podatności;
      • Proof of concept (wyniki analizy możliwości wykorzystania podatności):
        • sposób wywołania podatności;
        • informacje potwierdzające zidentyfikowane podatności np.
          • przypadki testowe (zrzuty ekranów, przykłady zmanipulowanych zapytań), które dokumentują istnienie podatności;
          • listing poleceń źródłowych stanowiące dowód występowania podatności (tam gdzie ma to zastosowanie);
          • fragmenty logów (tam gdzie ma to zastosowanie);;
    • Skutki wykorzystania podatności (szczegółowy opis możliwych skutków wykorzystania podatności);
    • Poziom ryzyka wg CVSS lub OWASP RRM oraz w skali:
      • KRYTYCZNY/Critical,
      • WYSOKI/ High,
      • ŚREDNI/Medium,
      • NISKI/Low,
      • INFORMACYJNY/Info.
    • Odniesienie do baz danych o podatnościach;
    • Rekomendacje – opis praktycznych działań, jakie należy podjąć w celu eliminacji zidentyfikowanych podatności lub minimalizacji ryzyka z nich wynikającego oraz uwzględniający specyfikę działania Klienta wraz z określeniem sposobu ich wdrożenia.

Najczęściej zadawane pytania

Czy oferujecie Państwo zarówno testy manualne, jak i automatyczne? Jakie są różnice w podejściu do obu typów testów w Państwa firmie?

Zgodnie z metodyką Optima Partners skupiamy się głównie na przeprowadzaniu testów manualnych. Testy automatyczne są tylko dodatkiem do testów manualnych.

Realizujemy też dla Klientów testy automatyczne w ramach cyklicznych skanów bezpieczeństwa aplikacji w celu szybkiej identyfikacji podatności tzw. low hang fruits.

Jak liczny zespół mają Państwo do dyspozycji?

Posiadamy zespół:

  • ponad 20 inżynierów bezpieczeństwa (pentesterów) posiadających m.in. następujące certyfikaty: OSCE, OSCP, OSWE, OSEE, CPTE, CEH.
Czy posiadacie Państwo certyfikaty potwierdzające kwalifikacje zespołu związane z bezpieczeństwem IT?

Tak, posiadamy certyfikaty potwierdzające kwalifikacje zespołu takie, jak:

    1. CISSP (Certified Information Systems Security Professional),
    2. OSCE (Offensive Security Certified Expert),
    3. OSCP (Offensive Security Certified Professional),
    4. OPST (OSSTMM Professional Security Tester),
    5. OSEE (Offensive Security Exploitation Expert),
    6. OSWE (Offensive Security Web Expert),
    7. OSWP (Offensive Security Wireless Professional),
    8. CEPT (Certified Expert Penetration Tester),
    9. CEH (Certified Ethical Hacker),
    10. Certified Penetration Tester (CPT),
    11. CSX Cybersecurity Practitioner (CSX-P),
    12. GPEN (GIAC Penetration Tester),
    13. GWAPT (GIAC Web Application Penetration Tester),
    14. GMOB (GIAC Mobile Device Security Analyst),
    15. GXPN (GIAC Exploit Researcher and Advanced Penetration Tester),
    16. Industrial Automation and Control Systems Security (ISA-99)
    17. LPT (Licensed Penetration Tester),
    18. ECSS (EC-Council Certified Security Specialist),
    19. AWE (Advanced Windows Exploitation),
    20. eCPPT (eLearnSecurity Certified Professional Penetration Tester),
    21. eJPT (eLearnSecurity Junior Penetration Tester),
    22. eMAPT (eLearnSecurity Mobile Application Penetration Tester),
    23. eWPT (eLearnSecurity Web application Penetration Tester),
    24. eWPTX (Web application Penetration Tester eXtreme),
    25. CompTIA Security+,
    26. Systems Security Certified Practitioner (SSCP),
    27. CompTIA Project+,
    28. CIA (Certified Internal Auditor),
    29. CISA (Certified Information Security Auditor),
    30. CISM (Certified Information Security Manager),
    31. Audytor Wiodący ISO 27001,
    32. Audytor wewnętrzny SZBI BS 7799,
    33. Audytor Wiodący ISO 22301
    34. CRISC (Certified in Risk and Information Systems Control),
    35. CBCP – Certified Business Continuity Professional (DRII),
    36. Certified ISO 31000 Risk Manager (PECB),
    37. ITIL Foundation,
    38. ITIL Intermediate,
    39. Prince2 Practitioner.

i wiele więcej…

Jakie narzędzia i technologie wykorzystujecie Państwo do audytów kodu?

Do realizacji audytu wykorzystujemy m.in. następujące narzędzia:

  • Narzędzia wspomagające audyt kodu źródłowego:
    • Rational AppScan
    • WebInspect
    • Fortify
    • Środowisko pracy Eclipse IDE
    • Visual Studio
    • Plugin findbugs
    • Semgrep
    • SonarQube
    • Autorskie narzędzia i aplikacje wspomagające proces przeprowadzania audytu
Jakie metodyki wykorzystujecie Państwo do audytów kodu?

Autorska metodyka Optima Partners oparta jest o międzynarodowe normy i standardy takie jak:

  1. OWASP Code Review Guide
  2. Secure Coding Practices
  3. OWASP ASVS
  4. OWASP Developer Guide
  5. OWASP Go Secure Coding Practices Guide
  6. CWE – w tym CWE Top 25 Most Dangerous Software Weaknesses
  7. OWASP TOP 10
  8. Carnegie Mellon Software Engineering Institute CERT Secure Coding Standards
  9. NIST SP 800-218 Secure Software Development Framework (SSDF)
  10. NIST SP 800-53 Security and Privacy Controls for Information Systems and Organizations
  11. Secure coding guidelines for .NET
  12. Microsoft SDL
Jaki jest potencjalny czas trwania testów oraz audytu, włącznie z opracowaniem wyników i zaleceń po ich zakończeniu?

W zależności od wielkości kodu audytowanego systemu audyt zwykle trwa od 2 do 8 tygodni.

Jak wygląda proces raportowania wyników audytu kodu? Czy dostarczacie Państwo szczegółowy raport zawierający podatności, ich ryzyko oraz rekomendacje?

Wynikiem naszych prac jest raport z niezależną oceną poziomu bezpieczeństwa wg międzynarodowych standardów (CVSS, OWASP), który może być zaprezentowany zainteresowanym stronom (udziałowcom, kontrahentom, klientom) wraz z praktycznymi rekomendacjami.

Raport obejmuje:

  • Streszczenie dla Zarządu, obejmujące:
    • Cel i zakres wykonanych prac;
    • Zastosowane podejście;
    • Podsumowanie wyników i wykonanych prac opisane biznesowym (nietechnicznym) językiem;
  • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
    • Zakres testów;
    • Datę realizacji testów;
    • Opis zastosowanych metodyk i technik;
    • Narzędzia wykorzystane do realizacji testów;
    • Zestawienie zidentyfikowanych podatności zawierające, co najmniej:
      • identyfikator podatności,
      • nazwę,
      • opis,
      • opis wpływu,
      • prawdopodobieństwo jej wykorzystania oraz 
      • sposoby jej wyeliminowania.
    • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
      • Tytuł – tytuł zidentyfikowanej podatności;
      • Opis podatności – szczegółowy, techniczny opis zidentyfikowanych podatności;
      • Proof of concept (wyniki analizy możliwości wykorzystania podatności):
        • sposób wywołania podatności;
        • informacje potwierdzające zidentyfikowane podatności np.
          • przypadki testowe (zrzuty ekranów, przykłady zmanipulowanych zapytań), które dokumentują istnienie podatności;
          • listing poleceń źródłowych stanowiące dowód występowania podatności (tam gdzie ma to zastosowanie);
          • fragmenty logów (tam gdzie ma to zastosowanie);;
    • Skutki wykorzystania podatności (szczegółowy opis możliwych skutków wykorzystania podatności);
    • Poziom ryzyka wg CVSS lub OWASP RRM oraz w skali:
      • KRYTYCZNY/Critical,
      • WYSOKI/High,
      • ŚREDNI/Medium,
      • NISKI/Low,
      • INFORMACYJNY/Info.
    • Odniesienie do baz danych o podatnościach;
    • Rekomendacje – opis praktycznych działań, jakie należy podjąć w celu eliminacji zidentyfikowanych podatności lub minimalizacji ryzyka z nich wynikającego oraz uwzględniający specyfikę działania Klienta wraz z określeniem sposobu ich wdrożenia.
Jak wygląda komunikacja podczas realizacji projektu? Czy istnieje możliwość bezpośredniego kontaktu z testerami lub liderem projektu?

Na bieżąco komunikujemy się z Klientem w czasie projektu. Do realizacji projektu dedykujemy:

  • Pentestera Wiodącego, z którym można się na bieżąco kontaktować w sprawach dotyczących realizacji testów, zidentyfikowanych podatności, itp.
  • Project Managera, z którym można się na bieżąco kontaktować w sprawach dotyczących zarządzania projektem, terminów, problemów, ryzyk itp.
Czy przewidujecie Państwo wsparcie po zakończeniu testów w zakresie usuwania wykrytych podatności i ponownych testów?

Tak, zakres naszych prac obejmuje:

  1. wsparcie w zakresie usuwania wykrytych podatności
  2. re-testy
  3. szkolenia w zakresie usuwania podatności.
Jakie są Państwa rekomendacje dotyczące cykliczności testów penetracyjnych/audytów kodu? Czy oferujecie Państwo wsparcie przy tworzeniu strategii ciągłego monitorowania bezpieczeństwa?

W zależności od:

  • Poziomu wrażliwości / poufności przetwarzanych danych
  • Poziomu ryzyka naruszenia bezpieczeństwa
  • Liczby zmian w danym systemie

rekomendujemy przeprowadzanie testów penetracyjnych cyklicznie z częstotliwością od 3 do 24 miesięcy.

Oferujemy wsparcie w tworzeniu strategii ciągłego monitorowania bezpieczeństwa.

Czy oferujecie Państwo rabaty lub korzystniejsze warunki w przypadku podpisania długoterminowej umowy na cykliczne testy?

Tak.

Jak zabezpieczacie Państwo dane i raporty związane z testami penetracyjnymi oraz audytem kodu?

Stosujemy m.in. następujące zabezpieczenia zgodne z ISO 27001:

  • Kontrola dostępu do serwerowni, serwerów, zasobów sieciowych, na których składowane są dane i raporty.
  • Szyfrowanie dysków twardych.
  • Szyfrowanie plików za pomocą PGP.
  • Szyfrowanie załączników przesyłanych emailem za pomocą PGP.
  • Szyfrowanie treści emaili.
  • Ciągłe monitorowanie dostępu do danych i raportów.
  • Itp.