Sérülékenységvizsgálat

Kinek ajánljuk a szoftverbiztonsági auditokat?

  • Az informatikai kockázatkezelésért felelős vezetők (pl. CISO), akik felelősek az üzleti folyamatokat megvalósító alkalmazásokhoz kapcsolódó működési kockázatok megelőzéséért és mérsékléséért.
  • A GDPR-megfelelőségért felelős mivel a személyes adatok védelme nagymértékben függ a megfelelő szoftverbiztonságtól.
  • A szoftver fejlesztő vagy implementáló projekteknek a fejlesztőcsapatoknak vagy a szoftvert használó üzleti területeknek.
  • A belső biztonsági csapatoknak, ha nincsenek belső ismeretek a sebezhetőségi értékelések elvégzésére. Ha létezik belső kompetencia és gyakorlat, mivel a külső pentesterek általában jobban képzettek és szélesebb körű tapasztalattal rendelkeznek.

Miért hasznos?

  • A modern szoftverek túlságosan összetettek ahhoz, hogy biztonságosak legyenek, miközben a szoftvergyártásban résztvevők általában a funkcionalitás időben történő leszállítására összpontosítanak.
    Még a biztonság szem előtt tartásával és a CI/CD-be épített biztonsági teszteléssel előállított szoftvereket is ellenőrizni kell, mielőtt a gyártásba kerülnének. Minden egyes fő verziót tesztelni kell.
  • A biztonsági problémák diagnosztizálását korán kell elvégezni, mivel minél korábban észlelik a problémát, annál könnyebben lehet javítani, és annál könnyebb javítani az architektúrával kapcsolatos problémák összes következményét is.
  • Hasznos a biztonsági ellenőrzési csoportok rotációja, mivel a sebezhetőségek és gyengeségek jellege miatt a különböző csapatok különböző problémákat találnak meg.

Mit teszünk?

  • A szoftvermérnökök pozitív gondolkodásmóddal rendelkeznek, a kívánt funkcionalitásra és annak legjobb megvalósítására összpontosítanak. Eközben a hackerek biztonsági látásmóddal rendelkeznek, amely hajlamos rátalálni a visszaélések lehetőséges módjaira [lásd B. Schneier]. A biztonsági auditorok segítenek a fejlesztőknek, a vezetőségnek és a felhasználóknak abban, hogy a lehetséges gyenge pontok szempontjából tekintsenek az eszközeikre.
  • Amellett, hogy rendelkezünk a biztonsági problémák felfedezéséhez szükséges hajlandósággal és készségekkel, jártasak vagyunk a vállalati szoftverfejlesztés működésében, beszéljük a fejlesztők nyelvét, és áthidaljuk a biztonság és a fejlesztés közötti szakadékot.
  • Ellenőreink a vállalati szoftvergyártás területén szerzett többéves tapasztalattal rendelkező, szaktekintéllyel rendelkező szakemberek: például biztonsági tesztelők, akik jól tudnak kódolni, vagy vezető fejlesztők, akik megtanulták a biztonsági tesztelést és az S-SDLC-t, a biztonságos gyártás módszertanát.