Služby poskytované v rámci auditů systémů a zařízení
Audit konfigurace aktivních síťových prvků
Nejrizikovějším místem s velkým množstvím neoprávněných průniků jsou aktivní prvky. Při jejich analýze se proto zaměřujeme zejména na oblasti nastavení statických tabulek na aktivních síťových prvcích, NAT – nastavení překladu adres, síťový monitoring, zabezpečení administrativního rozhraní atd.
Audit konfigurace operačních systémů na serverech
Prověrka konfigurace operačních systémů (OS) na serverech je prováděna pomocí systémových prostředků a specializovaných nástrojů. Audit provádějí certifikovaní specialisté na bezpečnost jednotlivých platforem. Prověrka systémů Windows je zaměřena například na posouzení nastavení politiky hesel (password policy), politiky auditu (audit policy), active directory apod. Operační systémy typu UNIX jsou zase prověřovány zejména z hlediska konfigurace a bezpečnosti služeb (/etc/conf/) atd.
Audit konfigurace firewallů a systémů IDS/IPS
Analýza je prováděna specialisty na firewally, kteří z pozice administrátora analyzují nastavení těchto klíčových bezpečnostních prvků. U firewallů se může auditovat jak samotná bezpečnost aplikace, tak i definovaná pravidla. Výsledkem analýzy IDS/IPS je především posouzení vhodnosti nastavení systémů klienta a případné návrhy jejich optimalizace.
Audit bezpečnosti speciálních systémů, aplikací a služeb
Prověrka vybraných aplikací z pohledu spolehlivosti, konfigurace, integrity, autentizace a důvěrnosti dat. Jedná se např. o prověrky aplikačních serverů, databázových serverů, webových serverů a mnoho dalších aplikací a služeb, které mohou zahrnovat oblasti jako bezpečnost kritických datových toků, chyby aplikací, možnost zneužití aplikace, stabilita aplikací, implementace šifrování, PKI apod.
Další specializované audity a testy (dle individuálních požadavků klienta)
Audity jsou vždy v souladu se standardy PCI-DSS a PA-DSS. Při prověrkách je brán ohled nejen na typ auditovaného zařízení, ale také na jeho umístění a návaznost na další IT infrastrukturu. Neřeší se tedy jako jednotlivý audit, ale jako audit celé infrastruktury.
Provádíme i audity topologie a infrastruktury. Prověřujeme provozované topologie sítě, případně cloudů z pohledu bezpečnosti přístupů třetích stran, partnerů, zaměstnanců, navržených DMZ oddělení a zabezpečení hlavních systémů atd.
Metodika
Při realizaci bezpečnostních auditů využíváme ucelenou a průběžně aktualizovanou metodiku AEC (divize společnosti Cleverlance). Ta vychází z metodik a doporučení předních organizací zabývajících se bezpečností informačních technologií. Mezi ně patří zejména následující:
Doporučení výrobců o hardeningu auditovaného hardwaru, operačních systémů a dalšího softwaru.
Doporučení organizace IETF (Internet Engineering Task Force) – organizace vydávající RFCs, tzv. standardy internetu.
Doporučení organizace NIST (např. NIST SP 800-44 Guidlines on Securing Public Web Servers).
CVE – Common Vulnerabilities and Exposures – standardizovaný slovník obecných zranitelností a ohrožení.