Biztonsági audit során nemzetközi módszertanok szerint értékeljük a vállalat információbiztonságának állapotát annak mérésével, hogy az milyen mértékben felel meg a releváns kritériumrendszernek. Egy átfogó audit jellemzően a rendszer fizikai architektúrájának és környezetének, a szoftvereknek, az információkezelési, üzemeltetési és biztonsági folyamatoknak és a felhasználói felkészültségnek és gyakorlatoknak a biztonságát vizsgálja. Olyan biztonsági ellenőrzési riportot adunk át partnereinknek, amely tartalmazza a feltárt hiányosságokat, a levont következtetéseket és a javaslatokat.

A sérülékenységvizsgálat egy IT rendszer átfogó ellenőrzését takarja, amely a potenciális biztonsági gyenge pontok felfedését célozza meg. A sérülékenység vizsgálat első fázisát megfelelően paraméterezett, automatizált céleszközökkel végezzük, melyet manuális validálás és a fenyegetések elemzése követ. A penteszt, azaz behatolás tesztelés során tapasztalt szakértőink megvizsgálják, hogy egy rendszer mennyire áll ellen a célzott támadásoknak. A behatolás vizsgálat a sérülékenységvizsgálat során feltárt sebezhetőségek kihasználására épül. Az elemzés elvégzése után dokumentálásra kerülnek a támadási módok, a kihasznált biztonsági gyenge pontok és a korrekciós javaslatok.

NAH által akkreditált kiberbiztonsági vizsgálólaborként rendszeresen végzünk laborszintű vizsgálatot szoftvertermékek, informatikai rendszerek és ipari rendszerek esetén is. Ennek megfelelően nemzetközi módszertanok, elvárások és irányelvek alapján auditáljuk partnereink fenyegetettségi szintjét. A tesztelés során vizsgálatra kerülhet az architektúra, az implementálás megfelelősége és a szoftverek biztonsági funkciói, valamint az iparági szokásoknak megfelelő egyéb követelményeknek való megfelelés is. A tesztelés során elemezhetjük a forráskódot, behatolás tesztelést és sérülékenység vizsgálatot hajthatunk végre, megvizsgálhatjuk az emberi erőforrások biztonsági kérdéseit, az IT vagyontárgyak kezelését, valamint az incidens menedzsmentet és a vészhelyzetkezelést is.

Az új és egyre szélesebb körű biztonsági kockázatok felmerülésének egyik oka a digitális rendszerektől való növekvő függőség. Azok a vállalatok, amelyek idejében felfedezik ezeket az új digitális kockázatokat, a jobb teljesítmény és az erősebb ellenálló képesség révén versenyelőnyre tehetnek szert. Kockázatfeltárás szolgáltatásunkkal arra törekszünk, hogy rávilágítsunk az információs rendszerekben és szoftverekben rejlő stratégiai, operációs és technológiai kockázatokra, hogy teret adjunk a megalapozott biztonsági döntéshozatalnak és a problémák költséghatékony megoldásának.

A biztonsági konfigurációelemzés szolgáltatásunk ellenőrzi az informatikai rendszer komponenseinek biztonsági beállításait, mint például jogosultságok, fájlrendszer hozzáférések, titkosítási és hashelési eljárások, futó folyamatok és elérhető szolgáltatások beállításait, amelyek befolyásolhatják a rendszer, vagy környezetének biztonságát. A vizsgálat során felderítjük azokat a biztonsági hibákat, anomáliákat, melyek az adott rendszer határain kívülről (pl.: hálózati irányból) nem minden esetben felderíthetők, mégis veszélyt jelenthetnek. Ezek kívülről jövő támadás esetén hozzáférést biztosíthatnak a támadó számára, vagy belső jogosultság szint emelést érhet el általuk. A vizsgálatot automatizált és manuális módszerekkel végezzük a CIS ajánlások mentén.

A forráskódelemzés során a kód megfelelőségét vizsgáljuk biztonsági szempontból, felkutatjuk a fennálló, az adott programozási nyelvre jellemző sérülékenységeket, feltárjuk a nem aktuális jógyakorlatnak megfelelő megoldásokat, és listát készítünk a nem támogatott, nem javasolt vagy elavult komponensekről. A forráskódelemzést automatizált és manuális módszerekkel végezzük, melyek egymást kiegészítve hozzák létre a kódelemzés átfogó végeredményét. A vizsgálat során ellenőrizzük a CWE/SANS TOP 25 gyűjteményben szereplő hibák meglétét a forráskódban.

Az Open Source Intelligence (OSINT), a nyilvánosan elérhető adatforrásokból, például a közösségi médiából, nyilvántartásokból, publikált dokumentumokból vagy a különböző weboldalakról és infrastruktúra elemekből kinyerhető információk összegyűjtését, feldolgozását és elemzését jelenti. Elsősorban információkat gyűjt, rendszerez és állít elő, amelyek elemzésével válasz adható a megbízó kérdéseire. A kiberbiztonságban védelmi és megelőzési szerepet tölt be, de ugyanilyen jól használható eszközkészletet jelent a különféle események vagy incidensek feltárásakor, illetve az egyéb felderítési vagy nyomozati tevékenységeken belül.

A megvalósíthatóság tervezése során objektív és racionális módon feltárjuk a projekt erősségeit és gyengeségeit, a technológiai környezet jelentette lehetőségeket és veszélyeket, valalmint felmérjük a végrehajtáshoz szükséges erőforrásokat. Majd ezek alapján alternatívákat dolgozunk ki a lehetséges megvalósításra. Ez a tervezés nélkülözhetetlen minden komplex kiberbiztonsági beruházás kezdetén, hiszen ennek segítségével tudjuk felmérni a szükséges ráfordításokat és a potenciálisan elérhető végeredményt, amelyeknek arányosnak kell lenniük egymással.

A biztonsági specifikáció kialakításával támogatjuk ügyfeleinket a cég kiberbiztonsági rendszerének tervezési, kialakítási és átalakítási folyamatában azáltal, hogy a szükséges funkciók és technológiai képességek mellett a releváns biztonsági követelményeket is azonosítjuk. Az általunk létrehozott biztonsági specifikáció meghatározza a szükséges rendszerek, szoftverek és funkciók biztonság szempontjából releváns működésének kereteit. Ezáltal, a Security by design elv alkalmazásával a fenyegetések kezelése már a tervezés során megjelenik.

A fenyegetések listázása után javaslatokat teszünk azok csökkentésének és kiküszöbölésének módjára, amely rövid, közép és hosszú távon is szolgálja ügyfeleink biztonsági törekvéseit. Ezek a javaslatok részletesen kifejtik, hogy taktikai és operatív időtávokban mit és hogyan kellene elvégezni, valamint azt is, hogy ezeket milyen sorrendben, milyen ráfordítások mentén érdemes megvalósítani. Ennek eredményeképpen partnereink pontosan tudni fogják, hogy mit kell tenniük azért, hogy biztonságosabbá tegyék vállalatukat, rendszereiket és folyamataikat.

A kockázatelemzés kiterjed a potenciális fenyegetések csoportosítására és értékelésére, amelyekkel egy átfogó kockázati mátrixot alakíthatunk ki. A kockázatfeltárás után szükséges, hogy megértsük a szervezet működésére irányuló fenyegetések típusát, súlyosságát és a bekövetkezésének valószínűségét. Ezek paraméterezése és priorizálása után össze tudunk állítani egy kockázatkezelési stratégiát, ami a kockázatok hatásának jelentős mértékű csökkentését, felvállalását, vagy áthárítását tűzi ki célul. Ezeken kívül szolgáltatásunk magában foglalja a kockázatmenedzsment folyamatának dokumentálását és a kockázati tényezők utólagos felülvizsgálását is, ugyanis ezek időközben változhatnak.

Az általunk létrehozott biztonsági stratégia egy nagyívű tervezés eredménye, amelyben többek között meghatározzuk a vállalat kiberbiztonsági céljait és az azokhoz vezető utat is. A biztonsági stratégia keretet ad az intézkedés tervezésnek, így a kettő szorosan egymáshoz kapcsolódik. A létrehozott terv segít abban, hogy partnereink átlátható és logikusan felépített képet kapjanak a vállalat aktuális biztonsági helyzetéről és a jövőben elérhető célokról. Továbbá azt is felmérhetik, hogy ezek elérése milyen típusú és mértékű ráfordításokat igényelnek.

Egy új informatikai rendszer bevezetésénél vagy egy új kompetencia erősítésénél elengedhetetlenné válik a folyamatszervezés. Ezen tevékenységünk magában foglalja partnereink információbiztonsági folyamatainak helyzetfelmérését, a folyamatok rögzítését, elemzését és ezek esetleges megváltoztatására tett javaslatok megfogalmazását a biztonságos működés érdekében. A kidolgozott modellek és dokumentációk által a folyamatok áttekinthetők lesznek, miközben egyértelművé válnak az optimalizálási lehetőségek is.

A kiberbiztonság területén is nagy ára van annak, ha egy vállalat nem törekszik a szabályozott működésre, azaz ha a csapat nem tudja, hogy az egyes lépéseknél kik a felelősök, az érintettek és milyen inputok és outputok keletkeznek. A folyamatok szabályozása elkerülhetetlen ahhoz, hogy ezek a szerepek magától értetődők, míg a folyamat könnyen kezelhető, monitorozható, elemezhető és reprodukálható legyen. A szabályozási szolgáltatásunk segít ezek megteremtésében, ami által javul az adatok és rendszerek bizalmasságára, sértetlenségére és rendelkezésre állására mutató fenyegetésekkel szembeni ellenálló képessége.

Pártatlansági nyilatkozattal rendelkező független kiberbiztonsági szakértőként azért dolgozunk, hogy partnereinknek testre szabott szakmai támogatást nyújtsunk. Célunk az, hogy tapasztalatunk és széleskörű szakmai rálátásunk révén hozzájáruljunk az IT biztonság célzott fejlődéséhez. Mi minden esetben az ügyfeleink érdekeit képviseljük, amihez az is hozzátartozik, hogy gyártó- és márkafüggetlenül javaslatokat teszünk, valamint támogatjuk azok megvalósítását is. Szakmai kompteneciánkat arra használjuk, hogy olyan céleszközöket és megoldásokat javasoljunk, melyek 100%-ban illeszkednek partnereink sajátosságaihoz.

Gyártó- és márkafüggetlen biztonsági szakértőként abban is támogatjuk partnereinket, hogy a kiberbiztonsági tervüket olyan rendszerekkel, szoftverekkel és más megoldásokkal valósíthassák meg, melyek a lehető legnagyobb mértékben lefedik az igényeiket. Mivel nem állunk viszonteladói kapcsolatban egy gyártó- vagy szoftverfejlesztő vállalattal sem, mi kizárólag azokat a szempontokat vesszük figyelembe, amelyek ügyfeleink érdekeit szolgálják. Ennek megfelelően a biztonság megtervezése után olyan beszállító partnereket, biztonsági megoldásokat és szoftvereket javaslunk, melyek hosszú távon is képesek kiszolgálni a vállalat üzleti és kiberbiztonsági elvárásait.

A beszállító partnerekkel való üzletkötés és a megrendelt szolgáltatások átadása után nélkülözhetetlen, hogy egy független szakmai csapat ellenőrizze azok valós biztonsági képességét. Szakértőink biztonsági ellenőrzés és tesztelés alá vonják a beszállított megoldásokat, hogy teljes mértékben meggyőződhessünk arról, hogy azok megfelelnek az előzetesen felállított kiberbiztonsági elvárásoknak. Így ügyfeleinkről levesszük a tesztelés terhét, miközben független szakértőként védőpajzsként is funkcionálunk a vállalat és a beszállítók között.

A kockázatmenedzsment magában foglalja a fizikai és a digitalizált működési környezet részét képző kockázati tényezők azonosítását, elemzését és az azokra való reagálást. A hatékony kockázatmenedzsment kulcsa az, hogy a lehető legszélesebb körben ellenőrizzük és folyamatosan felügyeljük a jövőbeli kimeneteleket azáltal, hogy reaktív megoldások helyett proaktívan cselekedhessünk. Ez a megközelítés lehetőséget kínál mind a kockázatok bekövetkezési valószínűségének, mind azok potenciális hatásainak csökkentésére.

Projekt minőségbiztosítási szolgáltatatásunk révén támogatjuk partnereinknek abban, hogy a beruházások végrehajtása során az információbiztonsági projektrészeknél elkerülhessék a leggyakoribb hibákat. Gondot okozhat például a biztonság szempontjából nem kielégítő tervezés, a rendszerszemlélet hiánya, vagy a megvalósítási folyamat valamint a részeredmények biztonsági ellenőrzésének elmaradása. Szakértő csapatunk hozzájárul ahhoz, hogy a projekt maximálisan kielégítse a biztonsági igényeket.

Egy kiberbiztonsági vagy információbiztonsági felelős (IBF) és a mögötte álló csapat specifikus felügyeleti és elemzési munkát végez. Útmutatást nyújt a stratégiai műveletekben és a tervezésben, miközben ellenőrzi a kiberbiztonsági környezeteket és a programok megvalósulását. Célja a biztonsági szabályok betartása, amellyel hosszú távon is csökkenthetők a kockázatok. Cégünk ügyfeleink rendelkezésére tud bocsátani kiberbiztonsági felelőst, aki nagyban hozzájárul az információbiztonsá tervezéséhez, valamint a projektek kivitelezésének minőségéhez és hatékonyságához.

A vállalat kiberbiztonságának állapota nemcsak a tervezésen és az implementáláson múlik, hanem azon is, hogy az IT üzemeltetők illetve a munkatársak képesek-e a kialakított folyamatokkal azonosulni, azokat betartatni. Széleskörű kiberbiztonsági tapasztalatunkból fakadóan a biztonságtudatosság ügyféloldali felépítésében is támogatást tudunk nyújtani, ami nagy előrelépést jelenthet a vállalat biztonsági szintjének fejlesztésében. Az oktatás egy projekt részeként vagy önálló szolgáltatásként is igénybe vehető, bemutatva ügyfeleinknek, hogy hogyan kell biztonsági szemlélettel gondolkodni és elvégezni a mindennapi teendőket.

Bár a legtöbb vállalat elsősorban a jelen IT biztonsági problémáinak megoldására összpontosít, mi akadémiai és üzleti együttműködő partnereinkkel azon dolgozunk, hogy a jövő kiberbiztonsági kihívásaira is megfogalmazzunk válaszokat. Cégünkkel a kutatás, fejlesztés és innovációs projektek kiberbiztonsági részterületein nyújtunk támogatást partnereinknek, valamint kifejezetten kiberbiztonsági céllal indított projektekben kutatunk.