Kompleksowe audyty stron WWW i aplikacji webowych

Rozwiązanie do szybkiego spełnienia podstawowych obowiązków prawnych i uzyskania wstępnego obrazu stanu bezpieczeństwa.

Dla kogo: Dla organizacji, które chcą spełnić wymagania prawne i uzyskać wstępny obraz swojego poziomu bezpieczeństwa.

Wynik: Szybki raport z automatycznego testu bezpieczeństwa i podstawową interpretacją wyników przez specjalistę.

Treść procedury dla Audytu podstawowego.

Ustalenia i deklaracje

• Określenie i wyrażenie zgody na zakres badania (pisemnie)
• Ustalenie czasu wykonywania audytu

Wstępne Rozpoznanie i Definicja Celu (Footprinting)

• Identyfikacja Zakresu (Scope)
• Rozpoznanie Podstawowe (DNS/Rejestr)
• Wykrycie Technologii

Skanowanie Infrastruktury i Sieci (Narzędzia Zewnętrzne)

• Skanowanie Portów (Nmap)
• Skanowanie Podatności Serwera (Vulnerability Scanners)

Walidacja Warstwy Aplikacyjnej (Dynamiczne Skanery)

• Skanowanie Aplikacji Webowych (Dast - Dynamic Application Security Testing)
• Walidacja SSL/TLS

Dokumentacja Automatycznych Wniosków

• Generowanie Raportu Narzędzi
• Kategoryzacja Ryzyka
• Przygotowanie do Etapu Manualnego

Cena od 1200 zł netto.

❗️ Dla Bibliotek 50% upustu.

❕ Dla wybranych szkół, instytucji kulturalnych, NGO 30% upustu.

Rozwiązanie do szybkiego spełnienia obowiązków prawnych (compliance) i uzyskania standardowego obrazu stanu bezpieczeństwa.

Dla kogo: Dla firm i organizacji, które chcą mieć pewność, że ich strona jest bezpieczna, posiada mechanizmy obrony i jest zgodna z przepisami.

Wynik: Zrównoważony audyt pozwalający zrozumieć nie tylko co jest problemem, ale też dlaczego i jak to naprawić.

Treść procedury dla Audytu właściwego.

Ustalenia i deklaracje

• Określenie i wyrażenie zgody na zakres badania (pisemnie)
• Ustalenie czasu wykonywania audytu
• Potwierdzenie przygotowania do audytu (utworzenie backupów, zanonimizowanie danych, itd.

Analiza i Weryfikacja Wyników Automatycznych

• Deduplikacja i Priorytetyzacja (Triage)
• Grupowanie i Priorytetyzacja
• Weryfikacja Wersji Oprogramowania
• Weryfikacja Nagłówków Bezpieczeństwa

Testowanie Funkcjonalne z Narzędziami Pomocniczymi (Proxy)

• Mapowanie Aplikacji
• Testy Manualne Powszechnych Ataków

Analiza Błędów Logiki Biznesowej i Uwierzytelniania

• Logika Biznesowa (Bussiness Logic Flaws)
• Uwierzytelnianie i Zarządzanie Sesją
• Analiza Błędów Logiki Danych (sqlmap)

Raportowanie i Podsumowanie

• Ostateczna Kategoryzacja Ryzyka
• Ogólny spis podatności ze wskazaniem miejsca
• Rekomendacje Naprawcze
• Ocena Ogólna
• Przygotowanie do Etapu Manualnego

Cena ustalana indywidualnie definiowana zakresem badania, od 2500 zł netto

Obejmuje zaawansowane testy (również autorskimi narzędziami), analizę podatności w oparciu o różne wektory ataku i weryfikację poprawek.

Wynik: Kompleksowy audyt pozwalający nie tylko znaleźć podatności, ale także zweryfikować wdrożone zabezpieczenia i potwierdzić poziom bezpieczeństwa organizacji.

Treść procedury dla Audytu eksperckiego.

Ustalenia i deklaracje

• Określenie i wyrażenie zgody na zakres badania (pisemnie)
• Ustalenie czasu wykonywania audytu
• Potwierdzenie przygotowania do audytu (utworzenie backupów, zanonimizowanie danych, itd.
• Ustalenie dostępu i typu dostępu np. black box
• Przkazanie listy adesów IP badającego

Rozpoznanie i Mapowanie Architektury (Information Gathering)

• Głęboki Footprintint
• Zaawansowana Identyfikacja Technologii
• Mapowanie Punktów Wejścia API/Endpointów

Analiza Podatności (Vulnerability Analysis)

• Analiza Konfiguracji Serwera i Chmury
• Głęboka Analiza Podatności OWASP Top 10 (Aktor Złośliwy)

Testowanie Logiki Biznesowej i Uwierzytelniania

• Testy Autoryzacji i Uwierzytelniania
• Testy Logiki Biznesowej (Business Logic Flaws)
• Testy Przesyłania Plików

Eksploatacja i Raportowanie Końcowe

• Kontrolowana Eksploatacja (Proof of Concept - PoC)
• Opracowanie Raportu Eksperckiego
• Podsumowanie Menadżerskie
• Szczegółowe Karty Podatności

Cena negocjowana każdorazowo w zależności od zakresu badań i udziału podwykonawców.

Gra sztabowa (TTX) to kluczowy element ćwiczenia zarządzania kryzysowego. Udział w niej jest zalecany dla zespołów kierowniczych i specjalistów, którzy wspólnie reagują na incydent. Obejmuje symulację incydentu (atak, awaria), ocenę reakcji zespołu i procedur oraz identyfikację słabych punktów.

Treść procedury dla gry sztabowej.

-- Przygotowanie do gry --

• określenie celów gry,
• przygotowanie scenariusza incydentu,
• dobór uczestników i ról,
• najwyższe kierownictwo,
• blueteam,
• administratorzy,
• dział pr,
• IODO
• przygotowanie, sprawdzenie dostępu do materiałów pomocniczych,
• zapoznanie się zespołu roboczego.

-- Początek gry --

• przedstawienie problemu do rozwiązania
• jaka chronologia, kto podejmuje jakie decyzje
• jakie pytania kto do kogo kieruje i jakie powinny być odpowiedzi
• symulacja przebiegu pracy i dyskusje jak rozwiązać problem
• ustalenia kto co komu i kiedy raportuje aby śledzić postęp
• prowadzenie notatek przez uczestników
• monitorowanie czasu i przebiegu

-- Podsumowanie gry --

• omówienie przebiegu gry,
• analiza decyzji i działań podjętych przez uczestników,
• identyfikacja mocnych i słabych stron reakcji zespołu,
• określenie jakich procedur zabrakło,
• określenie jakie wystąpiły braki poza proceduralne,
• zbieranie opinii od uczestników na temat gry i jej przebiegu.

Cena:

• przy standardowym szablonie gry do 3 uczestników 1500 zł netto.
• każdy dodatkowy uczestnik 200 netto.
• scenariusz dedykowany wyceniany indywidualnie.

Treść procedury dla Audytu dostępności WCAG 2.1 AA.

Planowanie i Definicja Zakresu

• Określenie Próby Badawczej (Scope)
• Wybór Narzędzi Technicznycha co najmniej dwóch wiodących silnikach (np. Chrome/Edge - Chromium, Firefox).

Wstępne Testy Automatyczne

• Uruchomienie Narzędzi Automatycznych
• Analiza Ograniczeń.

Testy Manualne – Weryfikacja Kryteriów WCAG 2.1 AA

• Postrzegalność (Perceivable)
• Funkcjonalność (Operable)
• Zrozumiałość (Understandable)
• Solidność (Robust)

Dokumentacja i Rekomendacje

• Rejestracja Uchybień
• Podsumowanie Końcowe
• Weryfikacja Po Poprawkach

Cena:

• Podstawowe badanie, nawigacja i 10 stron na zgodność z WCAG 2.1 poziom AA od 1000 zł netto.
• każda dodatkowa strona 100 zł netto
• ❗️ Dla Bibliotek 50% upustu.
• ❕ Dla wybranych szkół, instytucji kulturalnych, NGO 30% upustu.

Poziom AAA zwykle jest stosowany w celach dodatkowych usprawnień.

Prowadzimy badanie na podstawie WCAG 2.2 (najnowsza stabilna definicja dostępnosci)

Audyt na poziomie WCAG 2.2 poziom AAA to najwyższy standard dostępności, zapewniający komfort i funkcjonalność dla osób z najszerszym zakresem niepełnosprawności.

Treść procedury dla Audytu dostępności WCAG 2.2 AAA.

Wprowadzenie i Cel

• Cel
• Zakres

Przygotowanie i Zakres Badawczy (Identyczny z Audytem AA)

• Definicja Próby Badawczej
• Technologie

Wstępne Testy Automatyczne (Identyczny z Audytem AA)

• Uruchomienie Narzędzi Automatycznych
• Analiza Ograniczeń.

Testy Manualne – Weryfikacja Kryteriów AAA

• Postrzegalność (Perceivable) – Kontrola Danych i Wizualizacji
• Funkcjonalność (Operable) – Maksymalna Elastyczność Kontroli
• Zrozumiałość (Understandable) – Kognitywna Dostępność
• Solidność (Robust)

Raportowanie i Podsumowanie

• Rejestracja Uchybień AAA
• Oświadczenie o Wyjątkach
• Weryfikacja Końcowa

Cena:

• Rozszeżone badanie, nawigacja i 10 stron na zgodność z WCAG 2.2 poziom AAA od 2000 zł netto.
• każda dodatkowa strona 200 zł netto