בדיקת חדירות לאפליקציות Web
קומסק מציעה בדיקות חדירות לאפליקציות Web בטכנולוגיות שונות, נקרא גם בדיקת צוות אדום. בכך לעזור לאירגון לזהות חולשות אפליקטיביות שיכולות להוביל לזליגה או שינוי של מידע רגיש, ולדמות תרחישי תקיפה אמיתיים על מוצרי החברה ועל האפליקציות הפנימיות והחיציניות שלה.
צוות אדום עובדים באופן צמוד עם הלקוח כדי לזהות איומים מרכזיים שהארגון נחשף להם דרך האפליקציה, תרחישי תקיפה אפשריים שינצלו את אותם איומים, להדגים האם ואיך התרחישים הללו אפשריים ולספק סיוע למיגור האיומים.
הדו"ח הסופי יכלול סיכום עילי של הבדיקה, הסבר על המתודולוגיה שלנו יחד עם תיעוד תכני של הממצאים. כל חולשה מדורגת לפי הסבירות של ניצולה והנזק הפוטנציאלי שהיא מסבה. הדו"ח יכיל בנוסף הסבר והמלצות על איך למגר את החולשה כדי לשפר את רמת האבטחה של המוצר.
למה קומסק
אחת התכונות היחודיות לקומסק היא שכל בדיקת צוות אדום שמבוצעת מותאמת באופן אישי ומדויק למוצר של הלקוח. הצוות מתמקד בזיהוי האיומים והנכסים הכי קריטים ובהתחשבות בהם לאורך כל הבדיקה. הצוות תמיד ינסה ליצור POC יחודי לכל חולשה (גם אם היא נפוצה וגם אם היא אינה נפוצה) לשם הדגמת הסיכון האמיתי שנשקף ממנה.
יתרונות נוספים:
§ ניסיון בספקטרום רחב של frameworks ממערכות שנשענות על צד שרת עד לאפליקציות Single Page מבוססות JavaScript.
§ דגש על סטנדרטים גבוהים כאשר כל דו"ח שמועבר ללקוח עובר מבדק איכות מקפיד על ידי יועץ מנוסה אחר.
§ בדיקות מבוססות על המודל של OWASP אך גם מותאמות אישית כדי להבטיח כיסוי מלא אך גם לאפשר מרחב עבודה לבדיקות ספציפיות.
§ שקילה רצינית ואחראית של הסיכונים למערכת תוך התחשבות בכל הגורמים מחמירים
ומקלים כאחד.
§ אנחנו לא רק מספקים את הדו"ח ועוזבים, אנחנו רוצים לתמוך בלקוח עם איך, איפה ומתי לבצע את התיקונים ולהבטיח שהם ייושמו באופן מייטבי.
אתגרי הלקוח:
לאחרונה אנו רואים יותר ויותר אירגונים שמאכסנים ומשתמשים במידע רגיש ובאותו הזמן רגולציות של הגנה על אותו מידע נהיות יותר ויותר נפוצות וקפדניות. זה אומר שהנזק התדמיתי והרגולטורי של זליגת מידע צריך להיות בראש מעייניו של כל ארגון שמאחסן ועובד עם מידע רגיש.
באבטחת אפליקציות בפרט אנו רואים עליה חדה בכמות החולשות שמתגלות מידי יום לצד החוסר בידיים מנוסות. לרב הארגונים אין את המשאבים לגלות ולטפל באותן חולשות לא רק את המידע המאוחסן על ידי אותה אפליקציה אלא גם נכסים אחרים ברשת הארגונית.
הפתרונות של קומסק
שירות הבדיקת חדירות לאפליקציות של קומסק כולל חיפוש חולשות באפליקציות דפדפן, אפליקציות מובייל, "thick client" ואפליקציות לקוח-שרת החיפוש כולל חולשות שיכולות להוביל לזליגת מידע, השתלטות על הרשת או אובדן זמינות. הצוות משתמש בשיטה דומה לזאת שמוצגת כאן, אך כל בדיקה תבוצע באופן מותאם בהתבסס על סוג האפליקציה שנבדקת.