Dažniausiai užduodami klausimai
Kas įeina į įsilaužimo testavimo kainą?
Į kainą įeina sutartos apimties analizė, rankinis saugumo vertinimas, radinių patvirtinimas, techninė ataskaita ir taisymo rekomendacijos. Galutinė kaina priklauso nuo aplikacijų, API endpointų, naudotojų rolių, IP adresų kiekio ir funkcionalumo.
Kuo įsilaužimo testavimas skiriasi nuo pažeidžiamumų skenavimo?
Pažeidžiamumų skenavimas automatiškai ieško žinomų problemų. Įsilaužimo testavimas apima rankinį tikrinimą, prieigos kontrolę, verslo logiką, API autorizaciją ir realiai išnaudojamų spragų patvirtinimą.
Kiek trunka testavimas?
Mažos apimties peržiūra gali trukti 1-3 dienas. Tipinis web aplikacijos ar API įsilaužimo testavimas dažnai trunka 5-10 darbo dienų, o platesni tinklo arba kodo peržiūros projektai planuojami pagal apimtį.
Ar galima testuoti produkcinę aplinką?
Taip, jei suderinamos saugios testavimo ribos, laikas, naudotojų paskyros ir veiksmai, kurių negalima atlikti. Jei yra testinė aplinka, dažnai verta pradėti nuo jos.
Ar gausime pakartotinį patikrinimą?
Taip, pakartotinis patikrinimas gali būti įtrauktas į pasiūlymą arba suplanuotas atskirai po pataisymų.
Kaip atliekama kodo saugumo peržiūra?
Peržiūros metu analizuojame, kaip duomenys patenka į sistemą, kaip jie apdorojami ir kur gali atsirasti saugumo rizika. Vertiname rizikos kelius kode, svarbias verslo logikos vietas ir pateikiame aiškias rekomendacijas, ką taisyti pirmiausia.
Kaip atliekamas tinklo saugumo vertinimas?
Išorėje vertiname, ką apie organizaciją galima pasiekti ir pamatyti iš interneto. Viduje tikriname, kaip suvaldytos prieigos, tinklo segmentai ir ar vieno pažeisto įrenginio rizika gali plisti toliau.
Ar ataskaita tinkama auditui arba viešajam pirkimui?
Ataskaitoje aiškiai pateikiama testavimo apimtis, metodika, radinių santrauka, rizikos lygiai, atkūrimo žingsniai, poveikis, taisymo rekomendacijos ir pakartotinio patikrinimo būsena. Jei reikia konkretaus formato, jį verta nurodyti prieš projektą.
Ar galima pradėti nuo mažos apimties patikrinimo?
Taip. Galime pradėti nuo ribotos apimties, vienos aplikacijos, vieno API segmento arba nemokamos 1 dienos kodo peržiūros, jei ji tinka jūsų situacijai.
Kam skirta nemokama 1 dienos kodo peržiūra?
Ji skirta komandoms, kurios nori greitai suprasti, ar kode matosi ankstyvų saugumo rizikos signalų. Tai ribotos apimties pradinis įvertinimas, o ne pilnas auditas.
Kuo nuolatinė saugumo priežiūra skiriasi nuo vienkartinio įsilaužimo testavimo?
Vienkartinis įsilaužimo testavimas įvertina pasirinktą momentą. Nuolatinė saugumo priežiūra vyksta reguliariai pagal produkto pakeitimus ir padeda rasti rizikas tada, kai jos atsiranda.
Ar dirbate lietuvių ir anglų kalbomis?
Taip. Komunikacija, ataskaitos ir aptarimai gali būti lietuvių arba anglų kalba.