02
Service 02Web · Mobilne aplikacije · API · Pregled koda · Cloud

Sigurnost aplikacija i clouda

Procjenjujemo sigurnost softvera koji razvijate i cloud okruženja u kojem radi, od izvornog koda do IAM konfiguracije.
Ukratko
Tipično trajanje1–4 tjedna
Oblik angažmanaPojedinačno · Ugrađeni inženjer
VodiIskusni inženjer za sigurnost aplikacija
RezultatNalazi s uputama za otklanjanje
§ 01Pregled
Sigurnost aplikacija i clouda
Detaljne procjene aplikacija i infrastrukture: web, mobilne aplikacije i API-ji, pregled izvornog koda te konfiguracija cloud okruženja na AWS-u, Azureu, GCP-u i Kubernetesu.
§ 02Što je uključeno
Što obuhvaća usluga.
Svaku stavku možete ugovoriti zasebno ili ih spojiti u jedan angažman.
01
Testiranje weba, mobilnih aplikacija i API-ja
Testiramo prema OWASP metodologiji, uključujući pogreške u poslovnoj logici koje automatizirani alati ne otkrivaju.
02
Pregled izvornog koda
Kombiniramo statičku analizu i ručni pregled koda kako bismo pronašli ranjivosti vidljive samo na razini koda.
03
Procjena konfiguracije clouda
Procjenjujemo AWS, Azure ili GCP okruženje: IAM, mrežu, pohranu podataka, zapise i međusobne ovisnosti.
04
Kontejneri i Kubernetes
Pregled slika, registra i klastera: RBAC, mrežne politike, upravljanje tajnama i izloženost tijekom rada.
05
Modeliranje prijetnji
Pregled u fazi dizajna kojim se arhitekturni rizici utvrđuju prije ulaska u produkciju.
06
Podrška sigurnom razvoju (SSDLC)
Uključujemo se u vaš razvojni proces: pregled koda, sigurnosne provjere u CI/CD-u i edukacija razvojnih inženjera.
07
Sigurnost identiteta i pristupa
Pregled i poboljšanje upravljanja identitetima, IAM konfiguracije i povlaštenog pristupa u cloudu i aplikacijama.
§ 03Naš pristup
Jasna metodologija, svaki put.
1
Analiza aplikacije
Upoznajemo funkcionalnost aplikacije te utvrđujemo gdje su najvrjedniji podaci i najveći rizici.
2
Dubinsko testiranje
Kombiniramo testiranje i pregled koda. Svaki nalaz povezujemo s konkretnim načinom iskorištavanja.
3
Potvrda utjecaja
Za svaki nalaz dokazujemo iskoristivost i procjenjujemo poslovni utjecaj.
4
Podrška pri otklanjanju
Upute za otklanjanje napisane za razvojne inženjere, uz mogućnost zajedničkog rada tijekom ispravaka.
§ 04Što dobivate
Rezultati koje možete primijeniti.
Svaki angažman završava dokumentiranim nalazima i dokazima, napisanima za tehnički tim i za upravu.
01Prioritizirani nalazi s dokazom iskoristivosti
02Upute za otklanjanje na razini koda
03Preporuke za poboljšanje sigurnosti cloud okruženja
04Model prijetnji i arhitekturne preporuke
05Ponovni test otklonjenih nalaza
Neovisni i vendor-neutralni. Ne preprodajemo alate koje testiramo.
Naš jedini proizvod je stručnost i dokazi, pa naš savjet nema drugu agendu osim vaše.
Neovisni
Vendor-neutralni. Nemamo licence za prodaju ni sukob interesa.
Senior-vođeni
Svaki angažman vode senior inženjeri, ne predaje se redu.
Vođeni dokazima
Ponovljivi nalazi i dokumentirani dokazi, ne samo oznake ozbiljnosti.
Spremni za regulatora
Građeno da zadovolji NIS2, DORA-u, ISO 27001 i GDPR od početka.
Česta pitanja
Pitanja i odgovori
Što obuhvaća procjena sigurnosti aplikacija i clouda?
Testiranje weba, mobilnih aplikacija i API-ja prema OWASP metodologiji, pregled izvornog koda te procjenu konfiguracije cloud okruženja za AWS, Azure, GCP i Kubernetes, uključujući IAM.
Zašto je IAM u cloudu toliko važan?
Najveći broj proboja u cloud okruženjima događa se kroz upravljanje identitetima i pristupom. Preširoko dodijeljene i nerevidirane ovlasti napadaču omogućuju da iz ograničenog pristupa postupno preuzme kontrolu nad okruženjem.
Možete li raditi unutar našeg razvojnog ciklusa?
Da. Provodimo pojedinačne procjene i ugrađene angažmane, a možemo se uključiti u vaš CI/CD kako bi nalazi do razvojnih inženjera dolazili tijekom razvoja, a ne nakon isporuke.
Testirate li kod ili pokrenutu aplikaciju?
Oboje, ovisno o cilju procjene. Dinamičko testiranje pokrenute aplikacije kombiniramo s pregledom izvornog koda, jer se dio ranjivosti može utvrditi samo na razini koda.
Trebate li sigurnost aplikacija i clouda?
Naš tim pomoći će vam definirati opseg posla u 30-minutnom razgovoru.
Dogovorite razgovor ili pišite na contact@raptoric.com