<<< Start | Vår kompetens | Tjänster | Kurser | Mjukvara | Partners | Kontakta oss

Sårbarhetsanalys | Intrångstest | Kodgranskning

Intrångsdetektion | E-postsanering | IT-säkerhetsrådgivning

Sårbarhetsanalys

Vi tar IT-säkerhet på största allvar, något som kanske tydligast återspeglas i denna tjänst. Att inte utvärdera säkerheten löpande är ett stort misstag som kan bli dyrt, dessutom lägger samtliga Svenska och internationella standarder stor tyngd på löpande utvärdering - och det med rätta. Vår sårbarhetsanalys ger en fullständig utvärdering av hoten mot och effekterna av sårbarhetsexploatering i er IT-miljö och belyser även hur stor sannolikheten är att hoten förverkligas.

Våra konsulter söker efter kända sårbarheter i nätverkstjänster, kända eller okända web-applikationsfel, möjligheten att forcera säkerhetskontroller, konfigurationsfel, missad tjänsteinventering, informationsläckage (privat information, affärsinformation, finanstips, interna rapporter, dokumentation, m.m.) och lagliga aspekter (PUL, sekretessavtal, osv.).

Analysen och utvärderingen utförs enligt Open Source Security Testing Methodology Manual (OSSTMM) (PDF-fil) - den mest använda, accepterade och omfattande metodiken för säkerhetstest i dagsläget. OSSTMM uppfyller och överträffar riktlinjer i ISO/IEC 17799, BITS, PUL, HIPAA (USA), BDSG (Tyskland), NIST SP 800-42, m.fl. standarder.

tigerteam.se genomför alla identifikationssteg i OSSTMM rörande TCP/IP-nätverk och datasäkerhet, undantaget de faktiska testerna. Detta tillåter oss att göra mer på en lägre budget, något som inte hade varit möjligt under en fullständig säkerhetstest.

Alla identifikationssteg i OSSTMM som vi utför är dokumenterade under Section C - Internet Technology Security (sid 42), modulerna är:

  • Logistics and Control: Initial utvärdering för att fastställa hur stabil kommunikationen mellan oss (omvärlden) och målet är.
  • Network Surveying: Informationsinsamling rörande målets IT-system, ISP-information, informationsinsamling av nuvarande och tidigare kopplingar till målets nätverk (sökning på web-siter, P2P-nätverk, m.m.).
  • System Services Identification: Portsökning för att kartlägga nätverket, operativ system, versionssignaturer av nätverkstjänster, patch nivå, etc.
  • Competitive Intelligence Review: En omfattande utredning utförs på nätet för att samla data som kan klassas som affärsunderrättelse (laglig insamling av företagsinformation).
  • Privacy Review: Utvärdering av avslöjanden, huruvida PUL och sekretessuttalanden uppfylls, information avslöjad i marknadsföring, utvärdering av offentligt tillgänglig privat eller konfidentiell information, etc.
  • Document Grinding: Profilering av organisationen, dess anställda, partners, konkurrens, etc. (även kallat Digital Dumpster Diving).
  • Vulnerability Research: Två eller fler av de bästa analysprogrammen används, tillsammans med manuell granskning, för att hitta och identifiera sårbarheter, möjligheten till exploatering av sårbarheter, möjligheten att göra tjänster obrukbara (Denial of Service), m.m.
  • Router and feature identification: Router-identifikation, typ av trafik som får flöda, m.m.
  • Trusted Systems Testing: Identifikation av system som "litar på varandra", kartläggning av sårbarheter mot dessa system, m.m.
Vi kan även lära er organisation hur man genomför en egenrevision (självrevision) av IT-säkerheten, löpande. tigerteam.se består av hackers och vi visar gärna hur Ni bäst förstår kriminella hackers som vill komma in i era system. Läs mer om detta under Kurser.

Kontakta michel.blomgrentigerteam.se för mer information. Gå tillbaka



tigerteam.se and the tigerteam.se logotype are trademarks of M. Blomgren IT-Säkerhet
All contents Copyright © 2004 by Michel Blomgren - All Rights Reserved

The tiger photographs were taken at Kolmården Zoo