PL EN
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Zobacz nadchodzące webinary:

    Brak wyników

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Twoja firma cyberbezpieczna

Testy bezpieczeństwa systemów i aplikacji

Udostępnij
Drukuj:
Kradzież lub zniszczenie danych, zakłócenie procesów biznesowych, utrata klientów, znaczne straty finansowe… to ryzyko, z którym firmy mierzą się codziennie. Cyberataki, których – nierzadko przypadkowym – celem są przedsiębiorstwa, urzędy, organizacje czy osoby fizyczne, są coraz częstsze, skuteczniejsze i dotkliwsze w skutkach. To, że nastąpią kolejne ataki, jest pewne, nieznany pozostaje jedynie ich zasięg i czas. Co można zrobić, aby uprzedzić cyberprzestępców?
 

Przy dzisiejszym poziomie informatyzacji atakujący nie mają problemu z wyszukaniem odpowiednich firm do przeprowadzenia ataku. Jedna niezaktualizowana usługa na serwerze daje możliwość zainstalowania backdoora lub przeniknięcia do zasobów wewnętrznych organizacji. Błędna konfiguracja aplikacji i atakujący może atakować nie tylko firmę, ale również użytkowników korzystających z jej zasobów.

Aby upewnić się, że nasza firma lub aplikacja jest odpowiednio zabezpieczona przed takimi cyberatakami, należy przeprowadzić symulowany atak, tak zwane testy penetracyjne. Wykonując takie testy, staramy się określić rzeczywisty poziom bezpieczeństwa infrastruktury bądź aplikacji. Najczęściej wykonywanie są testy infrastruktury oraz testy aplikacji webowych.

Testy infrastruktury

Przy przeprowadzaniu testów penetracyjnych infrastruktury wewnętrznej danej firmy bardzo popularne są dwa scenariusze: Black Box i tzw. zły pracownik.

W scenariuszu Black Box atakujący posiada tylko i wyłącznie informację o zakresie i celach przeprowadzanych testów, najczęściej są to zakresy podsieci. Atakujący nie wie, jakie i do czego wykorzystywane są urządzenia będące przedmiotem testu, oraz nie posiada żadnych danych logowania do usług znajdujących się w zakresie. Jest to najbardziej czasochłonny wariant, ale również najlepiej odzwierciedlający prawdziwy atak. Pozwala ustalić słabe strony testowanego środowiska i zdiagnozować między innymi błędy konfiguracyjne oraz brakujące aktualizacje dla danych systemów.

Drugim popularnym scenariuszem jest „Zły pracownik”, w którym testujący otrzymuje dostępy odpowiadające tym, które posiada zwykły pracownik, i z tego punktu stara się zbadać, czy pracownik ma takie uprawnienia, jakie faktycznie zakładamy, i nie ma dostępu do zasobów, do których nie powinien mieć. Najczęściej spotykanym błędem jest brak zastosowania odpowiednich protokołów przy transmisji danych. W przypadku nieprawidłowej konfiguracji urządzeń sieciowych możliwe jest łatwe podszycie się pod innego użytkownika sieci. Przy wcześniej wspomnianym scenariuszu ze złym pracownikiem możemy, za pomocą tego ataku, przekierować ruch sieciowy przez komputer atakującego, dzięki czemu jesteśmy w stanie bez przeszkód przechwytywać niezabezpieczoną komunikację i odczytywać dane, które użytkownik podał przy logowaniu do niezabezpieczonych paneli logowania. Jeśli celem jest administrator, który używa takiego samego loginu i hasła jako poświadczeń domenowych, jesteśmy w stanie nie tylko przejąć kontrolę nad systemami, ale również podszywać się pod daną osobę, chociażby z wykorzystaniem maila lub komunikatora.

Atak na firmę nie musi pochodzić z wewnątrz, może on również nadejść z zewnątrz organizacji. Głównym przedmiotem takich testów są tak zwane miejsca stykowe, czyli takie, które łączą naszą firmę i resztę Internetu. Są to bariery, których przełamanie może doprowadzić do przeniknięcia atakującego do naszej infrastruktury wewnętrznej oraz umożliwia sprawdzenie, czy dane usługi są dostępne z Internetu. Atakujący jest w stanie stwierdzić, jakie domeny są zarejestrowane dla naszej organizacji, i na tej podstawie przeprowadzić atak.

Przy tego typu atakach wykorzystuje się publicznie dostępne informacje i narzędzia. W tym przypadku nie będziemy w stanie zareagować na etapie pozyskiwania informacji o naszej infrastrukturze. Na podstawie skrupulatnie zebranych informacji nasz system zostanie bezlitośnie sprawdzony, czy jest odporny na potencjalny atak. Głównymi zagrożeniami są tutaj niezaktualizowane systemy, usługi, błędna konfiguracja oraz nieodpowiednio zabezpieczone wszelkie panele logowania.

Pentesty oprogramowania

Testy penetracyjne aplikacji webowych co do zasady są bardzo czasochłonne. Praktycznie każda aplikacja posiada kilkanaście pól, w których użytkownik może wprowadzać dane. Przy niewłaściwym zabezpieczeniu każde z tych pól staje się celem dla atakującego. Zakres testów oprogramowania obejmuje każdy aspekt aplikacji, włączając w to sprawdzenie konfiguracji serwera, na którym dana aplikacja jest wystawiana, oraz wszystkie usługi, które na nim działają.

Może zaistnieć sytuacja, w której jedna niezaktualizowana usługa na serwerze umożliwia atak na sam serwer lub aplikację. Wszystkie parametry wprowadzane przez użytkownika są szczegółowo sprawdzane pod kątem wykorzystania przez atakującego. Błędy przy tworzeniu aplikacji mogą umożliwić napastnikowi wstrzyknięcie do niej dowolnego kodu. Napastnik może być  w stanie realizować instrukcje SQL w celu zrzutu zawartości bazy danych.

Rafał Grześkowiak, Lider Zespołu Projektów IT

Pentesty aplikacji

Poczta elektroniczna, system finansowo-księgowy, firmowy serwis internetowy, CRM, sklep internetowy, serwer plików, system płacowy, system ERP i wiele, wiele innych. Te narzędzia są wykorzystywane w każdej organizacji, również u Państwa. Przechowują, przetwarzają i raportują kluczowe dane, pozwalają na komunikację wewnętrzną i zewnętrzną oraz utrzymanie ciągłości produkcji, usług czy rozliczeń z kontrahentami. Trudno sobie wyobrazić prowadzenie biznesu bez wsparcia systemów IT, prawda? Czy Państwa biznes rozumie konsekwencje czasowej niedostępności kluczowych aplikacji? Co się stanie, jeśli ta niedostępność okaże się permanentna? Jakie będą konsekwencje wycieku danych finansowych lub osobowych?

Medialne informacje o spektakularnych cyberatakach przedstawiają jedynie ułamek rzeczywistej skali problemu. Większość skutecznych ataków pozostaje tajemnicą organizacji, którą dzielą się one co najwyżej z wąskim gronem zewnętrznych konsultantów i służbami państwowymi. Straty spowodowane atakiem sięgające setek tysięcy czy milionów złotych to niemal codzienność w polskich firmach. Ryzyko cyberataku musi być zatem bardzo poważnie brane pod uwagę przy zarządzaniu organizacją, jako zagrożenie mogące negatywnie oddziaływać na całość biznesu, a nie tylko na obszar IT.

Znakomitą pomocą przy przeciwdziałaniu atakom są testy penetracyjne aplikacji, dzięki którym można w kontrolowany sposób zidentyfikować luki bezpieczeństwa najważniejszych systemów. Statystycznie większość takich testów ujawnia różnego rodzaju zagrożenia dla bezpieczeństwa przetwarzanych danych. Jednocześnie w wielu przypadkach ich wyeliminowanie jest stosunkowo łatwe i tanie.

Cykliczne testy penetracyjne są jednym z wymagań zawartych w normach z zakresu bezpieczeństwa, a także coraz częściej są oczekiwane w relacjach biznesowych, m.in. przez klientów firm tworzących oprogramowanie lub aplikacje webowe.

Rafał Grześkowiak, Lider Zespołu Projektów IT

Nie tylko sama aplikacja, baza danych czy też serwer, na którym jest wystawiana, może stać się celem ataku, ale również użytkownicy, którzy z niej korzystają. Przykładem takiego ataku jest XSS (cross-site scripting). Polega on na wstrzyknięciu fragmentu kodu JavaScript, który może być uruchomiony w przeglądarce ofiary. Za pomocą takiego ataku atakujący jest w stanie przejąć sesję, a nawet przy odpowiednio napisanym skrypcie, uzyskać możliwość śledzenia naciśnięć klawiszy użytkownika.

Przedstawiliśmy wybrane przykładny podatności, jakie spotykamy przy testowaniu aplikacji. Każda aplikacja jest unikatowa, korzysta z innych technologii, ma inne zastosowanie i inne funkcjonalności, które zostały zaimplementowane, a zatem posiada inne słabe punkty.

Testy penetracyjne w realny sposób przyczyniają się do podniesienia bezpieczeństwa. Pozwalają zobaczyć aplikację czy infrastrukturę oczami atakującego. Kompleksowy raport z działań pentestera pozwoli odpowiedzieć na pytania, których nie możemy zadać prawdziwemu napastnikowi – gdzie była luka, której użył, oraz jakie działania należy podjąć, aby ją wyeliminować.

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:
#}

Formularz kontaktowy





    1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
    2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
    3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
    4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
    5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
    6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
    7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

    Napisz maila lub zadzwoń

    E-mail: office.pl@snpgroup.com
    Tel. 61 827 7000

    SNP Poland Sp. z o.o.

    Centrala:
    Złotniki, ul. Krzemowa 1
    62-002 Suchy Las k. Poznania

    Skontaktuj się z nami

    W czym możemy pomóc?
    Napisz do nas
    Wyślij email
    Zadzwoń





      1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
      2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
      3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
      4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
      5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
      6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
      7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

      Kontakt ogólny do firmy
      office.pl@snpgroup.com

      Pytania o produkty i usługi
      info.pl@snpgroup.com

      Pytania na temat pracy i staży
      kariera@snpgroup.com

      61 827 70 00

      Biuro jest czynne
      od poniedziałku do piątku
      w godz. 8:00 – 17:00