Nová cesta k internetové bezpečnosti

Transkript

1 Náprava škod po úniku dat kvůli hackerskému útoku stojí od 000 Kč po Kč podle velikosti firmy a druhu útoku. Nová cesta k internetové bezpečnosti Hacktrophy je moderní cestou jak efektivně testovat bezpečnost vašich webů i aplikací prostřednictvím tzv. bug bounty programů. Díky velkému množství etických hackerů objevíte bezpečnostní zranitelnosti včas a citlivá data tak zajistíte dříve, než by mohly být zneužity.

2 Proč byste se měli zajímat o IT bezpečnost? stránek se každý den stane terčem hackerského útoku. Black-hat hackeři ve světě denně ukradnou přibližně 5 milionů citlivých záznamů. Obětí hackerského útoku se stala už jedna šestina českých a slovenských firem, podnikajících v online byznysu.* Skoro 2/3 MSP zaznamenalo v roce kybernetický útok a 54% z těchto podniků bylo obětí krádeže citlivých dat. Pokuta do výše Kč nebo 4 % z ročního obratu hrozí od května 2018 společnostem, které nedodrží pravidla nového nařízení na ochranu osobních údajů (GDPR). * Průzkum agentury 2Muse realizovaný pro Hacktrophy, 2016

3 Co vám hrozí po úspěšném útoku špatného hackera na váš web? Krádež a zneužití firemních a zákaznických dat Ztráta zákazníků Náročný proces obnovení provozu webu i aplikace 86 % webů obsahuje nejméně jednu kritickou "díru" a množství menších zranitelností, přes které lze ukrást firemní data či zneužít vaši infrastrukturu. Dlouhodobé poškození reputace Náklady na nápravu škod po hacknutí stránky Pokuty od státních orgánů i obchodních partnerů Náklady na krizové PR

4 Útoky black-hat hackerů jsou realitou i v Čechách či na Slovensku Z webu Mall.cz ukradl špatný "black-hat" hacker díky Těsně před spuštěním nového projektu napadl bezpečnostní chybě hesel, slovenskou vývojářskou firmu black-hat hacker. Do ových adres a obdobný počet telefonních čísel v čitelné podobě. Data zveřejnil na internetu. Kromě finančních škod ve výši několik tisíc eur společnost ztratila reputaci a značnou část zákazníků. Komerční banka měla v roce 2013 bezpečnostní chybu v internetovém bankovnictví. Ta umožnila jednomu z klientů vidět záznamy penzijního spoření klientů banky. Případ byl medializován a banka prohlásila, že se téměř "nic nestalo". Ztratila ale dobré jméno a část klientů. systému vnikl přes nezajištěnou firemní aplikaci a zneužil 1 3 servery společnosti na nelegální účely. Důsledkem byla finanční škoda EUR a odložení startu připravovaného projektu o 3 měsíce.* Koncem roku 2016 napadl špatný hacker díky bezpečnostní díře stránku Domina.sk. Médiím rozeslal ukradená citlivá data jako důkaz svého úspěchu. Soubor 2 4 obsahoval informace o více než uživatelích včetně jejich zpráv s velmi citlivým obsahem. Služba ztratila velkou část klientů a dodnes bojuje o svou pověst. * Studie firem Citadelo a Nethemba, jejichž majitelé jsou spoluzakladatelé projektu Hacktrophy

5 Bug bounty programy jsou účinnou prevencí před útoky zlých hackerů Hacktrophy zvýší úroveň vaší IT bezpečnosti Princip je jednoduchý přes Hacktrophy.com vyhlásíte odměnu za nalezení bezpečnostních chyb ve vašich aplikacích nebo na webu. Zaregistrovaní etičtí hackeři se tyto zranitelnosti budou snažit najít a oznámit vám je dříve, než by mohlo dojít k jejich zneužití. Odměna se vyplatí pouze za reálné bezpečnostní díry. Testování přitom probíhá tak, aby neohrozilo běžný provoz webu (např. přes vaše testovací konto nebo v testovacím prostředí).

6 Jak funguje Hacktrophy? S naší pomocí Etičtí hackeři Když najdou Prověříme, zda Uhradíme Etičtí hackeři určíte, kde a co začnou testovat bezpečnostní jde o relevantní odměnu hledají další mají etičtí bezpečnost zranitelnost, "díru". Pokud hackerovi z zranitelnosti, hackeři hledat, vašeho webu či nahlásí vám ji. ano, financí v rámci dokud se přičemž vám aplikace. akceptujeme balíčku, který nevyčerpají pomůžeme hlášení a vy si jste si zakoupili. finance z nastavit správné chybu opravíte. vašeho balíčku. odměny.

7 Výhody bug bounty programu Hacktrophy Dlouhodobé testování bezpečnosti Etičtí hackeři váš web nebo aplikaci testují v průběhu celého roku, resp. dokud se nevyčerpají finance z předplaceného balíčku. Cenová efektivita a kvalita výstupů Platíte pouze za díry dle vaší definice, které se skutečně nacházejí v systému a které prověří náš moderátor. Různorodost testerů z celého světa Váš online produkt nebo službu testují desítky až stovky bezpečnostních expertů, tzv. etických hackerů. Testování máte pod kontrolou Vy určíte, co mohou etičtí hackeři testovat, v jakém prostředí (testovacím nebo produkčním) a do jaké hloubky vašeho systému. Odbornost testerů Dovednosti etických hackerů v oblasti testování IT bezpečnosti jsou rozsáhlejší než v případě běžných IT zaměstnanců. Manuální testování a ověřování Vaši bezpečnost testují reální lidé s unikátními znalostmi, ne automatizovaní roboti či skeny.

8 Co můžete testovat přes Hacktrophy? Každý web, aplikaci či rozhraní dostupné přes internet: webstránky, které pracují s citlivými údaji - vašimi nebo vašich klientů, e-shopy, sázkové portály, online tržiště, CMS jádra, CRM a účetní systémy, cloud, IoT řešení, mobilní aplikace nebo hry, internet banking, kryptoburzy a platební brány, firemní či průmyslové systémy, které jsou připojeny k internetu. Testovat lze nejen chyby vzniklé v důsledku programování či použitého softwaru, ale i nastavení infrastruktury, na níž web či aplikace běží. Testování může probíhat v produkčním i testovacím prostředí.

9 Proces testování bezpečnosti BUG BOUNTY PROGRAM HACKTROPHY Vývoj aplikace, tvorba webu Spuštění BB programu Hlášení o chybě Prověření opravy chyby Vyplacení odměny hackerovi Hlášení o chybě - koloběh pokračuje Interní testování bezpečnosti (Penetrační test) Zveřejnění webu, aplikace Nalezení chyby hackerem Oprava chyby Zveřejnění opraveného webu, aplikace Nalezení chyby hackerem, atd. ÚROVEŇ BEZPEČNOSTI Vývoj aplikace, tvorba webu Úroveň bezpečnosti s bug bounty programem Úroveň bezpečnosti bez bug bounty programu

10 Co získáte od etických hackerů? Ukázka hlášení nalezené "díry" TOP 5 zranitelností nahlášených v roce 2017 přes Hacktrophy Specifická zranitelnost (10,35 %) Zranitelnost, která se nenachází v OWASP TOP 10 hodnocení, ale představuje vysoké riziko napadení. SPF configuration problems (5,52 %) Chyba v nastavení ového serveru, která umožnuje provádět spoofing (krádež identity). XSS (4,83 %) Představuje možnost vkládání škodlivého kódu na web, s cílem jeho následného využití na koncových zařízeních návštěvníků, pro krádež citlivých dat. CSRF (4,16 %) Útok umožňující přinutit uživatele načíst web obsahující škodlivý požadavek. To může vést ke krádeži identity nebo citlivých dat uživatelů. Session fixation (4,16 %) Jde o útok, který dovoluje útočníkovi ukrást platnou relaci uživatele, která je následně přesměrována na server útočníka.

11 Porovnání penetračních testů a Hacktrophy PENETRAČNÍ TEST HACKTROPHY Časové pokrytí Nízké. Jeden nebo několik etických hackerů na omezený cas. Vysoké. Velká skupina etických hackerů bez časového limitu, přičemž se platí pouze za validní výsledky. Potřebné úsilí Střední. Poměrně složité nastavení zadání. Prioritou je závěrečné hlášení. Nízké. Se zadáním bug bounty projektu vám pomůže přidělený moderátor. Průběžně získáváte ověřené hlášení o zranitelnostech. Kvalita nalezených zranitelností Vysoká. Závislá na kvalitě dodavatele pentestu. Vysoká. Počet hackerů garantuje různé typy zkušeností a formy hackování. Náklady za zranitelnost Vysoké. Konzultanti jsou nákladní a jejich čas je omezen. Střední. S výškou odměn vám poradí Hacktrophy, přičemž je máte celou dobu pod kontrolou. Platíte jen za ověřené zranitelnosti. Detailní srovnání najdete v našem blogu

12 Vyberte si jeden ze způsobů testování DOPORUČUJEME Balík S Ideální pro jednoduchý web či aplikaci s minimem citlivých údajů. Balík M Ideální pro firemní web, který zpracovává některé citlivé údaje, např. po registraci. Balík L Ideální pro web či aplikaci, které pracují s financemi nebo více citlivými údaji. Doba trvání je 1 rok nebo do vyčerpání odměn pro etické hackery Obsahuje automatizovaný sken zranitelnosti! Doba trvání je 1 rok nebo do vyčerpání odměn pro etické hackery Obsahuje automatizovaný sken zranitelnosti s manuálním ověřením! Doba trvání je 1 rok nebo do vyčerpání odměn pro etické hackery Kč včetně odměn pro etické hackery Kč včetně odměn pro etické hackery Kč včetně odměn pro etické hackery Každý balík automaticky obsahuje: Dlouhodobé testování bezpečnosti komunitou více než 350 etických hackerů z celého světa Flexibilní nastavování odměn pro etické hackery v závislosti na závažnosti hledání chyb Manuální ověření nahlášených chyb přiděleným moderátorem Podpora ze strany moderátora při tvorbě a vypořádání vašeho bug bounty programu po celou dobu trvání balíčků Sleva na pokračování testování po vyčerpání zakoupeného balíčku Pravidelné hlášení o aktuálním stavu vašeho bug bounty programu Přizpůsobení cílů testování podle vašich potřeb a technických možností (web, mobilní aplikace, formulář, část infrastruktury, atd.) Detailní hlášení o bezpečnostních zranitelnostech nalezených etickými hackery včetně popisu jejich charakteru, umístění a návrhu na opravu Náročným korporátním klientům nabízíme spolupráci "ušitou na míru". Neváhejte nás kontaktovat pro více detailů.

13 Porovnání balíků Hacktrophy Balík S M L Na míru Cena balíku včetně odměn pro etické hackery Kč Kč Kč dle dohody, ke každé vyplacené odměně se připočítává 20 % provize Doba trvání balíku 1 rok nebo do vyčerpání odměn pro et. hackery 1 rok nebo do vyčerpání odměn pro et. hackery 1 rok nebo do vyčerpání odměn pro et. hackery na měsíční bázi nebo do vyčerpání odměn pro hackery Obsahuje základní sken zranitelností? bez manuál. prověření nalezených zranitelností s manuál. prověřením nalezených zranitelností dle dohody Pomůžeme vám s nastavením testovacího projektu a odměn pro hackery dle dohody Je podpora ze strany moderátora součástí balíku? za příplatek 200 / měs. Propagace vašeho projektu v komunitě etických hackerů na Hacktrophy min. 3 x 3 x + soc. sítě + garance přizvání min. 10 et. hackerů 4 x + soc. sítě + garance přizvání min. 15 et. hackerů 1 x měsíčně + dle dohody Možnost vyplácet odměny v různých měnách či kryptoměnách Detailní hlášení od hackerů o nalezených bezpečnostních dírách Manuální ověření nahlášených bezpečnostních děr moderátorem v případě zakoupení moderátora Měsíční výkaz o průběhu testování Sleva na další testovací balík po vyčerpání prvního balíku 3% 4% 6%

14 Kdo stojí za Hacktrophy Za projektem stojí etablovaní hráči ve sféře IT bezpečnosti s pozadím ve firmách jako je Citadelo, Nethemba nebo ESET. I díky nim si můžete být jisti, že od Hacktrophy dostanete přesně to, co očekáváte. Miroslav Trnka zakladatel společnosti ESET, jednoho z předních antivirových řešení na světě. Tomáš Zaťko CEO Citadelo, které se specializuje na informační bezpečnost podniků jakékoliv velikosti. Pavol Lupták CEO Nethemba, která se již více než 10 let zaměřuje na bezpečnost webových aplikací a penetrační testování. Juraj Bednár spoluvlastník Citadelo

15 Kontakt Roman Jazudek CEO Hacktrophy Lukáš Suchoba Sales Representative Hacktrophy, s.r.o. Lazaretská 12, Bratislava Více informací naleznete na Hacktrophy.com