Naša metodologija
Većina sigurnosnih alata izbacuje listu ranjivosti i ostavlja vam da to shvatite. Mi radimo suprotno: sjedimo s vašim okruženjem, pratimo svaki zahtjev, dokumentujemo svaki sloj i dajemo vam prioritetni plan po kojem možete djelovati sutra.
Cilj nije duža lista ranjivosti – to je oštrije razumijevanje gdje ste izloženi, zašto je to važno i šta prvo učiniti. To je razlika između skeniranja i procjene.
Počinjemo s mapiranjem onoga što zapravo pokrećete: sisteme, račune, perimetre, integracije. Ne možete braniti ono što ne vidite.
Edge, aplikacija, mreža, backend, podaci. Svaki sloj dobija vlastitu analizu - niti jedno skeniranje perimetra.
Pisani sigurnosni rezultat sa crvenim/narandžastim/zelenim prioritetima i konkretnim sljedećim koracima. Vaše da zadržite, podijelite, postupite po njima.
Domen 1 — Kontrola pristupa i identiteti
Svako kršenje počinje sa računom. Vršimo reviziju identiteta od kraja do kraja: ljudi, privilegije, SSO, vankrcaj i pristup u hitnim slučajevima.
Višefaktorska autentikacija nametnuta posvuda, uz zamjenu aplikacije za autentifikaciju.
Odvojite administratorske račune s potpunim evidentiranjem revizije o eskalacijama.
Vanmrežno pohranjeni nalog za hitne slučajeve tako da vas prekid usluge imenika ne blokira.
SSO na primarnim alatima, sa SAML/OIDC ožičenjem i dalje na čekanju na sekundarnim aplikacijama.
Menadžer lozinki za cijeli tim sa trezorima po odjelima i protokom između radnika i radnika.
Dokumentovana offboard skripta za svaki sistem — bez pristupa bez roditelja.
Domena 2 — Strategija zaštite podataka i rezervnih kopija
Provjeravamo cijeli životni ciklus zaštite: šta je šifrirano, šta je sigurnosno kopirano, koliko često se testira i koliko brzo se možete vratiti.
Dnevne sigurnosne kopije uparene s kvartalnim testom vraćanja sandbox-a i vremenskim oporavkom.
Šifriranje diska na svakom laptopu i ključevi kojima se upravlja platformom u skladištu i bazama podataka.
Trenutna, potpisana politika sa aktivnim oznakama za zaštitu informacija u upotrebi.
Dokumentirano vrijeme oporavka i ciljevi tačke oporavka po sistemu.
Tromjesečni ritam s runbookovima, imenovanim vlasnikom i datiranim revizijskim dokazima.
Pisani DR plan s prioritetima, ovisnostima i godišnjim pregledom.
Ciklus rezervnih kopija koji vodimo s vama
Automatizirane dnevne snimke, šifrirane u prijenosu iu mirovanju.
Tromjesečno vraćanje u sandbox - bez izgovora, bez izuzetaka.
Pravi oporavak u odnosu na pravi RTO — mjeren satima, a ne obećanjima.
Provjera integriteta podataka + odjava, arhivirano kao dokaz za revizore.
Sigurnosna kopija nije događaj, to je petlja – jedini korak koji je važan je vraćanje.
Domen 3 — Infrastruktura i sigurnost mreže
Rubovi okrenuti prema Internetu, kancelarijski WiFi, VLAN granice, patch cadence. Pratimo zahtjev sa otvorenog interneta kroz vaš perimetar u radna opterećenja.
Mi mapiramo stvarnu topologiju – javne IP adrese, WAF pravila, VLAN-ove i ulaz – zatim provjeravamo svaki skok u odnosu na njegovu očekivanu konfiguraciju.
Edge sigurnost s ograničenjem brzine i upravljanjem botovima na javnim domenama.
WPA3-Enterprise sa autentifikacijom podržanom direktorijumom — nije zajednička WPA2 lozinka.
Odvojeni VLAN-ovi za osoblje, IoT i goste — nema LAN uredskog ureda.
OS i ažuriranje aplikacija unutar 30 dana, uz dokumentirane izuzetke.
Filtriranje izlaznog DNS-a i pregledani skup pravila zaštitnog zida.
Pristup internim uslugama svjestan identiteta, bez implicitnog mrežnog povjerenja.
Domena 4 — Odgovor na incidente i kontinuitet
Plan odgovora na incident je mišić, a ne dokument. Provjeravamo plan, ritam vježbanja, vanjske kontakte i petlju nakon incidenta.
Trenutni IR plan sa ulogama, putevima eskalacije i jasnim komunikacijskim stablom.
Šta proveravamo: Verzija, datum posljednje revizije, vlasništvo i lokacija skladištenja — i da li ljudi navedeni u njoj još uvijek rade ovdje.
Dvaput godišnje stolne vežbe sa rotirajućim scenarijima kako bi tim poznavao plan.
Šta proveravamo: Datum posljednje vježbe, pokrenuti scenariji, snimljene lekcije i promjene gurnute natrag u plan.
CERT, osiguravač, pravni savjetnik i forenzičari sa 24/7 brojevima u IR planu.
Šta proveravamo: Svaki kontakt testiran na valutu i unaprijed odobreni obim tako da ne pregovarate tokom krize.
Unaprijed izrađene izjave o zadržavanju za osoblje, klijente, regulatore i štampu — pravni pregled.
Šta proveravamo: Predlošci za svaku publiku, pragovi eskalacije potpisanih i jedan izvor istine za ažuriranje statusa.
Strukturiran post mortem u roku od 14 dana, sa radnjama praćenim do zatvaranja.
Šta proveravamo: Predložak bez greške, registar akcija i podsjetnik kalendara za ponovnu provjeru kontrola 90 dana nakon incidenta.
Domena 5 — Usklađenost i rizik treće strane
GDPR registri, obrada inventara, pristup subjektu podataka, pregledi dobavljača. Mi revidiramo evidenciju i površinu rizika treće strane — i ostavljamo vam registar koji je stvarno aktuelan.
Filtriranje platforme e-pošte sa politikom sigurnih veza, priloga i anti-phishing politika prilagođenih vašim domenama.
Ažuran registar sa svakom djelatnošću, zakonskim osnovama, rokom zadržavanja i vlasnikom.
Dokumentirani proces zahtjeva za pristup subjektu podataka s vlasnikom, SLA i predlošcima.
Procjena zasnovana na riziku za svakog dobavljača koji ima pristup proizvodnim ili ličnim podacima.
PIA za svaki novi sistem ili dobavljača koji dodiruju lične podatke, arhiviran u registru.
Dokazi o usklađenosti na jednom mjestu koje se može pretraživati — politike, potpisi, dnevnici, pregledi.
Isporučivo
Svaki nalaz iz pet gorenavedenih domena nalazi se u jednom pisanom izvještaju, ocijenjenom na troslojnom sistemu po kojem možete djelovati bez prevodioca. Ovo ostaje u vašim rukama nakon našeg odlaska.
Kontrola pristupa, zaštita podataka, infrastruktura, odgovor na incidente, usklađenost — svaki sa statusom, nalazima i dokazima.
Za svaku prazninu: prioritet, vlasnik, procjena truda i konkretna sljedeća radnja — a ne nejasno 'pregled i poboljšanje'.
Arhitektonski dijagrami uključeni u izvještaj, označeni sa zdravo/rizično/kritično tako da slika odgovara prozi.
Vaš sigurnosni rezultat
Ne dobijate hrpu papira punu žargona. Dobijate ocjenu: po stavci, odmah razjasnite šta radi, a na šta treba obratiti pažnju.
Kritična ranjivost — potrebna je hitna akcija. Popravljamo ga tokom dana gdje je to moguće.
Potrebna je pažnja - planirajte ovo u roku od 30 dana. Dajemo vam korake.
Sve u redu — ovim dijelom se pravilno rukuje. Potvrđeno pismeno.
U prosjeku nalazimo 8-12 pitanja po procjeni. Šta god pronađemo, popravljamo - isti dan ako je moguće.
Opciono — brzi dobici istog dana
Ako imamo vremena nakon potpune procjene, primjenjujemo promjene koje traju nekoliko minuta, a ne sedmica, tako da idete u krevet sigurnije nego što ste se probudili.
Uključite upravljanje botovima, provjere integriteta pretraživača i nivo sigurnosti za putanje kojima su potrebni. Pet minuta, pravi uticaj.
Postavite odgovarajuća ograničenja na obrazac za kontakt, poništite prijavu i lozinku. Skida najlakše vektore zlostavljanja prije nego što počnu.
Opozovite bivše zaposlenike, stare administratorske račune i neiskorištene API ključeve koje smo pronašli na nivou 1. Najjeftiniji dobitak u izvještaju.
Smanjite HSTS, X-Frame-Opcije, osnovni CSP. Urađeno u jednoj promjeni konfiguracije na rubu, sačuvano zauvijek.
Iskreno upozorenje: Brze pobjede se dešavaju samo ako se potpuna procjena završi sa slobodnim vremenom. Nikada nećemo mijenjati dubinu za popravke – temeljita revizija je rezultat, popravci su bonus.
Zašto se Korur razlikuje
Mnogo alata će vam prodati skeniranje. Vrlo malo ljudi će sjediti u vašoj kancelariji jedan dan i objasniti šta su pronašli. Evo razlike.
Vidite tačno šta radimo na svakom nivou - bez crne kutije, bez vlasničke misterije. Metodologija je isporuka.
Inventar, rub, aplikacija, mreža, backend, podaci, integracije. Većina skeniranja pokriva jedan sloj; pokrivamo put.
Kada je problem rješiv za nekoliko minuta, riješimo ga prije nego što krenemo dalje. Odlazite sa rezultatima, a ne samo sa listom.
Kroz našu partnersku uslugu, sigurnosni rezultat ostaje aktivan — vidite kako se vaše držanje mijenja dok postupate prema preporukama.
Sve što pronađemo nalazi se u dokumentu koji vaš revizor, vaš CTO i vaši budući zaposlenici mogu pročitati. Znanje ne odlazi sa nama.
Spremni kad ste
Jedan pun dan. On site. Fiksna cijena. Odlazite sa izvještajem o sigurnosnoj ocjeni i — ako ima vremena — gomilom poboljšanja koja su već primijenjena.
