האפליקציות הארגוניות הן אחד ממוקדי מתקפות האבטחה והסייבר. כדי לסייע לארגונים ולמנהלי אבטחת המידע בהם להימנע מכשלי אבטחה ברמת האפליקציה, אנחנו עושים שימוש במתודולוגיות אבטחת אפליקציות סדורות. איומי אבטחת המידע מתחדשים כל הזמן, לכן, אנו מקפידים לחדש תהליכים באופן עקבי ולתת מענה הולם לעסקים ולארגונים המבקשים להגן על נכסיהם.
בדיקות חדירה אפליקטיביות –
Client, Web and Mobile ועוד
אנו מבצעים סדרות של בדיקות על גבי האפליקציות הארגוניות, שעיקרן מבוסס על מתודולוגיית ה-OWASP הכוללת שורה של בדיקות טכנולוגיות מתקדמות המבוצעות למערכות המידע הארגוניות, ברמה האפליקטיבית. צורת העבודה שלנו בטריאד סקיוריטי מקבוצת Yael מתמקדת בחשיפת פגיעות וחולשות אבטחה, תוך התייחסות לתרחישים עסקיים ייעודיים למערכת ולאיומים הרלוונטיים עבור כל לקוח. הבדיקות שאנחנו עורכים מדמות תרחישים ריאליים מסוגים שונים, המאפשרים איתור פגיעה פוטנציאלית ופערים בין המצב הקיים לבין המצב הרצוי.
ליווי לפיתוח מאובטח – SDLC
צוותי אבטחת האפליקציות המיומנים שלנו מסוגלים להציע ללקוחות מכל מגזרי המשק ליווי מאובטח עבור כל אחד משלבי פיתוח האפליקציות ומול הגורמים הטכנולוגיים בארגון, זה כולל השתלבות כבר בשלב התכנון שבמסגרתו אנחנו מסייעים בשילוב הגדרת הבקרות המתאימות, בהתאם לארכיטקטורה הנבחרת, לאפיון העסקי, לעקרונות הקוד בו מפתחים ולאורך כל שלבי הפיתוח, באשר הם.
כמו כן, משתלבים הצוותים המקצועיים שלנו בשלבי ה- Security QA לבדיקת המערכת המוגמרת, על מנת לוודא יישום נכון של הפיתוח המאובטח ולשם בדיקת פגיעויות בקוד (כולל בדיקת תהליך שלם מקצה לקצה, מודולים, גרסה שלמה, work flow וכו'). כמו כן, אנו מציעים לארגונים לשלב בדיקות ברמה התשתיתית לשם בדיקת הקשחה, קונפיגורציה לתשתית האפליקטיבית, פניה לשירותים חיצוניים, בדיקות PT טרם אישור ושחרור הגרסה, ליווי שוטף וביצוע בדיקות נקודתיות או תקופתיות לאחר עליית המערכת לאוויר.
ניהול תהליך מיגור חשיפות אבטחתיות ופגיעויות
אנשי המקצוע שלנו המומחים באבטחת אפליקציות מנהלים ומלווים ארגונים בתהליכי הטיפול בחשיפות העולות ממבדקים יזומים המבוצעים בארגון. זאת, כנגזרת מאופי הפעילות השוטפת בתהליכי הפיתוח בחברה. תהליך ניהול הפגיעויות מתבצע בידי יועץ בכיר המשמש כזרוע הביצועית של מנהל אבטחת המידע וצוות אבטחת המידע בארגון. סוגיות ובעיות מקצועית העולות במהלך הפעילות השוטפת, מטופלות יחד עם הצוותים המקצועיים ובתיאום מלא עם מנהלי אבטחת המידע והסייבר בארגון.