nová cesta k internetové náprava bezpečnosti dat kv ... · efektivně testovat bezpečnost...
TRANSCRIPT
https://tinyblueorange.com/2017/hacked-site-costs/https://boughtbymany.com/news/article/cyber-risk-insurance-cover/
https://hacktrophy.com/cs/bezpecnost-na-internetu/
https://hacktrophy.com/cs/bezpecnost-na-internetu/
Nová cesta k internetovébezpečnosti
www.hacktrophy.com
Hacktrophy je moderní cestou jak
efektivně testovat bezpečnost vašich
webů i aplikací prostřednictvím tzv. bug
bounty programů. Díky velkému množství
etických hackerů objevíte bezpečnostní
zranitelnosti včas a citlivá data tak
zajistíte dříve, než by mohly být
zneužity.
Nápravaškod po úniku
dat kvůli hackerskémuútoku stojí od 20 000 Kč
po 1 000 000 Kčpodle velikosti firmy
a druhu útoku.
http://www.breachlevelindex.com/
https://hacktrophy.com/cs/zodpovednost-firiem-za-ochranu-osobnych-udajov-sa-sprisni/
https://keepersecurity.com/assets/pdf/2017-Cybersecurity-SMB-Infographic.pdf
Proč byste se měli zajímat o IT bezpečnost?
37 000 stránek se každý denstane terčem hackerského útoku. Black-hat hackeři ve světě denně
ukradnou přibližně 5 milionůcitlivých záznamů.
https://medium.com/@Ahmedrebai/statistics-from-the-web-that-will-blow-your-mind-156f2659786c
Skoro 2/3 MSPzaznamenalo v roce 2017
kybernetický útok a 54% z těchto podniků bylo obětí krádeže
citlivých dat.
Obětí hackerského útokuse stala už jedna šestina
českých a slovenských firem, podnikajících v online byznysu.*
* Průzkum agentury 2Muse realizovaný pro Hacktrophy, 2016
Pokuta do výše 506 000 000 Kčnebo 4 % z ročního obratu hrozí od května 2018 společnostem, které
nedodrží pravidla nového nařízení na ochranu osobních údajů (GDPR).
Co vám hrozí po úspěšném útoku špatnéhohackera na váš web?
Krádež a zneužití firemnícha zákaznických dat
Náročný proces obnoveníprovozu webu i aplikace
Ztrátazákazníků
Náklady na nápravu škodpo hacknutí stránky
Dlouhodobé poškozeníreputace
Pokuty od státních orgánůi obchodních partnerů
86 % webů
obsahuje nejméně
jednu kritickou "díru"
a množství menších
zranitelností, přes které lze
ukrást firemní data
či zneužít vaši
infrastrukturu.
Náklady na krizové PR
Útoky black-hat hackerů jsou realitoui v Čechách či na Slovensku
1 3
2 4
Z webu Mall.cz ukradl špatný "black-hat" hacker díky bezpečnostní chybě 766 421 hesel, 735 956e-mailových adres a obdobný počet telefonních čísel v čitelné podobě. Data zveřejnil na internetu. Kromě finančních škod ve výši několik tisíc eur společnost ztratila reputaci a značnou část zákazníků.
https://goo.gl/dSWTPZ Těsně před spuštěním nového projektu napadl slovenskou vývojářskou firmu black-hat hacker. Do systému vnikl přes nezajištěnou firemní aplikaci a zneužil servery společnosti na nelegální účely. Důsledkem byla finanční škoda 45 000 EUR a odložení startu připravovaného projektu o 3 měsíce.*
Komerční banka měla v roce 2013 bezpečnostní chybu v internetovém bankovnictví. Ta umožnila jednomu zklientů vidět záznamy penzijního spoření 47 947klientů banky. Případ byl medializován a bankaprohlásila, že se téměř "nic nestalo". Ztratila ale dobré jméno a část klientů.
Koncem roku 2016 napadl špatný hacker díky bezpečnostní díře stránku Domina.sk. Médiím rozeslal ukradená citlivá data jako důkaz svého úspěchu. Soubor obsahoval informace o více než 30 000 uživatelích včetně jejich zpráv s velmi citlivým obsahem. Služba ztratila velkou část klientů a dodnes bojuje o svou pověst.
https://goo.gl/Vbemn6
* Studie firem Citadelo a Nethemba, jejichž majitelé jsou spoluzakladatelé projektu Hacktrophy
Hacktrophy zvýší úroveňvaší IT bezpečnosti
Princip je jednoduchý – přes Hacktrophy.com
vyhlásíte odměnu za nalezení bezpečnostních
chyb ve vašich aplikacích nebo na webu.
Zaregistrovaní etičtí hackeři se tyto
zranitelnosti budou snažit najít a oznámit vám
je dříve, než by mohlo dojít k jejich zneužití.
Odměna se vyplatí pouze za reálné
bezpečnostní „díry“. Testování přitom probíhá
tak, aby neohrozilo běžný provoz webu (např.
přes vaše testovací konto nebo v testovacím
prostředí).
Bug bounty programyjsou účinnou prevencí předútoky zlých hackerů
Jak funguje Hacktrophy?
S naší pomocí určíte, kde a co
mají etičtí hackeři hledat, přičemž vám pomůžeme
nastavit správné odměny.
Etičtí hackeři začnou testovat
bezpečnost vašeho webu či
aplikace.
Když najdou bezpečnostní zranitelnost,
nahlásí vám ji.
Prověříme, zda jde o relevantní
"díru". Pokud ano,
akceptujeme hlášení a vy si
chybu opravíte.
Uhradíme odměnu
hackerovi z financí v rámci balíčku, který
jste si zakoupili.
Etičtí hackeři hledají další
zranitelnosti, dokud se
nevyčerpají finance z
vašeho balíčku.
1 2 3 4 5 6
Výhody bug bounty programu Hacktrophy
Dlouhodobé testováníbezpečnostiEtičtí hackeři váš web nebo aplikacitestují v průběhu celého roku,resp. dokud se nevyčerpají financez předplaceného balíčku.
Cenová efektivitaa kvalita výstupůPlatíte pouze za dírydle vaší definice, které se skutečněnacházejí v systému a které prověřínáš moderátor.
Různorodost testerůz celého světaVáš online produkt nebo službutestují desítky až stovky bezpečnostníchexpertů, tzv. etických hackerů.
Dovednosti etických hackerův oblasti testování IT bezpečnosti jsourozsáhlejší než v případě běžnýchIT zaměstnanců.
Testování máte podkontrolouVy určíte, co mohou etičtí hackeřitestovat, v jakém prostředí (testovacímnebo produkčním) a do jaké hloubkyvašeho systému.
Odbornost testerů Manuální testovánía ověřováníVaši bezpečnost testují reální lidés unikátními znalostmi,ne automatizovaní roboti či skeny.
Co můžete testovat přes Hacktrophy?
Každý web, aplikaci či rozhraní dostupné přes internet:
Testovat lze nejen chyby vzniklé v důsledku programování či použitého softwaru,ale i nastavení infrastruktury, na níž web či aplikace běží. Testování můžeprobíhat v produkčním i testovacím prostředí.
webstránky, které pracují s citlivými údaji - vašimi nebo vašich klientů,
e-shopy, sázkové portály, online tržiště,
CMS jádra,
CRM a účetní systémy, cloud, IoT řešení,
mobilní aplikace nebo hry,
internet banking, kryptoburzy a platební brány,
firemní či průmyslové systémy, které jsou připojeny k internetu.
Proces testování bezpečnosti
ÚROVEŇBEZPEČNOSTI
BUG BOUNTYPROGRAM
HACKTROPHY
Vývoj aplikace,tvorba webu
Vývoj aplikace,tvorba webu
Interní testováníbezpečnosti
Zveřejněníwebu,aplikace
SpuštěníBB programu
Hlášenío chybě
Hlášenío chybě -koloběh
pokračuje
Prověřeníopravychyby
Vyplaceníodměny
hackerovi
Zveřejněníopravenéhowebu,aplikace
Nalezeníchybyhackerem
Nalezeníchybyhackerem, atd.
Opravachyby
(Penetračnítest)
Úroveň bezpečnostibez bug bountyprogramu
Úroveň bezpečnostis bug bountyprogramem
Co získáte od etických hackerů?
TOP 5 zranitelností nahlášenýchv roce 2017 přes Hacktrophy
Specifická zranitelnost (10,35 %)Zranitelnost, která se nenachází v OWASP TOP 10 hodnocení, ale představuje vysoké riziko napadení.
SPF configuration problems (5,52 %)Chyba v nastavení e-mailového serveru, která umožnuje provádět e-mail spoofing (krádež identity).
XSS (4,83 %)Představuje možnost vkládání škodlivého kódu na web, s cílem jeho následného využití na koncových zařízeních návštěvníků, pro krádežcitlivých dat.
CSRF (4,16 %)Útok umožňující přinutit uživatele načíst web obsahující škodlivýpožadavek. To může vést ke krádeži identity nebo citlivýchdat uživatelů.
Session fixation (4,16 %)Jde o útok, který dovoluje útočníkovi ukrást platnou relaci uživatele, která je následně přesměrována na server útočníka.
Ukázka hlášení nalezené "díry"
https://hacktrophy.com/pentest-vs-bug-bounty-program-porovnanie/
Porovnání penetračních testů a Hacktrophy
PENETRAČNÍ TEST HACKTROPHY
Časové pokrytí
Potřebné úsilí
Kvalita nalezených zranitelností
Náklady za zranitelnost
Nízké. Jeden nebo několik etických hackerů na omezený cas.
Vysoké. Velká skupina etických hackerů bez časového limitu, přičemž se platí pouze za validní výsledky.
Nízké. Se zadáním bug bounty projektu vám pomůže přidělený moderátor. Průběžně získáváte ověřené hlášení o zranitelnostech.
Vysoká. Počet hackerů garantuje různé typy zkušeností a formy hackování.
Střední. S výškou odměn vám poradí Hacktrophy, přičemž je máte celou dobu pod kontrolou. Platíte jen za ověřené zranitelnosti.
Střední. Poměrně složité nastavení zadání. Prioritou je závěrečnéhlášení.
Vysoká. Závislá na kvalitě dodavatele pentestu.
Vysoké. Konzultanti jsou nákladní a jejich čas je omezen.
Detailní srovnání najdete v našem blogu
Balík SIdeální pro jednoduchý
web či aplikaci s minimemcitlivých údajů.
Doba trvání je 1 rok nebo dovyčerpání odměn pro etické hackery
včetně odměnpro etické hackery
33 000 Kč
Balík MIdeální pro firemní web,
který zpracovává některé citlivéúdaje, např. po registraci.
včetně odměnpro etické hackery
44 000 Kč
Obsahuje automatizovanýsken zranitelnosti!
Doba trvání je 1 rok nebo dovyčerpání odměn pro etické hackery
DOPORUČUJEME
Balík LIdeální pro web či aplikaci,
které pracují s financemi nebovíce citlivými údaji.
včetně odměnpro etické hackery
110 000 Kč
Obsahuje automatizovanýsken zranitelnosti s manuálnímověřením!
Doba trvání je 1 rok nebo dovyčerpání odměn pro etické hackery
Dlouhodobé testování bezpečnosti komunitouvíce než 350 etických hackerůz celého světa
Flexibilní nastavování odměn pro etickéhackery v závislosti na závažnostihledání chyb
Manuální ověření nahlášených chybpřiděleným moderátorem
Pravidelné hlášení o aktuálním stavu vašehobug bounty programu
Sleva na pokračování testování po vyčerpánízakoupeného balíčku
Detailní hlášení o bezpečnostníchzranitelnostech nalezených etickými hackeryvčetně popisu jejich charakteru, umístěnía návrhu na opravu
Podpora ze strany moderátora při tvorběa vypořádání vašeho bug bounty programupo celou dobu trvání balíčků
Přizpůsobení cílů testování podle vašichpotřeb a technických možností (web, mobilníaplikace, formulář, část infrastruktury, atd.)
Vyberte si jeden ze způsobů testování
Každý balík automaticky obsahuje:
Náročným korporátním klientům nabízíme spolupráci "ušitou na míru". Neváhejte nás kontaktovat pro více detailů.
Balík S
Cena balíku včetně odměn pro etické hackery 33 000 Kč
1 rok nebo do vyčerpáníodměn pro et. hackery
1 rok nebo do vyčerpáníodměn pro et. hackery
bez manuál. prověřenínalezených zranitelností
1 rok nebo do vyčerpáníodměn pro et. hackery
na měsíční bázinebo do vyčerpáníodměn pro hackery
44 000 Kč 110 000 Kč
dle dohody
v případě zakoupenímoderátora
dle dohody
Doba trvání balíku
Obsahuje základní sken zranitelností?
Pomůžeme vám s nastavením testovacíhoprojektu a odměn pro hackery
Je podpora ze strany moderátorasoučástí balíku?
Propagace vašeho projektu v komunitěetických hackerů na Hacktrophy
Možnost vyplácet odměny v různých měnáchči kryptoměnách
Detailní hlášení od hackerů o nalezenýchbezpečnostních dírách
Manuální ověření nahlášenýchbezpečnostních děr moderátorem
e-mail 3 x + soc.sítě + garance přizvání
min. 10 et. hackerů
e-mail 4 x + soc.sítě + garance přizvání
min. 15 et. hackerů
e-mail 1 x měsíčně+ dle dohodye-mail min. 3 x
3% 6%4%
dle dohody, ke každévyplacené odměně se
připočítává 20 % provize
Měsíční výkaz o průběhu testování
Sleva na další testovací balík po vyčerpáníprvního balíku
Porovnání balíků Hacktrophy
M L Na míru
za příplatek 200 € / měs.
s manuál. prověřenímnalezených zranitelností
www.eset.com/sk/ www.citadelo.com/sk/
www.citadelo.com/sk/www.nethemba.com/sk/
Kdo stojí za Hacktrophy
Za projektem stojí etablovaní hráči ve sféře IT bezpečnosti s pozadím ve firmách jako je Citadelo, Nethemba
nebo ESET. I díky nim si můžete být jisti, že od Hacktrophy dostanete přesně to, co očekáváte.
Miroslav Trnkazakladatel společnosti ESET,jednoho z předních antivirovýchřešení na světě.
Pavol LuptákCEO Nethemba,která se již více než 10 let zaměřujena bezpečnost webových aplikacía penetrační testování.
Juraj Bednárspoluvlastník Citadelo
Tomáš ZaťkoCEO Citadelo,které se specializuje na informační bezpečnostpodniků jakékoliv velikosti.
https://www.face
book.com/Hack
Trophy/
https://www.lin
kedin.com/com
pany/hacktroph
y
https://twi
tter.com/ha
cktrophy
Kontakt
Roman Jazudek
+ 421 948 09 09 08
CEO Hacktrophy
Hacktrophy, s.r.o.Lazaretská 12, 811 08 Bratislava
Více informací naleznete na
Hacktrophy.com
www.hacktrophy.com
Lukáš Suchoba
+ 421 948 46 69 37
Sales Representative
https://hacktrophy.com/