+31 35 543 1000 info@kza.nl

Security Services

“security is excessive, until it’s not enough”.

Een simpele spreuk, maar wij ondervinden dat security nog te vaak onderaan de prioriteitenlijst geschoven wordt tijdens het software ontwikkelingsproces. In deze tijd waarin ontwikkelingen elkaar snel opvolgen zien we dat security een steeds belangrijkere plek krijgt.

KZA Security Services is er om uw organisatie te helpen mogelijke veiligheidsrisico’s in kaart te brengen. Vanuit onze drang om goede kwaliteit te leveren zijn wij altijd op zoek naar onvolkomenheden in de software. Dit op zowel functioneel als security vlak. Daarom hebben wij professionals die zich verder gespecialiseerd hebben op het vlak van security en hier diverse opdrachten voor uitvoeren. Uiteraard met de daarbij behorende certificering (minimaal Certified Ethical Hacker).  Op basis van deze kennis en onze vaardigheden helpen onze security professionals uw organisatie graag om veiliger en meer secure te worden.

Wij hechten waarde aan transparantie tijdens de uitvoering van onze opdrachten. Daarom bespreken we met de opdrachtgever diverse opties om zo tot de beste opdrachtuitvoering te komen. Hierbij bieden wij glasheldere rapportages met verklarende toelichting op onze bevindingen, zodat de uitkomst van de opdracht voor de opdrachtgever, business en technici volledig duidelijk is.

KZA Security Services biedt een uiteenlopend pallet van services aan:

Doel:
Security is, zeker in deze tijd, een aspect dat steeds belangrijker is en waar terecht veel aandacht voor is. Bijzonder is het feit dat we anno 2019 vaak pas aan het einde van het ontwikkelproces gaan testen op het aspect security. Bevindingen die aan het einde van het ontwikkelproces gedaan worden, zijn immers duur om te herstellen. Nog los van de tijd die dit kost en daarmee nieuwe of aangepaste functionaliteiten die later dan gepland beschikbaar gesteld worden aan de klanten.
Door het integreren van securitytesten in uw ontwikkelpipeline ontstaat eerder zicht op mogelijke issues. Wanneer securitytesten op deze wijze worden gecombineerd met een CI/CD-pipeline, wordt het security aspect niet alleen eerder maar ook frequenter getoetst.

Omschrijving:
Er bestaat geen “one size fits all” oplossing. Daarom komen wij graag bij u langs om te kijken wat de mogelijkheden voor security in uw pipeline zijn. Om te beginnen kijken wij naar uw huidige pipeline, uw visie voor de toekomst en geven we op basis daarvan een advies hoe u het beste kunt starten.

Nadat is vastgesteld wat de huidige status is en wat de stip op de horizon is, gaan we op basis van de volgende stappen aan de slag:

  • Check fundament van de pipeline. Waar nodig breiden we het fundament van de bestaande pipeline uit zodat security geïntegreerd kan worden.
  • Implementeren van security tools in de pipeline. Dit kan bijvoorbeeld het implementeren of effectiever gebruik maken van OWASP ZAP zijn. In een aantal situaties is het mogelijk om ook niet specifieke security tools, zoals bijvoorbeeld SonarQube, zo te configureren dat ze ook ingezet worden voor security in de pipeline.
  • Bepalen en afstemmen hoe de resultaten ten aanzien van security gerapporteerd worden aan de betrokken teams en andere belanghebbenden binnen uw organisatie. We richten dit op een dusdanige wijze in dat de verstrekte informatie daadwerkelijk nuttig en direct toepasbaar is. Daarbij is het ons doel om ervoor te zorgen dat de kennis geborgd wordt binnen uw organisatie.

Doel: Hoe weet u dat uw applicatie voldoende beschermd is tegen hackers en niet kwetsbaar is voor buitenstaanders? Door middel van een penetratietest geven wij inzicht op deze vraag.

Omschrijving: Door het uitvoeren van een penetratietest gaan onze Certified Ethical Hackers (CEH’s) op zoek naar risicogebieden en kwetsbaarheden binnen uw software. We testen uw applicatie vanuit verschillende invalshoeken: als buitenstaander proberen binnen te dringen en/of met geldige inloggegevens niet toegestane acties uitvoeren. Aan de hand van de resultaten van de penetratietest leveren we advies over passende maatregelen die getroffen kunnen worden om de risico’s af te wenden of te mitigeren.

Doel:
Door het uitvoeren van een Security Scan krijgt u inzicht in de kwetsbaarheden in uw software. Het verschil met een Penetratietest is dat een Security Scan minder diepgang heeft. Tegelijkertijd kan de Security Scan op elke gewenst moment volledig automatisch uitgevoerd worden. Dit betekent dus dat u snel en regelmatig feedback krijgt over de security status van uw software.

Omschrijving:
De Security Scan is een volledig geautomatiseerde securitytest waarin we uw applicatie testen vanuit verschillende invalshoeken: als buitenstaander proberen binnen te dringen en/of met geldige inloggegevens niet toegestane acties uitvoeren. De kracht van een Security Scan ligt in het feit dat deze, afhankelijk van uw wensen, zo ingericht kan worden dat er op elk gewenst moment een scan gedaan wordt. Een zeer effectieve manier om security te waarborgen binnen uw ontwikkelproces.

Doel:
De mens is vaak de zwakste schakel binnen het securityproces. Onze social engineering testen geven inzicht in de security awareness van de medewerkers binnen uw organisatie.

Omschrijving:
Dat de code helemaal secure is, betekent nog niet dat uw organisatie dit ook is. Hoe vrij kunnen we ons door uw pand begeven en onszelf toegang tot het netwerk verschaffen? Lukt het ons om informatie te achterhalen of om toegang te verkrijgen tot een systeem door dit aan medewerkers te vragen? Veel succesvolle hacks beginnen met een social engineering aanval waarmee een hacker zich waardevolle informatie verschaft. Er zijn vele vormen van social engineering mogelijk (bv. Phishing, Vishing), welke in goed overleg met de opdrachtgever worden gecombineerd.

Doel:
Security awareness en kennis onder uw medewerkers creëren of vergroten op zowel technisch als menselijk vlak. De vereiste technische kennis voor deze trainingen hangt af van de type training. De hieronder vermelde trainingen passen wij naar wens aan. Voor meer informatie over groepsgrootte, prijzen etc. kunt u contact met ons opnemen via onderstaand email adres.

Omschrijving:
Security Awareness: een training bedoeld om uw medewerkers meer inzicht te geven in hoe zij veilig hun dagelijks werk kunnen uitvoeren.
Doelgroep: eenieder die bewuster met security om wil gaan. Geen technische kennis vereist.

Basic Principles of Security Testing: een training bedoeld om uw medewerkers te leren om op bepaalde kwetsbaarheden te kunnen testen.
Doelgroep: eenieder die security testen mee wil nemen bij zijn dagelijkse werkzaamheden. Technische kennis is vereist.

Zero2Hero: een training bedoeld om uw medewerkers kennis te laten maken met penetratietesten, social engineering en networking. Een hands-on training waar de focus ligt op het in de praktijk brengen van de theorie.
Doelgroep: eenieder die een diepere (technische) kennis van security wil krijgen. Enige technische kennis komt goed van pas, maar is niet vereist.

Ben je benieuwd wat we voor jou kunnen betekenen? Laat dan onderstaand je gegevens achter en we nemen zo spoedig mogelijk contact met je op.