Allt fler företag och organisationer inser värdet av att arbeta proaktivt med säkerhet för att skydda sina informationstillgångar. Att tidigt i utvecklingsprocessen upptäcka och åtgärda sårbarheter är inte bara kostnadseffektivt, det bygger också förtroende hos era kunder och användare. Med vår tjänst för säkerhetstestning får ni tillgång till expertis och avancerade verktyg precis när ni behöver dem, utan att behöva bygga upp en egen, dyr specialistavdelning.

Vi hjälper er att identifiera, analysera och mitigera säkerhetsrisker i era applikationer och system, så att ni kan fokusera på er kärnverksamhet. Med vårt koncept och flexibelt erbjudande får ni automatiserade applikationsskanningar (SAST, DAST, MAST, SCA) via OpenText Fortify on Demand (FoD), komplett med detaljerade rapporter och vägledning för att åtgärda sårbarheter. Uppfyll krav på regelefterlevnad och skydda era applikationer – utan krångel.

Applikationssäkerhet viktigare än någonsin

Cyberattacker ökar globalt, och med NIS2-direktivet som snart blir svensk lag, ställs högre krav på cybersäkerhet. Organisationer måste säkra sina applikationer och nätverk för att undvika driftstörningar, dataintrång och juridiska konsekvenser.

Lemontree har erfarenhet av att hjälpa organisationer inom olika cybersäkerhetsdomäner, såsom säkerhet och riskhantering, säkerhetsarkitektur, IAM (Identitets- och åtkomsthantering), och säkerhet för mjukvaruutveckling. Våra experter har en DevSecOps-mentalitet och är erfarna inom att arbeta med verktyg som integreras i CI/CD-pipelines för att förbättra säkerheten igenom systemutvecklingslivscykel (som Fortify, SonarQube, Vault, Artifactory, Qualys).

Vårt koncept och erbjudande för applikationssäkerhet eliminerar komplexiteten och omkostnaderna för att hantera testinfrastruktur för applikationssäkerhet, och löser brist på säkerhetskunskap som de flesta utvecklingsteam står inför.

Kärnkomponenter i vår säkerhetstestningstjänst

För att ge en komplett bild av er applikations säkerhetsprofil kombinerar vår tjänst flera branschledande testmetoder. Vi ser inte bara på koden eller den färdiga produkten, utan på hela livscykeln. Vår helhetssyn säkerställer att inga sårbarheter faller mellan stolarna. De centrala metoderna vi använder är:

1. Statisk applikationssäkerhetstestning (SAST – Static Application Security Testing)

  • Vad är det? SAST, ofta kallat ”white-box”-testning, analyserar er applikations källkod, binärfiler eller bytekod i ett tidigt skede – innan koden körs. Det är som att ha en säkerhetsexpert som granskar ritningarna till ett hus innan det byggs.
  • Varför är det viktigt? Genom att hitta sårbarheter som SQL-injektioner, buffertspill och felaktig kryptering direkt i källkoden kan utvecklare åtgärda dem snabbt och billigt. Detta förhindrar att säkerhetsproblem ens når produktionsmiljön.

2. Dynamisk applikationssäkerhetstestning (DAST – Dynamic Application Security Testing)

  • Vad är det? DAST, eller ”black-box”-testning, testar applikationen medan den körs, precis som en extern angripare skulle göra. Verktyget har ingen insyn i källkoden utan letar efter sårbarheter från utsidan, till exempel genom att försöka utnyttja inloggningsformulär eller API-anrop.
  • Varför är det viktigt? DAST är extremt effektivt för att hitta konfigurationsfel i servermiljön och sårbarheter som bara uppstår när applikationen interagerar med andra system. Det ger en realistisk bild av hur sårbar applikationen är för attacker ”från gatan”.

3. Säkerhetstestning av mobila applikationer (MAST – Mobile Application Security Testing)

  • Vad är det? MAST använder en kombination av statisk, dynamisk och forensisk analys specifikt anpassad för de unika riskerna med mobila plattformar (iOS och Android). Detta inkluderar allt från osäker datalagring på enheten till sårbar kommunikation med backend-system.
  • Varför är det viktigt? Mobila appar utgör en allt större attackyta. MAST säkerställer att er mobila närvaro är lika säker som era webbapplikationer.

4. Analys av programvarans sammansättning (SCA – Software Composition Analysis)

  • Vad är det? SCA analyserar tredjepartskomponenter, bibliotek och beroenden i er applikation för att identifiera kända sårbarheter. Det är som att ha en inventering av alla ”ingredienser” i er mjukvara och kontrollera om någon av dem har säkerhetsproblem.
  • Varför är det viktigt? Moderna applikationer består till stor del av öppen källkod och tredjepartsbibliotek. SCA hjälper er att hålla koll på dessa komponenter och snabbt identifiera när uppdateringar behövs för att åtgärda nyupptäckta sårbarheter.

Så fungerar det – steg för steg

  1. Ni får ett konto på FoD-plattformen
  2. Vi hjälper er med integrationen, beroende på vilka licenstyper ni har valt
  3. Skanning genomförs automatiskt
  4. Ni får en detaljerad rapport; det kan ta från några minuter till några få dagar beroende på typen av skanning
  5. Vi erbjuder uppföljning och ytterligare konsultation

Flexibla alternativ för alla behov

Det finns möjlighet att välja mellan olika skanningstyper (webb/mobil/API) samt om ni behöver en enskild bedömning eller ett abonnemang med obegränsade skanningar. Det finns även alternativ som inkluderar kompletterande manuell penetrationstestning från experter, och några typer av skanningar inkluderar granskning av resultaten och borttagning av falska positiva resultat.

Lemontree erbjuder även ytterligare konsultation där vi tittar på hur era team arbetar med säkerhet från krav till aktiv applikation, och arbetar med att förbättra processerna och arbetssätt så att säkerhet är integrerad i era processer.