Penetrační testy IT systémů, síťové infrastruktury, webových aplikací a internetových služeb

Penetrační testy počítačových systémů, síťové infrastruktury, webových aplikací a internetových služeb provádíme na základě simulace reálného útoku. Poskytneme vám detailní přehled o slabých a kritických místech využitelných k průniku, odhalíme bezpečnostní nedostatky, zhodnotíme stupeň jejich závažnosti a navrhneme nápravná opatření.

 

Sestavíme vám na míru penetrační test, který prověří skutečnou úroveň zabezpečení vašich informačních systémů. Nečekejte, až vás otestuje skutečný hacker, chraňte včas svá data!

Penetrační testování v praxi

„Využívejte nástroje, které prověří skutečnou úroveň a stav bezpečnosti.“ Jan Pawlik, bezpečnostní specialista TNS.

Penetrační testy v dnešní době již nejsou řešením pouze pro velké a nadnárodní koncerny, ale důležitou součástí bezpečnostní strategie každého subjektu. Uvádím poznatky, které vyšly najevo při testování ve středně velké firmě působící v oblasti veřejných služeb a logistiky. Tento příklad vybírám záměrně, neboť se jednalo o organizaci, kde administrátoři dbali na bezpečnost, ale neměli k dispozici vhodné nástroje, které by ověřovaly skutečnou bezpečnost v praxi.

 

Číst celou případovou studii

Penetrační test webové aplikace

Testujeme s využitím automatizovaných nástrojů i manuálních scénářů. Navrhneme a provedeme kombinovaný útok s cílem hloubkového auditu webových aplikací vyžadujících vysokou úroveň zabezpečení. Test je vhodný pro webové stránky i rozsáhlé aplikace internetových služeb. Testy provádíme dle metodiky OWASP.

Penetrační test perimetru sítě

Externí penetrační test prověří bezpečnostní mechanismy sloužící k ochraně zdrojů, služeb a dat před neoprávněným přístupem či manipulací ze strany útočníka z vnější sítě. Cílem je odhalení co největšího počtu závažných zranitelností, které jsou zneužitelné k průniku a neoprávněnému přístupu do interní sítě.

Penetrační test vnitřní sítě

Interní penetrační test prověří bezpečnostní mechanismy sloužící k ochraně zdrojů, služeb a dat před neoprávněným přístupem a případným zneužitím ze strany uživatelů ve vnitří síti, jako jsou například zaměstnanci, partneři nebo dodavatelé.

Penetrační test Wi-Fi sítě

Prověření bezpečnostních mechanismů sloužících k ochraně zdrojů, služeb a dat před neoprávněným přístupem ze strany uživatelů, připojených prostřednictvím Wi-Fi sítě.

Sociální inženýrství

Prověření reakcí zaměstnanců na pokusy o získání citlivých informací prostřednictvím e-mailových nebo telefonických kampaní. Pokusy o získání fyzického přístupu k infrastruktuře, serverům a dalším zařízením.

Test mobilních aplikací

Penetrační testy mobilních aplikací zaměřené na identifikaci nedostatků a ověření zabezpečení ukládaných dat, šifrovacích klíčů, ochranu relací a bezpečnou komunikaci aplikací.

Fáze testování

1. Identifikace cílů

2. Detekce aplikací a služeb

3. Identifikace zranitelností

4. Odhalení nedostatků

5. Analýza a návrh opatření

6. Závěrečná zpráva

7. Re-test

Režimy testování

Black-box

Testerovi je umožněn přístup k testovanému prostředí bez poskytnutí dalších informací o jeho architektuře, použitých technologiích či konfiguraci. Je tak simulován útok z pozice hosta nebo externího útočníka.

White-box

Tester má k dispozici velmi podrobné informace o testovaném prostředí, architektuře sítě, použitých technologiích i konfiguraci. Může tak být simulován útok z pozice administrátora.

Grey-box

Kombinace obou předchozích režimů. Testerovi jsou poskytnuty předem dostupné informace, které má uživatel v dané roli k dispozici. Simulován tak může být útok např. ze strany bývalého zaměstnance, partnera či dodavatele.

Závěrečná zpráva

Závěrečná zpráva je výstupem každého našeho testu. Přináší detailní přehled o slabých místech využitelných k průniku do testovaných systémů. Definuje stupeň jejich závažnosti a navrhuje nápravná opatření k jejich eliminaci.

  • Výčet nalezených zranitelností
  • Hodnocení stupně jejich závažnosti
  • Doporučená opatření k jejich eliminaci
  • Manažerské shrnutí výsledků testování
  • Celkové zhodnocení úrovně zabezpečení

Jsou vaše data zabezpečena?