Etický hacking kybernetické bezpečnosti

Na základě simulace reálného útoku vám dokážeme poskytnout detailní přehled o slabých a kritických místech využitelných k průniku do vašich informačních systémů, síťové infrastruktury, webových aplikací a služeb. Odhalíme včas skryté hrozby, identifikujeme zranitelnosti a navrhneme nápravná opatření k jejich eliminaci.  

Nečekejte až vás otestuje skutečný hacker, získejte náskok a začněte aktivně řídit bezpečnostní rizika a kybernetické hrozby.

Fáze útoku

1. Identifikace cílů

2. Návrh scénáře útoku

3. Detekce aplikací a služeb

4. Identifikace zranitelností

5. Odhalení nedostatků

6. Návrh opatření

Režimy testování

Black-box

Testerovi je umožněn přístup k testovanému prostředí bez poskytnutí jakýchkoliv dalších informací o jeho architektuře, použitých technologiích či konfiguraci. Je tak simulován útok z pozice hosta nebo externího útočníka.  

White-box

Tester má k dispozici velmi podrobné informace o testovaném prostředí, architektuře sítě, použitých technologiích i konfiguraci. Je tak simulován útok z pozice administrátora.  

Grey-box

Jedná se o kombinaci obou předchozích režimů. Testerovi jsou poskytnuty předem dostupné informace, které má uživatel v dané roli k dispozici. Simulován tak může být útok například ze strany bývalého zaměstnance, partnera nebo dodavatele.

Vyhodnocení testování

Závěrečná zpráva

Výstupem každého našeho testovaného útoku je Závěrečná zpráva. Přináší strategické informace a přehled o slabých místech využitelných k průniku do testovaných systémů. Definuje stupeň jejich závažnosti a navrhuje nápravná opatření k jejich eliminaci.  

  • Výčet nalezených zranitelností
  • Hodnocení stupně jejich závažnosti
  • Doporučená opatření k jejich eliminaci
  • Manažerské shrnutí pro strategické řízení
  • Výsledné zhodnocení úrovně zabezpečení
  • Plán a doporučení dalšího postupu

Penetrační testy

  • Penetrační testy webových aplikací a internetových služeb
  • Externí penetrační testy perimetru a infrastruktury sítě
  • Interní penetrační testy vnitřní sítě
  • Penetrační test Wi-Fi sítě
  • Penetrační testy mobilních aplikací

 

 Penetrační testy

Testy zranitelností

  • Testy zranitelností webovových aplikací a internetových služeb
  • Externí test infrastruktury sítě, neautorizovaný přístup k datům
  • Interní test vnitřní sítě, dostupnost uživatelských stanic a serverů
  • Audit konfigurace a zabezpečení
  • Zátěžové testy simulující DoS útoky

 

Testy zranitelností

Penetrační testování v praxi

„Využívejte nástroje, které prověří skutečnou úroveň a stav bezpečnosti.“ Peter Šinaľ, bezpečnostní specialista TNS.

Penetrační testy v dnešní době již nejsou řešením pouze pro velké a nadnárodní koncerny, ale důležitou součástí bezpečnostní strategie každého subjektu. Uvádím poznatky, které vyšly najevo při testování ve středně velké firmě působící v oblasti veřejných služeb a logistiky. Tento příklad vybírám záměrně, neboť se jednalo o organizaci, kde administrátoři dbali na bezpečnost, ale neměli k dispozici vhodné nástroje, které by ověřovaly skutečnou bezpečnost v praxi.

 

ČÍST případovou studii      

 

 

Sociální inženýrství

  • Vedení útoku s cílem získat informace pod falešnou záminkou
  • Prověření reakcí zaměstnanců na pokusy o získání citlivých informací
  • Simulovaný útok formou e-mailové nebo telefonické kampaně
  • Pokusy o fyzický přístup k serverům a dalším zařízením

Phishing

  • Phishingový útok k podvodnému získání přístupových údajů
  • Simulace útoku s cílem získat přihlašovací údaje zaměstnanců
  • Cílený spear-phishing útok na jednotlivce v organizaci

Zátěžový DoS útok

  • Zátěžový DoS útok s cílem zahlcení požadavky
  • Ověření, jaký nápor vaše systémy a aplikace zvládnou

Bezpečnostní testy

  • Prolamování hesel útoky hrubou silou
  • Audit pracovních stanic a jejich ochrana proti zneužití
  • Audit mobilních aplikací a úrovně jejich zabezpečení
  • Audit zdrojového kódu a vyhledání bezpečnostních mezer

Testy sociálním inženýrstvím

Praktický test odolnosti uživatelů, jako nová forma školení IT bezpečnosti. Zažijte simulovaný útok na vlastní kůži.

Víte, že pro úspěšný průnik do vaší interní sítě stačí jediná oběť, která útočníkovi podlehne? Zamyslete se nad tím, zda byste vy nebo vaši kolegové použité metody útočníka včas odhalili. Nechat se nachytat v simulovaném útoku nemá žádný vliv na fungování firmy, ale má vysoký edukativní účinek pro všechny účastníky.

 

ČÍst ČLÁNEK