Etický hacking kybernetické bezpečnosti

Na základě simulace reálného útoku vám dokážeme poskytnout detailní přehled o slabých a kritických místech využitelných k průniku do vašich informačních systémů, síťové infrastruktury, webových aplikací a služeb.

Odhalíme včas skryté hrozby, identifikujeme zranitelnosti a navrhneme nápravná opatření k jejich eliminaci.

 

Nečekejte až vás otestuje skutečný hacker, získejte náskok a začněte aktivně řídit bezpečnostní rizika a kybernetické hrozby.

Fáze útoku

1. Identifikace cílů

2. Návrh scénáře útoku

3. Detekce aplikací a služeb

4. Identifikace zranitelností

5. Odhalení nedostatků

6. Návrh opatření

Režimy testování

Black-box

Testerovi je umožněn přístup k testovanému prostředí bez poskytnutí jakýchkoliv dalších informací o jeho architektuře, použitých technologiích či konfiguraci. Je tak simulován útok z pozice hosta nebo externího útočníka.

 

White-box

Tester má k dispozici velmi podrobné informace o testovaném prostředí, architektuře sítě, použitých technologiích i konfiguraci. Je tak simulován útok z pozice administrátora.

 

Grey-box

Jedná se o kombinaci obou předchozích režimů. Testerovi jsou poskytnuty předem dostupné informace, které má uživatel v dané roli k dispozici. Simulován tak může být útok například ze strany bývalého zaměstnance, partnera nebo dodavatele.

Vyhodnocení testování

Závěrečná zpráva

Výstupem každého našeho testovaného útoku je Závěrečná zpráva. Přináší strategické informace a přehled o slabých místech využitelných k průniku do testovaných systémů. Definuje stupeň jejich závažnosti a navrhuje nápravná opatření k jejich eliminaci.

 

  • Výčet nalezených zranitelností
  • Hodnocení stupně jejich závažnosti
  • Doporučená opatření k jejich eliminaci
  • Manažerské shrnutí pro strategické řízení
  • Výsledné zhodnocení úrovně zabezpečení
  • Plán a doporučení dalšího postupu

Penetrační testy

  • Penetrační testy webových aplikací a internetových služeb
  • Externí penetrační testy perimetru a infrastruktury sítě
  • Interní penetrační testy vnitřní sítě
  • Penetrační test Wi-Fi sítě
  • Penetrační testy mobilních aplikací

 

Penetrační testy

Testy zranitelností

  • Testy zranitelností webovových aplikací a internetových služeb
  • Externí test infrastruktury sítě, neautorizovaný přístup k datům
  • Interní test vnitřní sítě, dostupnost uživatelských stanic a serverů
  • Audit konfigurace a zabezpečení

Zátěžové testy simulující DoS útoky

 

Testy zranitelností

Penetrační testování v praxi

„Využívejte nástroje, které prověří skutečnou úroveň a stav bezpečnosti.“ Jan Pawlik, bezpečnostní specialista TNS.

Penetrační testy v dnešní době již nejsou řešením pouze pro velké a nadnárodní koncerny, ale důležitou součástí bezpečnostní strategie každého subjektu. Uvádím poznatky, které vyšly najevo při testování ve středně velké firmě působící v oblasti veřejných služeb a logistiky. Tento příklad vybírám záměrně, neboť se jednalo o organizaci, kde administrátoři dbali na bezpečnost, ale neměli k dispozici vhodné nástroje, které by ověřovaly skutečnou bezpečnost v praxi.

 

Číst celou případovou studii

Sociální inženýrství

  • Vedení útoku s cílem získat informace pod falešnou záminkou
  • Prověření reakcí zaměstnanců na pokusy o získání citlivých informací
  • Simulovaný útok formou e-mailové nebo telefonické kampaně
  • Pokusy o fyzický přístup k serverům a dalším zařízením

Phishing

  • Phishingový útok k podvodnému získání přístupových údajů
  • Simulace útoku s cílem získat přihlašovací údaje zaměstnanců
  • Cílený spear-phishing útok na jednotlivce v organizaci

Zátěžový DoS útok

  • Zátěžový DoS útok s cílem zahlcení požadavky
  • Ověření, jaký nápor vaše systémy a aplikace zvládnou

Bezpečnostní testy

  • Prolamování hesel útoky hrubou silou
  • Audit pracovních stanic a jejich ochrana proti zneužití
  • Audit mobilních aplikací a úrovně jejich zabezpečení
  • Audit zdrojového kódu a vyhledání bezpečnostních mezer