Penetrační testy infrastruktury sítě, webových aplikací a internetových služeb

Penetrační testy provádíme na základě simulace reálného útoku etického hackingu. Poskytneme vám detailní přehled o slabých a kritických místech využitelných k průniku, odhalíme bezpečnostní nedostatky, zhodnotíme stupeň jejich závažnosti a navrhneme nápravná opatření.

Jsou vaše data dostatečně zabezpečena? Sestavíme vám na míru penetrační test, který prověří skutečnou úroveň zabezpečení vašich dat a IT zdrojů.

Penetrační testy webových aplikací

Základní penetrační test

  • Test zaměřený na odhalení nejzávažnějších zranitelností
  • Přehledový test s využitím automatických testovacích nástrojů
  • Manuální testování nejzávažnějších nalezených zranitelností
  • Test vhodný pro webové stránky a základní aplikace

 

Detailní penetrační test

  • Test zaměřený na komplexní bezpečnostní audit aplikace
  • Přehledový test s využitím automatických testovacích nástrojů
  • Detailní manuální testování všech nalezených zranitelností
  • Návrh a provedení kombinovaných útočných scénářů
  • Test vhodný pro aplikace vyžadující zvýšenou bezpečnost

Penetrační testy infrastruktury sítě

Penetrační test perimetru sítě

Externí penetrační test prověří bezpečnostní mechanismy sloužící k ochraně zdrojů, služeb a dat před neoprávněným přístupem či manipulací ze strany útočníka z vnější sítě. Cílem je odhalení co největšího počtu zranitelností, které jsou zneužitelné k průniku do interní sítě.

Penetrační test vnitřní sítě

Interní penetrační test prověří bezpečnostní mechanismy sloužící k ochraně zdrojů, služeb a dat před neoprávněným přístupem a zneužitím ze strany uživatelů ve vnitří síti, jako jsou například zaměstnanci, partneři nebo dodavatelé. Důraz je kladen na odhalení co největšího počtu zranitelností a způsobu jejich zneužití.

Penetrační test Wi-Fi sítě

Prověření bezpečnostních mechanismů sloužících k ochraně zdrojů, služeb a dat před neoprávněným přístupem ze strany uživatelů, připojených prostřednictvím Wi-Fi sítě.

Penetrační testování v praxi

„Využívejte nástroje, které prověří skutečnou úroveň a stav bezpečnosti.“ Peter Šinaľ, bezpečnostní specialista TNS.

Penetrační testy v dnešní době již nejsou řešením pouze pro velké a nadnárodní koncerny, ale důležitou součástí bezpečnostní strategie každého subjektu. Uvádím poznatky, které vyšly najevo při testování ve středně velké firmě působící v oblasti veřejných služeb a logistiky. Tento příklad vybírám záměrně, neboť se jednalo o organizaci, kde administrátoři dbali na bezpečnost, ale neměli k dispozici vhodné nástroje, které by ověřovaly skutečnou bezpečnost v praxi.

 

Číst případovou studii

 

 

Penetrační testy mobilních aplikací

  • Bezpečnostní audit zaměřený na úroveň zabezpečení aplikace
  • Identifikaci nedostatků a ověření zabezpečení ukládaných dat
  • Zabezpečení a ochrana šifrovacích klíčů
  • Ochrana relací a komunikace aplikace

 

Testy sociálním inženýrstvím

  • Testy s cílem získání citlivých informací pod falešnou záminkou
  • Prověření reakcí zaměstnanců na pokusy o získání citlivých údajů
  • Falešný útok prostřednictvím e-mailové nebo telefonické kampaně
  • Pokusy o získání fyzického přístupu k infrastruktuře sítě a serverům

Zátěžové a bezpečnostní testy

  • Zátěžové testy výkonu síťové a aplikační infrastruktury
  • DoS útok s cílem zahlcení požadavky
  • Phishing podvodná technika k získání přístupových údajů
  • Prolamování hesel útoky hrubou silou
  • Audit mobilních zařízení vůči neoprávněnému použití
  • Audit pracovních stanic vůči případnému zneužití
  • Analýza metadat na webových serverech
  • Audit zdrojového kódu a bezpečnostních mezer
  • Testy na míru dle specifických požadavků

Testy odolnosti uživatelů

Praktický test odolnosti uživatelů, jako nová forma školení IT bezpečnosti. Zažijte simulovaný útok metodami sociálního inženýrství na vlastní kůži.

Víte, že pro úspěšný průnik do vaší interní sítě stačí jediná oběť, která útočníkovi podlehne? Zamyslete se nad tím, zda byste vy nebo vaši kolegové použité metody útočníka včas odhalili. Nechat se nachytat v simulovaném útoku nemá žádný vliv na fungování firmy, ale má vysoký edukativní účinek pro všechny účastníky.

 

ČÍst ČLÁNEK

Fáze testování

1. Identifikace cílů

2. Detekce aplikací a služeb

3. Identifikace zranitelností

4. Odhalení nedostatků

5. Analýza a návrh opatření

6. Závěrečná zpráva

7. Re-test

Režimy testování

Black-box

Testerovi je umožněn přístup k testovanému prostředí bez poskytnutí jakýchkoliv dalších informací o jeho architektuře, použitých technologiích či konfiguraci. Je tak simulován útok z pozice hosta nebo externího útočníka.

White-box

Tester má k dispozici velmi podrobné informace o testovaném prostředí, architektuře sítě, použitých technologiích i konfiguraci. Je tak simulován útok z pozice administrátora.

Grey-box

Jedná se o kombinaci obou předchozích režimů. Testerovi jsou poskytnuty předem dostupné informace, které má uživatel v dané roli k dispozici. Simulován tak může být útok např. ze strany bývalého zaměstnance, partnera nebo dodavatele.

Závěrečná zpráva

Závěrečná zpráva je výstupem každého našeho penetračního testu. Přináší strategické informace a přehled o slabých místech využitelných k průniku do testovaných systémů. Definuje stupeň jejich závažnosti a navrhuje nápravná opatření k jejich eliminaci.

  • Výčet nalezených zranitelností
  • Hodnocení stupně jejich závažnosti
  • Doporučená opatření k jejich eliminaci
  • Manažerské shrnutí výsledků testování
  • Vyhodnocení úrovně zabezpečení

Jsou vaše data dostatečně zabezpečena?

Sestavíme vám penetrační test na míru a prověříme skutečnou úroveň ochrany vaší infrastruktury.