Penetrační testy infrastruktury sítě, webových aplikací a internetových služeb

Penetrační testy provádíme na základě simulace reálného útoku etického hackingu. Poskytneme vám detailní přehled o slabých a kritických místech využitelných k průniku, odhalíme bezpečnostní nedostatky, zhodnotíme stupeň jejich závažnosti a navrhneme nápravná opatření.

Jsou vaše data dostatečně zabezpečena? Sestavíme vám na míru penetrační test, který prověří skutečnou úroveň zabezpečení vašich dat a IT zdrojů.

Penetrační testy webových aplikací

Základní penetrační test

  • Test zaměřený na odhalení nejzávažnějších zranitelností
  • Přehledový test s využitím automatických testovacích nástrojů
  • Manuální testování nejzávažnějších nalezených zranitelností
  • Test vhodný pro webové stránky a základní aplikace

 

Detailní penetrační test

  • Test zaměřený na komplexní bezpečnostní audit aplikace
  • Přehledový test s využitím automatických testovacích nástrojů
  • Detailní manuální testování všech nalezených zranitelností
  • Návrh a provedení kombinovaných útočných scénářů
  • Test vhodný pro aplikace vyžadující zvýšenou bezpečnost

Penetrační testy infrastruktury sítě

Penetrační test perimetru sítě

Externí penetrační test prověří bezpečnostní mechanismy sloužící k ochraně zdrojů, služeb a dat před neoprávněným přístupem či manipulací ze strany útočníka z vnější sítě. Cílem je odhalení co největšího počtu zranitelností, které jsou zneužitelné k průniku do interní sítě.

 

Penetrační test vnitřní sítě

Interní penetrační test prověří bezpečnostní mechanismy sloužící k ochraně zdrojů, služeb a dat před neoprávněným přístupem a zneužitím ze strany uživatelů ve vnitří síti, jako jsou například zaměstnanci, partneři nebo dodavatelé. Důraz je kladen na odhalení co největšího počtu zranitelností a způsobu jejich zneužití.

 

Penetrační test Wi-Fi sítě

Prověření bezpečnostních mechanismů sloužících k ochraně zdrojů, služeb a dat před neoprávněným přístupem ze strany uživatelů, připojených prostřednictvím Wi-Fi sítě.

Penetrační testování v praxi

„Využívejte nástroje, které prověří skutečnou úroveň a stav bezpečnosti.“ Jan Pawlik, bezpečnostní specialista TNS.

Penetrační testy v dnešní době již nejsou řešením pouze pro velké a nadnárodní koncerny, ale důležitou součástí bezpečnostní strategie každého subjektu. Uvádím poznatky, které vyšly najevo při testování ve středně velké firmě působící v oblasti veřejných služeb a logistiky. Tento příklad vybírám záměrně, neboť se jednalo o organizaci, kde administrátoři dbali na bezpečnost, ale neměli k dispozici vhodné nástroje, které by ověřovaly skutečnou bezpečnost v praxi.

 

Číst celou případovou studii

Penetrační testy mobilních aplikací

  • Bezpečnostní audit zaměřený na úroveň zabezpečení aplikace
  • Identifikaci nedostatků a ověření zabezpečení ukládaných dat
  • Zabezpečení a ochrana šifrovacích klíčů
  • Ochrana relací a komunikace aplikace

 

Testy sociálního inženýrství

  • Testy s cílem získání citlivých informací pod falešnou záminkou
  • Prověření reakcí zaměstnanců na pokusy o získání citlivých údajů
  • Falešný útok prostřednictvím e-mailové nebo telefonické kampaně
  • Pokusy o získání fyzického přístupu k infrastruktuře sítě a serverům

Zátěžové a bezpečnostní testy

  • Zátěžové testy výkonu síťové a aplikační infrastruktury
  • DoS útok s cílem zahlcení požadavky
  • Phishing podvodná technika k získání přístupových údajů
  • Prolamování hesel útoky hrubou silou
  • Audit mobilních zařízení vůči neoprávněnému použití
  • Audit pracovních stanic vůči případnému zneužití
  • Analýza metadat na webových serverech
  • Audit zdrojového kódu a bezpečnostních mezer
  • Testy na míru dle specifických požadavků

Fáze testování

1. Identifikace cílů

2. Detekce aplikací a služeb

3. Identifikace zranitelností

4. Odhalení nedostatků

5. Analýza a návrh opatření

6. Závěrečná zpráva

7. Re-test

Režimy testování

Black-box

Testerovi je umožněn přístup k testovanému prostředí bez poskytnutí jakýchkoliv dalších informací o jeho architektuře, použitých technologiích či konfiguraci. Je tak simulován útok z pozice hosta nebo externího útočníka.

White-box

Tester má k dispozici velmi podrobné informace o testovaném prostředí, architektuře sítě, použitých technologiích i konfiguraci. Je tak simulován útok z pozice administrátora.

Grey-box

Jedná se o kombinaci obou předchozích režimů. Testerovi jsou poskytnuty předem dostupné informace, které má uživatel v dané roli k dispozici. Simulován tak může být útok např. ze strany bývalého zaměstnance, partnera nebo dodavatele.

Závěrečná zpráva

Závěrečná zpráva je výstupem každého našeho penetračního testu. Přináší strategické informace a přehled o slabých místech využitelných k průniku do testovaných systémů. Definuje stupeň jejich závažnosti a navrhuje nápravná opatření k jejich eliminaci.

  • Výčet nalezených zranitelností
  • Hodnocení stupně jejich závažnosti
  • Doporučená opatření k jejich eliminaci
  • Manažerské shrnutí pro strategické řízení
  • Výsledné zhodnocení úrovně zabezpečení

Jsou vaše data dostatečně zabezpečena?

Sestavíme vám penetrační test na míru a prověříme skutečnou úroveň ochrany vaší infrastruktury.