Penetrační testy

Cílem penetračního testu je prověřit zabezpečení, nalézt zranitelnosti a navrhnout opatření, která znesnadní provedení útoku a zvýší odolnost.

  • Proaktivní ochrana
  • Ověření skutečného stavu
  • Efektivní zvýšení úrovně zabezpečení (návrhy opatření na základě reálných dat a výsledků získaných z testů – žádné domněnky)
  • Testovat je možné skoro vše (systémy, sítě, aplikace, procesy, komunikaci a pod)
  • Ověření schopnosti cíle testování odolat útoku
  • Postup při testu je podle modelu ofenzivní security
  • Odhady dopadu a pravděpodobnosti zneužití identifikovaných slabých míst
  • Návrhy opatření – doporučení – pro zmírnění nebo úplné odstranění nalezených rizik

Penetrační testy aplikací, infrastruktury a systémů

  • Analýza Black Hat – anonymní test z internetu Black Box
  • Webové aplikace – Black nebo Gray box testy web aplikací a API podle metodiky OWASP a interních postůpu.
  • Infrastruktura – testy infrastruktury, aktivních prvků, serverů, služeb
  • Interní penetrační testy – ověření zabezpečení na interních síti, simulace Insider
  • Testy tlustých klientů – penetrační test aplikace

Analýza Black Hat

Anonymní penetrační test prováděný z Internetu vám ukáže pohled z perspektivy útočníka na vaše systémy dostupné z internetu. Nejprve pomocí OSINT (Open Source Inteligence) nástrojů získáme co nejvíce informaci z veřejně dostupných zdrojů. Tyto informace následně ověříme. Provedeme mapování a identifikaci / fingerprinting všech nalezených veřejně dostupných služeb. U nalezených služeb provedeme základní bezpečnostní testy s cílem nalézt zranitelná a slabá místa. Postup a metodika použitá při testu vychází z chování reálných útočníků. Získané informace zpracujeme do závěrečného reportu, kde uvedeme doporučení pro efektivní odstranění slabých míst a zmírnění příslušných rizik.

Penetrační testy webových aplikací

Penetrační testy zaměřené na webové aplikace prováděné podle metodiky OWASP. V průběhu testu důsledně provedeme jednotlivé testy předepsané v OWASP Web Security Testing Guide – stable. Cílem testu je identifikovat problematická, slabá a zranitelná místa v aplikaci. Z výsledků testů vytvoříme závěrečnou zprávu, kde jsou jednotlivá zjištění zpracována do nálezů. U každého nálezu uvádíme doporučení pro efektivní odstranění slabých míst a zmírnění příslušných rizik. Po realizaci navržených opatření bude aplikace velmi dobře odolávat útokům a stane se obtížným cílem.

Externí penetrační testy

Externí penetrační test prováděný z internetu na zadaný cíl – nejčastěji část externího perimetru. Provedeme mapování a identifikaci / fingerprinting všech nalezených veřejně dostupných služeb. U nalezených služeb provedeme komplexní bezpečnostní testy s cílem nalézt problematická, slabá a zranitelná místa. Postupujeme podle metodik ofensive security (Kill Chain, MITTRE ATT&CK) a testovacích scénářů sestavených na základě rozborů skutečných úspěšných útoků a pozorování chování útočníků. Ze získaných výsledků zpracujeme report, kde jsou jednotlivá zjištění zpracována do nálezů. U každého nálezu uvádíme doporučení pro efektivní odstranění slabých míst a zmírnění příslušných rizik. Aplikace navržených doporučení vám pomůže nastavit efektivní obraná opatření a zabránit případnému úspěšnému provedení útoku.

Interní penetrační testy

Penetrační testy prováděné na interní síti s cílem prověřit její zabezpečení . Při testu nejprve tester důkladně otestuje zabezpečení interní sítě a pokusí se prolomit bezpečnostní opatření. V případě, že je úspěšný snaží se eskalovat svoje práva na administrátorskou úroveň. Dále tester simuluje chování tzv. Insidera – škodícího zaměstnance – snaží se získat přístup k síti, systému nebo informacím ke kterým by neměl mít přístup. Test zároveň pomůže ověřit reakci SOC teamů a defensivních technologii (SIEM, IPS). Ze získaných výsledků zpracujeme report, kde jsou jednotlivá zjištění zpracována do nálezů. U každého nálezu uvádíme doporučení pro efektivní odstranění slabých míst a zmírnění příslušných rizik. Tento test pomůže učinit interní síť odolnější nejen oproti útoku vlastních zaměstnanců – insider attack, ale také vás naučí rozpoznat interní útok.