Penetrační testy počítačových systémů, síťové infrastruktury, webových aplikací a internetových služeb provádíme na základě simulace reálného útoku. Poskytneme vám detailní přehled o slabých a kritických místech využitelných k průniku, odhalíme bezpečnostní nedostatky, zhodnotíme stupeň jejich závažnosti a navrhneme nápravná opatření.
Testujeme s využitím automatizovaných nástrojů i manuálních scénářů. Navrhneme a provedeme kombinovaný útok s cílem hloubkového auditu webových aplikací vyžadujících vysokou úroveň zabezpečení. Test je vhodný pro webové stránky i rozsáhlé aplikace internetových služeb. Testy provádíme dle metodiky OWASP.
Externí penetrační test prověří bezpečnostní mechanismy sloužící k ochraně zdrojů, služeb a dat před neoprávněným přístupem či manipulací ze strany útočníka z vnější sítě. Cílem je odhalení co největšího počtu závažných zranitelností, které jsou zneužitelné k průniku a neoprávněnému přístupu do interní sítě.
Interní penetrační test prověří bezpečnostní mechanismy sloužící k ochraně zdrojů, služeb a dat zaměstnanci,před neoprávněným přístupem a případným zneužitím ze strany uživatelů ve vnitří síti, jako jsou například partneři nebo dodavatelé.
Prověření bezpečnostních mechanismů sloužících k ochraně zdrojů, služeb a dat před neoprávněným přístupem ze strany uživatelů, připojených prostřednictvím Wi-Fi sítě.
Prověření reakcí zaměstnanců na pokusy o získání citlivých informací prostřednictvím e-mailových nebo telefonických kampaní. Pokusy o získání fyzického přístupu k infrastruktuře, serverům a dalším zařízením.
Penetrační testy mobilních aplikací zaměřené na identifikaci nedostatků a ověření zabezpečení ukládaných dat, šifrovacích klíčů, ochranu relací a bezpečnou komunikaci aplikací.
Víte, že pro úspěšný průnik do vaší interní sítě stačí jediná oběť, která útočníkovi podlehne? Zamyslete se nad tím, zda byste vy nebo vaši kolegové použité metody útočníka včas odhalili. Nechat se nachytat v simulovaném útoku nemá žádný vliv na fungování firmy, ale má vysoký edukativní účinek pro všechny účastníky.
Black-box
Testerovi je umožněn přístup k testovanému prostředí bez poskytnutí dalších informací o jeho architektuře, použitých technologiích či konfiguraci. Je tak simulován útok z pozice hosta nebo externího útočníka.
White-box
Tester má k dispozici velmi podrobné informace o testovaném prostředí, architektuře sítě, použitých technologiích i konfiguraci. Může tak být simulován útok z pozice administrátora.
Grey-box
Kombinace obou předchozích režimů. Testerovi jsou poskytnuty předem dostupné informace, které má uživatel v dané roli k dispozici. Simulován tak může být útok např. ze strany bývalého zaměstnance, partnera či dodavatele.
Závěrečná zpráva je výstupem každého našeho testu. Přináší detailní přehled o slabých místech využitelných k průniku do testovaných systémů. Definuje stupeň jejich závažnosti a navrhuje nápravná opatření k jejich eliminaci.
Penetrační testy v dnešní době již nejsou řešením pouze pro velké a nadnárodní koncerny, ale důležitou součástí bezpečnostní strategie každého subjektu. Uvádím poznatky, které vyšly najevo při testování ve středně velké firmě působící v oblasti veřejných služeb a logistiky. Tento příklad vybírám záměrně, neboť se jednalo o organizaci, kde administrátoři dbali na bezpečnost, ale neměli k dispozici vhodné nástroje, které by ověřovaly skutečnou bezpečnost v praxi.
Sestavíme vám penetrační test na míru a prověříme skutečnou úroveň ochrany vaší infrastruktury.