Upekli jsme cookies. Dáš si s námi?

Mmm, ty voní! Na našem webu jsme upekli cookies a budeme rádi, když si dáš s námi. Používáme je nejen k tomu, aby náš web správně fungoval, ale také k anonymní analýze údajů toho, kde všude na našich stránkách mlsáš. Tak co, máš chuť?

Chceš znát ingredience? Podívej se na náš recept.
Chceš znát ingredience? Podívej se na náš recept.

Penetrační testování

Cílem penetračních testů je ověření možnosti získání přístupu ke klíčovým prvkům vaší společnosti.

Testování probíhá bez znalosti infrastruktury a bez součinnosti zaměstnanců, aby se dosáhlo co nejvěrnějšího přiblížení reálnému útoku. Testování může být omezeno v rozsahu, nicméně tuto možnost nedoporučujeme. Ani hackeři se nebudou omezovat! :-)

Proč dělat manuální či semi manuální pentesty?

Útočníci každý den aktivně zkouší bezpečnost aplikačních i systémových komponent internetových služeb pomocí celé škály technik. Jednou z možností, jak předejít bezpečnostnímu incidentu, je myslet jako oni - podrobit infrastrukturu testování metodami útočníků, takzvaným penetračním testům, a najít tak slabá místa vašich systémů a aplikací.

Oproti automatizovaným scanům, ke kterým se řada organizací uchyluje z důvodu nižší ceny, penetrační testy odhalí skutečný dopad nalezených zranitelností. To je dosaženo například zjištěním logických chyb v aplikaci či systémové konfiguraci, případně vhodnou kombinací zranitelností, které scannery nemají šanci detekovat.

Manuální přístup je také oproti automatizovanému testu obtížněji zachytitelný a lépe tak reflektuje průběh reálného (potenciálně úspěšného) útoku. Pravidelné penetrační testy jsou také jednou ze součástí např. bezpečnostního standardu PCI-DSS, který je nutné dodržovat při práci s platebními kartami.

Oblasti penetračního testování:

  • Social engineering - útok přes lidské chování a firemní procesy
  • Test webových aplikací
  • Externí test síťové infrastruktury a provozovaných služeb
  • Penetrační test bezdrátových sítí

V případě zájmu rozšiřujeme test o audit mobilní aplikace, otestování odolnosti infrastruktury proti (D)DoS útokům či stres test webové aplikace. Otestování odolnosti proti (D)DoS útokům doporučujeme především v případě, kdy vaše společnost disponuje nějakou formu (D)DoS ochrany, jejichž funkčnost chcete ověřit.

Fullscopové penetrační testy

Celková úroveň bezpečnosti vždy odpovídá kombinaci technické úrovně zabezpečení a tzv. “lidského faktoru”. Během skutečného útoku jsou obvykle zapojeny i různé metody sociálního inženýrství, které útok výrazně usnadňují. Je tedy vhodné, aby zaměstnanci tyto situace znali a dokázali na ně vhodně reagovat.

Pro ucelený pohled na bezpečnost je vhodné v rámci penetračních testů zařadit i například:

  • analýzu a otestování specifických “slabých článků” z hlediska pravděpodobného vektoru útoku (např. malware doručený formou životopisu na HR oddělení, faktury, obchodní nabídky atp.),
  • spuštění a vyhodnocení celofiremní phishingové kampaně (formou např. e‑mailů, telefonátů atp.),
  • ověření úrovně bezpečnosti z hlediska fyzického přístupu do firemních prostor,
  • evaluace možnosti zneužití vnitrofiremní infrastruktury,
  • školení zaměstnanců dle vašich potřeb.

Konkrétní průběh celého testu je vždy stanoven na základě domluvy s klientem podle jeho specifických potřeb.

Fáze testování:

Fáze testování od přípravy po reporting

Metodologie využívané při realizaci testů:

Výstup z pentestu

Součástí nabídky každého testování je i podrobný report všech nalezených zranitelností obsahující:

  • sumarizaci nálezů zařazených do stupnice rizikovosti, která pomůže určit priority pro nápravná opatření,
  • manažerské shrnutí závěrů penetračního testování obsahující nalezené zranitelnosti s největším dopadem na Vaši společnost, dle předem stanovených cílů a klíčových doporučení k jejich řešení,
  • detailní technickou analýzu všech identifikovaných zranitelností a formulace doporučení tak, aby techničtí pracovníci mohli nápravná opatření efektivně provést.