Penetrační testování | Etnetera

Penetrační testování

Cílem penetračních testů je ověření možnosti získání přístupu ke klíčovým prvkům vaší společnosti.

Testování probíhá bez znalosti infrastruktury a bez součinnosti zaměstnanců, aby se dosáhlo co nejvěrnějšího přiblížení reálnému útoku. Testování může být omezeno v rozsahu, nicméně tuto možnost nedoporučujeme. Ani hackeři se nebudou omezovat! :-)

Proč dělat manuální či semi manuální pentesty? 

Útočníci každý den aktivně zkouší bezpečnost aplikačních i systémových komponent internetových služeb pomocí celé škály technik. Jednou z možností, jak předejít bezpečnostnímu incidentu, je myslet jako oni - podrobit infrastrukturu testování metodami útočníků, takzvaným penetračním testům, a najít tak slabá místa vašich systémů a aplikací.

Oproti automatizovaným scanům, ke kterým se řada organizací uchyluje z důvodu nižší ceny, penetrační testy odhalí skutečný dopad nalezených zranitelností. To je dosaženo například zjištěním logických chyb v aplikaci či systémové konfiguraci, případně vhodnou kombinací zranitelností, které scannery nemají šanci detekovat.

Oproti automatizovanému testu je také manuální přístup obtížněji zachytitelný a lépe tak reflektuje průběh reálného (potenciálně úspěšného) útoku. Pravidelné penetrační testy jsou také jednou ze součástí např. bezpečnostního standardu PCI-DSS, který je nutné dodržovat při práci s platebními kartami.

Doporučovaný penetrační test obvykle pokrývá následující oblasti:

  • Social engineering - útok přes lidské chování a firemní procesy.

  • Test webových aplikací.

  • Externí test síťové infrastruktury a provozovaných služeb.

  • Penetrační test bezdrátových sítí.

V případě zájmu rozšiřujeme test o audit mobilní aplikace, otestování odolnosti infrastruktury proti (D)DoS útokům či stres test webové aplikace. Otestování odolnosti proti (D)DoS útokům doporučujeme především v případě, kdy vaše společnost disponuje nějakou formu (D)DoS ochrany, jejichž funkčnost chcete ověřit.

Fáze testování:

security_test_phases

Metodologie využívané při realizaci testů:

Výstup z pentestu

Součástí nabídky každého testování je i podrobný report všech nalezených zranitelností obsahující:

  • sumarizaci nálezů zařazených do stupnice rizikovosti, která pomůže určit priority pro nápravná opatření,

  • manažerské shrnutí závěrů penetračního testu vč. analýzi rizik a klíčových doporučení,

  • detailní technickou analýzu všech identifikovaných zranitelností a formulace doporučení tak, aby techničtí pracovníci mohli nápravná opatření efektivně provést.

Součástí technického reportu je i tzv. manažerské shrnutí, kde jsou shrnuty nalezené zranitelnosti s největším dopadem na Vaši společnost, dle předem stanovených cílů testu.

Zpět na Security

Rozjedeme váš nový projekt společně?

Zanechte nám svůj kontakt a my se vám rádi ozveme.