Testy penetracyjne
Zastanawiałeś się kiedyś czy Twoje systemy informatyczne są gotowe na odparcie prawdziwego zagrożenia? Sprawdzenie tego w realnych warunkach, najbardziej zbliżonych do rzeczywistości, wiązałoby się z faktycznym atakiem na Twoją infrastrukturę. Dane zdobyte podczas takiego incydentu pozwoliłyby na oszacowanie dojrzałości Twojej strategii bezpieczeństwa i usprawnienia jej pod kątem znalezionych luk. Najlepiej gdyby odbyło się to bez szkody dla systemu. Na szczęście testy penetracyjne to nasza specjalność.
Sprawdź naszą ofertę:
Testy penetracyjne aplikacji webowej
Testy penetracyjne aplikacji mobilnej
Testy urządzeń IoT
Testy penetracyjne infrastruktury sieciowej
Skany podatności
Przegląd podatności kodu źródłowego
Jakie korzyści płyną z pentestów?
Rozpoznanie luk w systemie zabezpieczeń
Weryfikacja gotowości systemu na atak hakera
Zbadanie szkód wyrządzonych przez udany atak na poziomie biznesowym i operacyjnym
Strategia aktualizacji i rozwoju systemu i protokołów bezpieczeństwa
Czym jest pentesting?
Testy penetracyjne to kontrolowany atak na system klienta, przeprowadzony przez specjalistę, który wykorzystuje pełnię swojej wiedzy i doświadczenia w celu sforsowania zabezpieczeń. Składają się na niego zarówno testy manualne, jak i automatyczne, które razem dają wgląd w to jak przebiegłby potencjalny atak.
Na pentesting składa się kilka obszarów:
- Sieć: Analiza sieci i jej słabości, możliwych punktów wejścia do systemu
- Aplikacje webowe i mobilne: Ocena stopnia bezpieczeństwa z użyciem frameworku OWASP w celu zmaksymalizowania stopnia zagrożenia
- Internet rzeczy: Wynajdywanie punktów krytycznych takich jak protokoły, szyfrowanie, API, czy interfejs użytkownika
Dobrze przeprowadzone pentesty pozwalają oszacować ryzyko, zlokalizować wektory ataku, oraz co najważniejsze, zweryfikować gotowość Twojego systemu zabezpieczeń. Nadrzędnym celem jest sporządzenie planu uwzględniającego uszczelnianie zabezpieczeń, oraz ich dalszy rozwój w perspektywie krótko i długoterminowej.
Podczas przeprowadzania testów penetracyjnych korzystamy z najwyższej klasy narzędzi, zgodnie z najlepszymi praktykami branży zapewniania cyfrowego bezpieczeństwa:
- Dynamic Application Security Testing (DAST) – do wyszukiwania podatności aplikacji które już działają
- Nessus – do szybkiego znajdowania luk, zagrożeń i błędów, które pozwolą nam znaleźć potencjalne wektory ataku i użyć ich podczas testów
- OWASP ZAP (Zed Attack Proxy Project) – do skanowania aplikacji webowych w celu znalezienia furtek, co zwiększy efektywność testów
- Static Application Security Testing (SAST) – dla znajdowania usterek w kodzie źródłowym
- Checkmarx – aby zarządzać podatnością oprogramowania w strumieniach Continuous Integration/Delivery
- SonarQube – do przeprowadzania ciągłego testowania, aby zwiększyć bezpieczeństwo kodu
Dla uzyskania najlepszych wyników, przeprowadzając testy aplikacji mobilnych i WWW korzystamy z OWASP Testing Guide. Bardziej skomplikowane testy obejmujące infrastrukturę i duże projekty, przeprowadzamy zgodnie ze standardami PTES.
Ścieżka współpracy wygląda następująco:
Umowa o poufności danych
Po podpisaniu umowy o poufności danych, otrzymujemy dostęp do systemu.
Wstępna analiza systemu
Analizujemy architekturę i funkcjonowanie systemu w celu dobrania właściwych metod testowania i przygotowania wyceny projektu.
Przygotowanie zespołu testerów
Upewniamy się, że do projektu wyselekcjonowaliśmy najlepszych specjalistów, posiadających ekspertyzę w branży klienta.
Prezentacja oferty
Szczegółowo prezentujemy nasz plan działań i dajemy wgląd w adresy IP zespołu, by klient miał pewność, że przeprowadzane są testy, a nie faktyczny atak.
Przygotowanie do testów
Upewniamy się, że wszyscy udziałowcy po stronie klienta znają zakres i czas przeprowadzenia testów (w tym hosting serwerów, z którego korzysta klient). Dbamy o to, by testy nie zakłócały działalności biznesowej i nie ingerowały w działanie systemu klienta.
Przeprowadzenie testów
Chwila prawdy, w której poznasz jak to jest być atakowanym przez hakera. Na tym etapie natychmiast zgłaszamy wszelkie krytyczne podatności, na które natrafimy.
Szczegółowy raport
Na raport składają się dwie części:
- podsumowanie do wglądu jedynie dla zarządu firmy
- szczegółowe wytyczne dla pracowników technicznych
W raporcie prezentowane są rodzaje zagrożeń, poszczególne przykłady, wraz z zaleceniami ich naprawy. Każda podatność jest szczegółowo opisana, z uwzględnieniem jej pochodzenia, drogi odtworzenia i zalecanych kroków jej niwelacji. Raport jest dostarczany bezpiecznym kanałem wybranym przez klienta.
Konsultacje i retesty
W celu weryfikacji skuteczności wprowadzonych zmian zalecane są retesty, których termin uzgadniamy z klientem. Możliwe jest również przeprowadzenie szkoleń wewnętrznych w celu edukacji i wyczulenia pracowników na zagadnienia cyberbezpieczeństwa.
Skontaktuj się z nami i dowiedz się więcej
Często zadawane pytania
Czym jest Red Teaming?
Red teaming to symulowany atak, który obiera za cel najsłabszy element systemu – mogą to być nieświadomi pracownicy, luka w architekturze zabezpieczeń, czy podatność w oprogramowaniu. Celem jest penetracja zabezpieczeń za wszelką cenę.
Jak przebiega Red Teaming?
Nasi specjaliści korzystają z szerokiego wachlarza technik oraz własnej wiedzy i doświadczenia. Wśród stosowanych metod warto nadmienić socjotechnikę (phishing, smishing) czy testy czarnej skrzynki (wgrywanie złośliwego oprogramowania).
Czy mogę wybrać tylko jeden obszar ataku?
Oczywiście, jeśli czujesz się wystarczająco pewnie odnośnie swoich zabezpieczeń, możemy skupić się na pozyskaniu danych dostępu poprzez pracowników. Jednak wysoce wskazane jest, aby regularne testować system bezpieczeństwa, ponieważ system w pełni odporny na ataki nie istnieje.
Czy Red Teaming zakłóci moją działalność?
Ciągłość biznesowa klienta jest dla nas najwyższym priorytetem! Próbę ataku przeprowadzamy w terminie i zakresie wcześniej ustalonym z zarządem i udziałowcami.
Wyceń projekt
Dane kontaktowe
