CyberForces Testy Penetracyjne

Pentesting, Testy penetracyjne

 
CyberForces Testy Penetracyjne

Zastanawiałeś się kiedyś czy Twoje systemy informatyczne są gotowe na odparcie prawdziwego zagrożenia? Sprawdzenie tego w realnych warunkach, najbardziej zbliżonych do rzeczywistości, wiązałoby się z faktycznym atakiem na Twoją infrastrukturę. Dane zdobyte podczas takiego incydentu pozwoliłyby na oszacowanie dojrzałości Twojej strategii bezpieczeństwa i usprawnienia jej pod kątem znalezionych luk. Najlepiej gdyby odbyło się to bez szkody dla systemu. Na szczęście testy penetracyjne to nasza specjalność.

Jakie korzyści płyną z pentestów?

CyberForces ikona ebooka

Rozpoznanie luk w systemie zabezpieczeń

CyberForces ikona ebooka

Weryfikacja gotowości systemu na atak hakera

CyberForces ikona raportu

Zbadanie szkód wyrządzonych przez udany atak na poziomie biznesowym i operacyjnym

CyberForces ikona ksiązki

Strategia aktualizacji i rozwoju systemu i protokołów bezpieczeństwa

Czym jest pentesting?

 

Testy penetracyjne to kontrolowany atak na system klienta, przeprowadzony przez specjalistę, który wykorzystuje pełnię swojej wiedzy i doświadczenia w celu sforsowania zabezpieczeń. Składają się na niego zarówno testy manualne, jak i automatyczne, które razem dają wgląd w to jak przebiegłby potencjalny atak.

Na pentesting składa się kilka obszarów:

  • Sieć: Analiza sieci i jej słabości, możliwych punktów wejścia do systemu
  • Aplikacje webowe i mobilne: Ocena stopnia bezpieczeństwa z użyciem frameworku OWASP w celu zmaksymalizowania stopnia zagrożenia
  • Internet rzeczy: Wynajdywanie punktów krytycznych takich jak protokoły, szyfrowanie, API, czy interfejs użytkownika

Dobrze przeprowadzone pentesty pozwalają oszacować ryzyko, zlokalizować wektory ataku, oraz co najważniejsze, zweryfikować gotowość Twojego systemu zabezpieczeń. Nadrzędnym celem jest sporządzenie planu uwzględniającego uszczelnianie zabezpieczeń, oraz ich dalszy rozwój w perspektywie krótko i długoterminowej.

Podczas przeprowadzania testów penetracyjnych korzystamy z najwyższej klasy narzędzi, zgodnie z najlepszymi praktykami branży zapewniania cyfrowego bezpieczeństwa:

  • Dynamic Application Security Testing (DAST) - do wyszukiwania podatności aplikacji które już działają
  • Nessus - do szybkiego znajdowania luk, zagrożeń i błędów, które pozwolą nam znaleźć potencjalne wektory ataku i użyć ich podczas testów
  • OWASP ZAP (Zed Attack Proxy Project) - do skanowania aplikacji webowych w celu znalezienia furtek, co zwiększy efektywność testów
  • Static Application Security Testing (SAST) - dla znajdowania usterek w kodzie źródłowym
  • Checkmarx - aby zarządzać podatnością oprogramowania w strumieniach Continuous Integration/Delivery
  • SonarQube - do przeprowadzania ciągłego testowania, aby zwiększyć bezpieczeństwo kodu

Dla uzyskania najlepszych wyników, przeprowadzając testy aplikacji mobilnych i WWW korzystamy z OWASP Testing Guide. Bardziej skomplikowane testy obejmujące infrastrukturę i duże projekty, przeprowadzamy zgodnie ze standardami PTES.

Czytaj więcej
 

Ścieżka współpracy wygląda następująco:

 

1

Umowa o poufności danych

 

Po podpisaniu umowy o poufności danych, otrzymujemy dostęp do systemu.

2

Wstępna analiza systemu

 

Analizujemy architekturę i funkcjonowanie systemu w celu dobrania właściwych metod testowania i przygotowania wyceny projektu.

3

Przygotowanie zespołu testerów

 

Upewniamy się, że do projektu wyselekcjonowaliśmy najlepszych specjalistów, posiadających ekspertyzę w branży klienta.

4

Prezentacja oferty

 

Szczegółowo prezentujemy nasz plan działań i dajemy wgląd w adresy IP zespołu, by klient miał pewność, że przeprowadzane są testy, a nie faktyczny atak.

5

Przygotowanie do testów

 

Upewniamy się, że wszyscy udziałowcy po stronie klienta znają zakres i czas przeprowadzenia testów (w tym hosting serwerów, z którego korzysta klient). Dbamy o to, by testy nie zakłócały działalności biznesowej i nie ingerowały w działanie systemu klienta.

6

Przeprowadzenie testów

 

Chwila prawdy, w której poznasz jak to jest być atakowanym przez hakera. Na tym etapie natychmiast zgłaszamy wszelkie krytyczne podatności, na które natrafimy.

7

Szczegółowy raport

 

Na raport składają się dwie części:

  • podsumowanie do wglądu jedynie dla zarządu firmy
  • szczegółowe wytyczne dla pracowników technicznych

W raporcie prezentowane są rodzaje zagrożeń, poszczególne przykłady, wraz z zaleceniami ich naprawy. Każda podatność jest szczegółowo opisana, z uwzględnieniem jej pochodzenia, drogi odtworzenia i zalecanych kroków jej niwelacji. Raport jest dostarczany bezpiecznym kanałem wybranym przez klienta.

8

Konsultacje i retesty

 

W celu weryfikacji skuteczności wprowadzonych zmian zalecane są retesty, których termin uzgadniamy z klientem. Możliwe jest również przeprowadzenie szkoleń wewnętrznych w celu edukacji i wyczulenia pracowników na zagadnienia cyberbezpieczeństwa.

Skontaktuj się z nami
i dowiedz się więcej

Skontaktuj się
 

Często
Zadawane
Pytania

 

FAQ

 

Czym są testy penetracyjne?

 

Testy penetracyjne polegają na wcieleniu się w hakera w celu odtworzenia jego procesu myślowego i metod z jakich korzysta podczas ataku na infrastrukturę firmy. Pozwala to uzyskać wiedzę niezbędną do ulepszenia systemu obrony.

Jaka jest różnica pomiędzy testami penetracyjnymi, a wyszukiwaniem podatności?

Więcej

 

Wyszukiwanie podatności to proces automatyczny, uprzednio zaprogramowany, którego celem jest wynalezienie słabości i luk w zabezpieczeniach. Testy penetracyjne pokrywają znacznie szerszy obszar i polegają na połączeniu technik automatyzacji i wiedzy specjalisty w celu odtworzenia metod stosowanych przez hakerów podczas ataku.

Jak są przeprowadzane testy penetracyjne?

Więcej

 

Z racji, że pentesty opierają się o techniki wykorzystywane przez cyfrowych złodziei, w ich obręb wchodzi phishing, sql injection, cross site scripting, czy wgrywanie złośliwego oprogramowania.

Czy testy penetracyjne mogą zakłócić funkcjonowanie mojego systemu?

Więcej

 

Interes i dobro klienta jest dla Cyberforces nadrzędne, stąd nasze testy przeprowadzamy wedle wysokich standardów etycznych. Nasi testerzy to profesjonaliści, którzy zadbają o minimalizację ryzyka wpłynięcia na proces biznesowy w Państwa firmie.

Jak często powinno się przeprowadzać testy penetracyjne?

Więcej

 

Przynajmniej raz do roku. Biorąc pod uwagę, jak ważne jest wdrażanie nowoczesnych i bieżących rozwiązań w kwestii bezpieczeństwa, oraz ciągłe ryzyko ataku, zalecamy ich powtarzanie co kwartał, lub częściej.

Co się dzieje po ukończonych pentestach?

Więcej

 

Po zakończeniu testów specjaliści Cyberforces zbierają dane w raporcie opisującym wszelkie podatności oraz rekomendacje ich naprawy.

Ile kosztują testy penetracyjne?

Więcej

 

Koszty są zależne od wielu składowych, takich jak wielkość sieci, która definiuje długość testów. Każdy projekt jest indywidualnie wyceniany.

Wyceń projekt

 
usrcheckedboth
Szymon Chruścicki CyberForces
48664029754