Pentesting

Zastanawiałeś się kiedyś czy Twoje systemy informatyczne są gotowe na odparcie prawdziwego zagrożenia? Sprawdzenie tego w realnych warunkach, najbardziej zbliżonych do rzeczywistości, wiązałoby się z faktycznym atakiem na Twoją infrastrukturę. Dane zdobyte podczas takiego incydentu pozwoliłyby na oszacowanie dojrzałości Twojej strategii bezpieczeństwa i usprawnienia jej pod kątem znalezionych luk. Najlepiej gdyby odbyło się to bez szkody dla systemu. Na szczęście testy penetracyjne to nasza specjalność.

Jakie korzyści płyną z pentestów?

Rozpoznanie luk w systemie zabezpieczeń

Weryfikacja gotowości systemu na atak hakera

Zbadanie szkód wyrządzonych przez udany atak na poziomie biznesowym i operacyjnym

Strategia aktualizacji i rozwoju systemu i protokołów bezpieczeństwa

Czym jest pentesting?

Testy penetracyjne to kontrolowany atak na system klienta, przeprowadzony przez specjalistę, który wykorzystuje pełnię swojej wiedzy i doświadczenia w celu sforsowania zabezpieczeń. Składają się na niego zarówno testy manualne, jak i automatyczne, które razem dają wgląd w to jak przebiegłby potencjalny atak.

Na pentesting składa się kilka obszarów:

Sieć: Analiza sieci i jej słabości, możliwych punktów wejścia do systemu
Aplikacje webowe i mobilne: Ocena stopnia bezpieczeństwa z użyciem frameworku OWASP w celu zmaksymalizowania stopnia zagrożenia
Internet rzeczy: Wynajdywanie punktów krytycznych takich jak protokoły, szyfrowanie, API, czy interfejs użytkownika

Dobrze przeprowadzone pentesty pozwalają oszacować ryzyko, zlokalizować wektory ataku, oraz co najważniejsze, zweryfikować gotowość Twojego systemu zabezpieczeń. Nadrzędnym celem jest sporządzenie planu uwzględniającego uszczelnianie zabezpieczeń, oraz ich dalszy rozwój w perspektywie krótko i długoterminowej.

Podczas przeprowadzania testów penetracyjnych korzystamy z najwyższej klasy narzędzi, zgodnie z najlepszymi praktykami branży zapewniania cyfrowego bezpieczeństwa:

Dynamic Application Security Testing (DAST) - do wyszukiwania podatności aplikacji które już działają
Nessus - do szybkiego znajdowania luk, zagrożeń i błędów, które pozwolą nam znaleźć potencjalne wektory ataku i użyć ich podczas testów
OWASP ZAP (Zed Attack Proxy Project) - do skanowania aplikacji webowych w celu znalezienia furtek, co zwiększy efektywność testów
Static Application Security Testing (SAST) - dla znajdowania usterek w kodzie źródłowym
Checkmarx - aby zarządzać podatnością oprogramowania w strumieniach Continuous Integration/Delivery
SonarQube - do przeprowadzania ciągłego testowania, aby zwiększyć bezpieczeństwo kodu

Dla uzyskania najlepszych wyników, przeprowadzając testy aplikacji mobilnych i WWW korzystamy z OWASP Testing Guide. Bardziej skomplikowane testy obejmujące infrastrukturę i duże projekty, przeprowadzamy zgodnie ze standardami PTES.

Czytaj więcej

Ścieżka współpracy wygląda następująco:

Umowa o poufności danych

Po podpisaniu umowy o poufności danych, otrzymujemy dostęp do systemu.

Wstępna analiza systemu

Analizujemy architekturę i funkcjonowanie systemu w celu dobrania właściwych metod testowania i przygotowania wyceny projektu.

Przygotowanie zespołu testerów

Upewniamy się, że do projektu wyselekcjonowaliśmy najlepszych specjalistów, posiadających ekspertyzę w branży klienta.

Prezentacja oferty

Szczegółowo prezentujemy nasz plan działań i dajemy wgląd w adresy IP zespołu, by klient miał pewność, że przeprowadzane są testy, a nie faktyczny atak.

Przygotowanie do testów

Upewniamy się, że wszyscy udziałowcy po stronie klienta znają zakres i czas przeprowadzenia testów (w tym hosting serwerów, z którego korzysta klient). Dbamy o to, by testy nie zakłócały działalności biznesowej i nie ingerowały w działanie systemu klienta.

Przeprowadzenie testów

Chwila prawdy, w której poznasz jak to jest być atakowanym przez hakera. Na tym etapie natychmiast zgłaszamy wszelkie krytyczne podatności, na które natrafimy.

Szczegółowy raport

Na raport składają się dwie części:

podsumowanie do wglądu jedynie dla zarządu firmy
szczegółowe wytyczne dla pracowników technicznych

W raporcie prezentowane są rodzaje zagrożeń, poszczególne przykłady, wraz z zaleceniami ich naprawy. Każda podatność jest szczegółowo opisana, z uwzględnieniem jej pochodzenia, drogi odtworzenia i zalecanych kroków jej niwelacji. Raport jest dostarczany bezpiecznym kanałem wybranym przez klienta.

Konsultacje i retesty

W celu weryfikacji skuteczności wprowadzonych zmian zalecane są retesty, których termin uzgadniamy z klientem. Możliwe jest również przeprowadzenie szkoleń wewnętrznych w celu edukacji i wyczulenia pracowników na zagadnienia cyberbezpieczeństwa.

Skontaktuj się z nami
i dowiedz się więcej

Skontaktuj się

Często
Zadawane
Pytania

FAQ

Czym są testy penetracyjne?

Testy penetracyjne polegają na wcieleniu się w hakera w celu odtworzenia jego procesu myślowego i metod z jakich korzysta podczas ataku na infrastrukturę firmy. Pozwala to uzyskać wiedzę niezbędną do ulepszenia systemu obrony.

Jaka jest różnica pomiędzy testami penetracyjnymi, a wyszukiwaniem podatności?

Więcej

Wyszukiwanie podatności to proces automatyczny, uprzednio zaprogramowany, którego celem jest wynalezienie słabości i luk w zabezpieczeniach. Testy penetracyjne pokrywają znacznie szerszy obszar i polegają na połączeniu technik automatyzacji i wiedzy specjalisty w celu odtworzenia metod stosowanych przez hakerów podczas ataku.

Jak są przeprowadzane testy penetracyjne?

Więcej

Z racji, że pentesty opierają się o techniki wykorzystywane przez cyfrowych złodziei, w ich obręb wchodzi phishing, sql injection, cross site scripting, czy wgrywanie złośliwego oprogramowania.

Czy testy penetracyjne mogą zakłócić funkcjonowanie mojego systemu?

Więcej

Interes i dobro klienta jest dla Cyberforces nadrzędne, stąd nasze testy przeprowadzamy wedle wysokich standardów etycznych. Nasi testerzy to profesjonaliści, którzy zadbają o minimalizację ryzyka wpłynięcia na proces biznesowy w Państwa firmie.

Jak często powinno się przeprowadzać testy penetracyjne?

Więcej

Przynajmniej raz do roku. Biorąc pod uwagę, jak ważne jest wdrażanie nowoczesnych i bieżących rozwiązań w kwestii bezpieczeństwa, oraz ciągłe ryzyko ataku, zalecamy ich powtarzanie co kwartał, lub częściej.

Co się dzieje po ukończonych pentestach?

Więcej

Po zakończeniu testów specjaliści Cyberforces zbierają dane w raporcie opisującym wszelkie podatności oraz rekomendacje ich naprawy.

Ile kosztują testy penetracyjne?

Więcej

Koszty są zależne od wielu składowych, takich jak wielkość sieci, która definiuje długość testów. Każdy projekt jest indywidualnie wyceniany.

Wyceń projekt

Imię i Nazwisko

Firma

Adres e-mail

Telefon

Wiadomość:

TAK, chcę otrzymywać informacje, raporty i poradniki przygotowane przez ekspertów TestArmy, szczegółowe case studies, oraz inne ciekawe artykuły. Więcej dlatego wyrażam zgodę na otrzymywanie informacji handlowych w rozumieniu ustawy oświadczeniu usług drogą elektroniczną wysyłanych przez TestArmy Group S.A. z siedzibą we Wrocławiu (53 - 238), przy ul. Petuniowej 9/5, na podany przeze mnie adres mailowy. Zostałem poinformowany, że mogę wycofać tak udzieloną zgodę w dowolnym momencie oraz o innych przysługujących mi prawach wskazanych w klauzuli informacyjnej. Wiem, że wycofanie zgody nie będzie miało wpływu na działania, które zostały podjęte przed tą czynnością.

TAK, zgadzam się na przetwarzanie moich danych osobowych podanych w formularzu przez TestArmy Group S.A. z siedzibą we Wrocławiu (53 -238), przy ul. Petuniowej 9/5 w celach marketingowych. Więcej Zostałem poinformowany, że mogę wycofać tak udzieloną zgodę w dowolnym momencie oraz o innych przysługujących mi prawach wskazanych w klauzuli informacyjnej. Wiem, że wycofanie zgody nie będzie miało wpływu na działania, które zostały podjęte przed tą czynnością.

usrcheckedboth

Please leave this field empty.

[email protected]
+ 48 505 372 810
TestArmy CyberForces Sp. z.o.o. ul. Petuniowa 9/5 53-238 Wrocław Polska

48664029754