Testy penetracyjne
Podnieś bezpieczeństwo Twojej firmy
Kontrolowany atak na system teleinformatyczny, mający na celu praktyczną ocenę jego bieżącego stanu bezpieczeństwa, w szczególności występowania znanych podatności oraz odporności na próby przełamania zabezpieczeń.
Testy penetracyjne
Cel usługi
Realizujemy kompleksowe usługi przeprowadzania testów penetracyjnych. Założeniem takich testów jest uzyskanie pewności, że środowisko informatyczne jest odporne na cyberataki.
Testy penetracyjne aplikacji webowych przeprowadzamy zgodnie z najpopularniejszą i szeroko uznaną metodyką OWASP (The Open Web Application Security Project), z uwzględnieniem najnowszych wersji OWASP Top 10 oraz OWASP ASVS (Application Security Verification Standard). W trakcie przeprowadzanych testów pracujemy tak, aby odnaleźć jak najwięcej istotnych luk, nie tylko tych, które opisane są przez OWASP. Koncentrujemy się na podatnościach, które realnie mogą zaszkodzić biznesowi. Pentesty aplikacji webowych wykonujemy są głównie manualnie, dzięki czemu mamy możliwość wykrycia podatności, które nie zawsze są wykrywane przez automatyczne oprogramowanie.
1/1
Wniosek
Wynikiem przeprowadzonych testów jest raport z opisem wykrytych podatności oraz sugerowanymi zaleceniami bezpieczeństwa.
Metody testów penetracyjnych
White Box
Zespól posiada wszystkie informacje o celu.
Informacje o systemie, wgląd w dokumentacje, informacje o architekturze jak również dostęp do kodu źródłowego.
Jeśli jest możliwość pentester posiada również konta o różnych stopniach uprawnień.
Gray Box
Jest to technika pośrednia. Zespól posiada częściową wiedzę o systemie, który jest sprawdzany.
Resztę informacji musi uzyskać w czasie przeprowadzonych testów
Black Box
Ostatnia metoda tak zwana Black-boxing.
Metoda w której atakujący posiada znikome informacje o celu np. tylko adres celu
Uproszczony przebieg testów penetracyjnych
Rekonesans
Polega na gromadzeniu dużej ilości informacji o potencjalnym celu. Jest to pierwsza faza, ale również najdłuższa część całego procesu, zajmuje nawet 80% całego procesu. Czas i dokładność tej fazy wpływa na szybkość złamania zabezpieczeń
Skanowanie/testy manualne
Faza, polegająca szukaniu wszystkich możliwych luk za pomocą odpowiednich narzędzi oraz bazując na wiedzy i doświadczeniu zespołu. Uzyskiwanie informacji o użytych technologiach i możliwych podatnościach, które będą mogły zostać wykorzystane w kolejnym etapie.
Exploitacja
Ostatni etap cyklu to exploitacja, czyli wykorzystanie błędów programistycznych, infrastrukturalnych oraz socjotechnicznych. W tej fazie przyjęto metodę “lowest fruit”- czyli wykorzystanie najsłabszego ale zarazem najszybszego sposobu złamania zabezpieczeń.
Raport
Testy penetracyjne zwieńczone są raportem z wyszczególnionymi znalezionymi podatnościami oraz opisaniem ich wpływu na infrastrukturę klienta.
