Penetrační testování

  • Domů
  • Služby
  • Penetrační testování

Test vaší webové aplikace

Chcete mít jistotu, že je vaše nová aplikace bezpečná? Vyzkoušíme ji podle metodiky OWASP. Při objednávce služby se dohodneme na rozsahu, tím, co je a není předmětem testování. Následně provedeme samotný test a dojde k jeho vyhodnocení.

Interní penetrační test

Jak je na tom vaše interní síť? Máte přehled o všech zařízeních která jsou do ní připojena? Používáte silná hesla, která nejde prolomit?

Tato služba vám ukáže, kam se může útočník dostat, pokud je připojen do interní sítě. Část útoků totiž přichází z vnitřní sítě a mají ji na svědomí sami zaměstnanci. Mnohdy stačí špatně nakonfigurovaný sdílený disk, chybná praxe ukládání hesel v prostém textu, nebo nezamykání počítačů při odchodu na oběd.

Na začátku domluvíme pravidla a rozsah. Test může proběhnout vzdáleně přes VPN, vzdáleně přes připojený počítač, nebo přímo onsite. Všechny tyto parametry ovlivňují náročnost a tak je výsledná cena vždy individuální.

WiFi penetrační test

Máte přehled o tom, co kolem vás "lítá"? Stačí neutorizovaný bezdrátový router připojený do vaší sítě a útočník v dosahu se dostane přímo do vaší sítě. Ne vždy jde přitom o úmysl, zaměstnanci si třeba jen chtěli rozšířit pokrytí na parkoviště...

Zkontrolujeme nastavení vašich bezdrátových zařízení a pokusíme se na ně připojit. V případě free hotspotů zjistíme, jestli jde opravdu jen o připojení k internetu a nedostanou se do interní sítě.

Proč zvolit nás?

Nejčastěji se zákazníci bojí "pustit" útočníka do své sítě. Když ale slabiny neodhalí pentester, dříve či později je odhalí někdo jiný. Náklady na nápravu pak budou mnohonásobně vyšší, než cena pentestu.

  • Zkušenosti s testy u velkých společností
  • Smluvně vymezené hranice a objekty testování
  • Diskrétnost
Image

Oblasti testování

Co všechno můžeme testovat? Dnešní IT je komplikované a tak je možných oblastí opravdu hodně.

  • Sítě
  • Bezdrátové sítě
  • Mobilní aplikace
  • Fyzická bezpečnost
  • Social engineering
  • IoT zařízení
  • "Red Team"
  • "Client-side" test
  • Webové aplikace

Black box test

Při tomto testu nejsou testerovi poskytnuty žádné informace. Tester v tomto případě postupuje jako neprivilegovaný útočník, od počátečního přístupu a spuštění až po zneužití. Tento scénář lze považovat za nejautentičtější a ukazuje, jak by se protivník bez interních znalostí zaměřil na organizaci a ohrozil ji. Proto je tento test nejnákladnější a trvá nejdelší dobu.

Grey box test

Při tomto testu jsou testerovi sděleny pouze omezené informace, obvykle se jedná o přihlašovací údaje. Test je užitečný pro pochopení úrovně přístupu, který by mohl privilegovaný uživatel získat, a potenciálních škod, které by mohl způsobit. Test zajišťuje rovnováhu mezi hloubkou a účinností a může být použit k simulaci buď vnitřní hrozby, nebo útoku, který prolomil perimetr sítě.

Při většině reálných útoků provede útočník průzkum cílového prostředí, což mu poskytne podobné znalosti jako zasvěceným osobám. Zákazníci často upřednostňují tento test jako nejlepší rovnováhu mezi efektivitou a autenticitou, protože odpadá potenciálně časově náročná fáze průzkumu.

White box test

Při tomto testu dostane tester všechny informace o síti a systému, včetně síťových map a hesel. To šetří čas a snižuje náklady. Penetrační test je užitečný pro simulaci cíleného útoku na konkrétní systém s využitím co největšího počtu vektorů útoku.