Dotace pro podniky a firmy až 60 % na digitalizaci a kybernetickou bezpečnost | Scenario s.r.o.
Mobilní menu - UPdate IT
Home / Kybernetická bezpečnost / Penetrační testování

Kybernetická bezpečnost

Penetrační testování - Etický hacking

SLUŽBY 056156165

Penetrační testy - Etický hacking

Přinášíme Vám následující služby penetračního testování, které provádějí etičtí hackeři pomocí stejných nástrojů, jaké mohou používat potencionální útočníci na Vaši společnost.

ZÁKLADNÍ TYPY PENETRAČNÍCH TESTŮ

1) Penetrační test infrastruktury

Zaměřuje se na použitou platformu (např. OS, webový server, databázi) a její zranitelnosti nebo chybné konfigurace, které mohou vést k získání kontroly nad cílovými servery, změnu jejich zamýšlené funkcionality nebo nedostupnost poskytovaných služeb.

Test infrastruktury zahrnuje vyhledávání a ověřování:

  • Zranitelností operačních systémů a aplikací, které představují riziko (kompromitace systému, neautorizovaný přístup k datům, DoS)
  • Chybné konfigurace a využití nedoporučovaných protokolů
  • Revizi architektury

2) Penetrační test aplikačního prostředí

  • Je cílen např. na logiku webové aplikace, popř. na logiku softwaru na backendu (databázový server, LDAP služba, přístup k file systému)
  • Penetrační test webových aplikací je zaměřen primárně na zranitelnosti definované v „OWASP Top 10“ a cílem je nalezení a ověření takových zranitelností na zvolené webové aplikaci

3) Penetrační test mobilních zařízení

Cílem nabízených služeb je provedení bezpečnostních testů mobilních zařízení s následnými návrhy efektivních ochranných opatření.

Bezpečnostní testy mobilních zařízení lze provést na několika úrovních:

  • Analýza zranitelností používaných zařízení – ukáže, čeho může útočník dosáhnout při reálném útoku a obecné zranitelnosti týkající se konkrétního operačního systému a instalovaných aplikací
  • Fyzické testy mobilních zařízení – testuje se nastavení bezpečnostních politik vynucených v zařízení a identifikují se slabiny s návrhy způsobu jejich odstranění
  • Rozšíření testovacích služeb - je možno objednat testování zranitelností při připojení k bezdrátovým sítím, phishing, vnucení instalace speciálního mallware, připojení k podvrženým AP či například pokus o zneužití samotného MDM/EMM (Mobile Device Management, Enterprise Mobility Management)

Metodika penetračního testování

Metodika je totožná pro infrastrukturu i aplikační prostředí. Liší se použité nástroje a postupy v jednotlivých krocích. Zásadní rozdíl pro průběh celého penetračního testování stanovuje míra spolupráce objednatele při poskytování informací.

Podle množství informací, které objednatel poskytne, se následně testy dělí na tři typy:

Black-Box Testing

Black-Box Testing

Objednatel neposkytne žádné nebo velmi omezené informace a penetrační testování tak simuluje útočníka bez jakékoliv znalosti systému.

Výhodou je věrná simulace externího útočníka, nevýhodou potom vyšší pravděpodobnost nenalezení (opomenutí) některého z možných cílů testování.

Grey-Box Testing

Grey-Box Testing

Objednatel poskytne částečné informace. Jedná se o testování využívající výhod White-Box a Black-Box testování. Očekává se sdělení IP rozsahů, emailových adres a jmén pracovníků. Nebudou sděleny informace o systémech a zabezpečení.

White-Box Testing

White-Box Testing

Objednatel poskytne dostatek podkladů, které mohou během testování sloužit jako zdroj informací o cílech testování.

Zároveň tyto podklady mohou sloužit k oponentuře použité topologie z bezpečnostního pohledu.

Fáze penetračního testování

Průzkum

Průzkum

Příprava podkladů, pasivní analýza datových toků v segmentu sítě. Použity budou veřejně dostupné informace a další nástroje. Mapování cílů, je kladen důraz na rychlost provádění testů – snížení nákladů.

Testování

Testování

Postupný výběr cílů, testování pomocí vícero nástrojů (automatické, semiautomatické a manuální). V případě podezření na zranitelnost proběhne série testů – ověření možností zneužití. Důraz kladen na zajištění stability, integrity a důvěrnosti testovaných služeb.

Reportování výsledků

Reportování výsledků

Report penetračního testu obsahuje zpravidla tři typy informací:

  • Manažerské shrnutí – průběh testu, vyhodnocení a obecná doporučení
  • Technický popis nálezů – detailní popis zranitelností a možnosti zneužití
  • Návrhovaná opatření – opatření ke konkrétním nálezům

Cíle penetračního testování

  • Odhalování možností zneužití existujících zranitelností a identifikace oblastí potenciálních rizik.
  • Poskytování uceleného přehledu o stavu zabezpečení infrastruktury a aplikačního prostředí jako podklad pro analýzu rizik.
  • Příprava podkladů pro návrh opatření k zajištění vyšší úrovně zabezpečení a prevenci vzniku nových problémů.
  • Zajištění souladu s požadavky normy ISO/IEC 27001 a Zákona o kybernetické bezpečnosti.

Sociální inženýrství

Samostatným projektem nebo doplňkem mohou být penetrační testy využívající technik sociálního inženýrství, jako jsou:

  • Phishingový test
  • Telefonický test
  • Test s přenosnými médii
  • Pokus o fyzický průnik
  • Prohledávání odpadků, atd.

Jsou cíleny na „zranitelnosti“ lidí, tj. vlastních zaměstnanců, kteří byli, jsou a budou nejčastějším původcem úniků citlivých dat.

Scenario s.r.o.