Penetrační testování - Etický hacking

Penetrační testy - Etický hacking

Přinášíme Vám následující služby penetračního testování, které provádějí etičtí hackeři pomocí stejných nástrojů, jaké mohou používat potencionální útočníci na Vaši společnost.

ZÁKLADNÍ TYPY PENETRAČNÍCH TESTŮ

1) Penetrační test infrastruktury

Zaměřuje se na použitou platformu (např. OS, webový server, databázi) a její zranitelnosti nebo chybné konfigurace, které mohou vést k získání kontroly nad cílovými servery, změnu jejich zamýšlené funkcionality nebo nedostupnost poskytovaných služeb.

Test infrastruktury zahrnuje vyhledávání a ověřování:

  • Zranitelností operačních systémů a aplikací, které představují riziko (kompromitace systému, neautorizovaný přístup k datům, DoS)
  • Chybné konfigurace a využití nedoporučovaných protokolů
  • Revizi architektury

Image by fullvector on Freepik

Image by upklyak on Freepik

2) Penetrační test aplikačního prostředí

  • Je cílen např. na logiku webové aplikace, popř. na logiku softwaru na backendu (databázový server, LDAP služba, přístup k file systému)
  • Penetrační test webových aplikací je zaměřen primárně na zranitelnosti definované v „OWASP Top 10“ a cílem je nalezení a ověření takových zranitelností na zvolené webové aplikaci

3) Penetrační test mobilních zařízení

Cílem nabízených služeb je provedení bezpečnostních testů mobilních zařízení s následnými návrhy efektivních ochranných opatření.

Bezpečnostní testy mobilních zařízení lze provést na několika úrovních:

  1. Analýza zranitelností používaných zařízení – ukáže, čeho může útočník dosáhnout při reálném útoku a obecné zranitelnosti týkající se konkrétního operačního systému a instalovaných aplikací
  2. Fyzické testy mobilních zařízení – testuje se nastavení bezpečnostních politik vynucených v zařízení a identifikují se slabiny s návrhy způsobu jejich odstranění
  3. Rozšíření testovacích služeb – je možno objednat testování zranitelností při připojení k bezdrátovým sítím, phishing, vnucení instalace speciálního mallware, připojení k podvrženým AP či například pokus o zneužití samotného MDM/EMM (Mobile Device Management, Enterprise Mobility Management)

Image by upklyak on Freepik

METODIKA PENETRAČNÍHO TESTOVÁNÍ

Metodika je totožná pro infrastrukturu i aplikační prostředí. Liší se použité nástroje a postupy v jednotlivých krocích. Zásadní rozdíl pro průběh celého penetračního testování stanovuje míra spolupráce objednatele při poskytování informací.

Podle množství informací, které objednatel poskytne, se následně testy dělí na tři typy:

Black-Box Testing

Objednatel neposkytne žádné nebo velmi omezené informace a penetrační testování tak simuluje útočníka bez jakékoliv znalosti systému.

Výhodou je věrná simulace externího útočníka, nevýhodou potom vyšší pravděpodobnost nenalezení (opomenutí) některého z možných cílů testování.

Image by pikisuperstar  on Freepik

Grey-Box Testing

Objednatel poskytne částečné informace. Jedná se o testování využívající výhod White-Box a Black-Box testování. Očekává se sdělení IP rozsahů, emailových adres a jmén pracovníků. Nebudou sděleny informace o systémech a zabezpečení.

Image by pikisuperstar  on Freepik

White-Box Testing

Objednatel poskytne dostatek podkladů, které mohou během testování sloužit jako zdroj informací o cílech testování.

Zároveň tyto podklady mohou sloužit k oponentuře použité topologie z bezpečnostního pohledu.

Image by pikisuperstar  on Freepik

FÁZE PENETRAČNÍHO TESTOVÁNÍ

Průzkum

Příprava podkladů, pasivní analýza datových toků v segmentu sítě. Použity budou veřejně dostupné informace a další nástroje. Mapování cílů, je kladen důraz na rychlost provádění testů – snížení nákladů.

Image by rawpixel.com on Freepik

Testování

Postupný výběr cílů, testování pomocí vícero nástrojů (automatické, semiautomatické a manuální). V případě podezření na zranitelnost proběhne série testů – ověření možnost zneužití. Důraz kladen na zajištění stability, integrity a důvěrnosti testovaných služeb.

Image by vectorjuice on Freepik

Reportování výsledků

Report penetračního testu obsahuje zpravidla tři typy informací:

  • Manažerské shrnutí – průběh testu, vyhodnocení a obecná doporučení
  • Technický popis nálezů – detailní popis zranitelností a možnosti zneužití
  • Navrhovaná opatření – opatření ke konkrétním nálezům

Image by storyset on Freepik

Cíle penetračního testování

  • Odhalit možnosti zneužití existujících zranitelností a oblasti vzniku možných rizik
  • Poskytnout ucelený přehled o stavu zabezpečení infrastruktury a aplikačního prostředí např. jako vstup pro analýzu rizik
  • Podklad pro návrh kroků k zajištění vyšší úrovně zabezpečení odstraněním existujících problémů, případně návrhy na předejití vzniku podobných problémů
  • Pokrytí požadavků normy ISO/IEC 27001 / Zákona o kybernetické bezpečnosti

Sociální inženýrství

Samostatným projektem nebo doplňkem mohou být penetrační testy využívající technik sociálního inženýrství, jako jsou:

  • Phishingový test
  • Telefonický test
  • Test s přenosnými médii
  • Pokus o fyzický průnik
  • Prohledávání odpadků, atd

Jsou cíleny na „zranitelnosti“ lidí, tj. vlastních zaměstnanců, kteří byli, jsou a budou nejčastějším původcem úniků citlivých dat.

Kontakt

Zaujalo Vás penetrační testování?

Napište nám a my Vám připravíme nejvhodnější nabídku na nákup této služby.

Scenario s.r.o.