Testy penetracyjne

Przeprowadzamy testy penetracyjne celem dokonania u naszych klientów oceny bieżącego stanu bezpieczeństwa  systemów teleinformatycznych. Wykonywane przez nas kontrolowane ataki pozwalają na wykrycie ewentualnych podatności i odporności na próby przełamania zabezpieczeń. Badając systemy teleinformatyczne jesteśmy w stanie stwierdzić, czy zawierają luki bezpieczeństwa spowodowane niewłaściwą konfiguracją, jak również błędy w oprogramowaniu lub sprzęcie.

 

Kontrolowane ataki

Poszukujemy słabości w proceduralnych środkach zabezpieczeń, a także weryfikujemy czy świadomość użytkowników systemów teleinformatycznych u naszych klientów nie stanowi zagrożenia dla cyberbezpieczeństwa. Kontrolowane ataki pozwalają nam na weryfikację stanu bezpieczeństwa systemów z punktu widzenia potencjalnego włamywacza. Oczywiście pentesty wykonujemy wyłącznie za zgodą naszych klientów, a po ich wykonaniu przedstawiamy raport zawierający opis znalezionych luk wraz z rekomendacją w jaki sposób należy je usunąć.

Naszym celem jest weryfikacja skuteczności stosowanych przez naszych klientów zabezpieczeń. Testy penetracyjne przeprowadzamy zatem w taki sposób, aby ominąć kolejne elementy zabezpieczeń, zaś wiedza zdobyta podczas wykonywania testów penetracyjnych pozwala naszym klientom na zabezpieczenie się w przyszłości przed ewentualnymi atakami hakerskimi.

Fazy pentestów

Przeprowadzane przez nas testy penetracyjne można podzielić w dużym uproszczeniu na 2 fazy: pasywną i aktywną. Faza pasywna polega w szczególności na zbieraniu informacji o badanym systemie, zaś faza aktywna polega na wykonywaniu następujących po sobie testów bezpieczeństwa. Wykonujemy testy bezpieczeństwa fizycznego dotyczące m.in. interakcji z urządzeniami elektronicznymi, jak również dotyczące łączności bezprzewodowej. Badamy sieci telekomunikacyjne, testujemy m.in. systemy i sieci, w których ustanawiane są połączenia kablowe. Przeprowadzając testy penetracyjne wykorzystujemy m.in. exploity, czyli programy pozwalające na wykorzystanie błędów w oprogramowaniu m.in. celem przejęcia kontroli nad maszyną.

Testy inżynierii społecznej

Analizujemy kompleksowo obszary badanego systemu, w tym dotyczące komunikacji międzyludzkiej. Na życzenie naszych klientów stosujemy podstęp celem uzyskania potencjalnie wartościowych danych, np. numery kart kredytowych, celem zweryfikowania podatności naszych klientów na phishing.  Na zlecenie klientów przeprowadzamy również testy inżynierii społecznej, przeprowadzając w tym celu ukierunkowane ataki socjotechniczne na użytkowników systemu.

Błędy zabezpieczeń

Świadczone przez nas usługi pozwalają zweryfikować czy kontrolowane przez nas systemy teleinformatyczne zawierają błędy zabezpieczeń, które pozwalają na nieautoryzowane wykorzystanie systemów. Badamy u naszych klientów w szczególności czy wykorzystują szyfry podatne na ataki oraz czy dobór mechanizmów uwierzytelniania jest prawidłowy. Sprawdzamy również czy systemy nie zawierają błędów konfiguracyjnych polegających m.in. na udostępnieniu zbędnej funkcjonalności bez adekwatnej kontroli dostępu, bądź na ustawianiu trywialnych haseł. Oceniamy również zachowania użytkowników systemów czy na przykład uruchamiają załączniki do e-maili pochodzących od niepewnych nadawców.

Zarządzanie bezpieczeństwem

U naszych klientów sprawdzamy w szczególności czy ograniczony do niezbędnego minimum jest zakres możliwej interakcji między użytkownikami i systemami, jak również pomiędzy poszczególnymi komponentami platformy. Jest to istotne, gdyż w przypadku skutecznego ataku skutkującego przełamaniem zabezpieczeń jednego z komponentów systemu, ograniczony jest zbiór systemów, który mógłby paść ofiarą dalszych ataków.  W tym celu weryfikujemy m.in. czy wyłączono zbędne usługi sieciowe na platformach oraz czy zastosowano zapory sieciowe do segmentacji sieci. Sprawdzamy także czy dokonano separacji komponentów logicznych platformy, tak aby klient nie stracił kontroli nad systemami w przypadku zdobycia uprawnień administratora na jednym komputerze.

Analizujemy czy ograniczono uprawnienia nadawane użytkownikom do najniższego poziomu, uzasadnionego realizowanymi celami. Oceniamy czy dokonano podziału kompetencji w taki sposób, aby do przeprowadzenia istotnych procesów biznesowych, takich jak autoryzowanie przelewu, konieczna była współpraca kilku osób. Powyższe działania mają na celu dokonanie oceny czy zredukowano ryzyko wyrządzenia szkody spowodowanej przez naruszenie bezpieczeństwa pojedynczego systemu lub konta.

Sprawdzamy również czy wykrywane są na bieżąco nieprawidłowości, które pozwalają naszym klientom na reagowanie na problemy zanim atak spowoduje destabilizację systemu poprzez np. podmianę strony www czy skasowanie danych.

Audyt informatyczny a testy penetracyjne

Warto wskazać, iż audyt bezpieczeństwa teleinformatycznego w odróżnieniu od testu penetracyjnego dokonywany jest pod kątem zgodności audytowanego systemu ze specyfikacją stanu pożądanego. Natomiast test penetracyjny ma na celu dokonanie oceny faktycznego stanu bezpieczeństwa systemu należącego do klienta. Warto wskazać, iż w przeciwieństwie do audytu informatycznego test penetracyjny jest procesem bardzo spontanicznym i kreatywnym.

 

Masz pytania lub wątpliwości?

Zadzwoń

801 50 10 50