Penetrační testování

Cílem penetračních testů je ověření možnosti získání přístupu ke klíčovým prvkům vaší společnosti.

Testování probíhá bez znalosti infrastruktury a bez součinnosti zaměstnanců, aby se dosáhlo co nejvěrnějšího přiblížení reálnému útoku. Testování může být omezeno v rozsahu, nicméně tuto možnost nedoporučujeme. Ani hackeři se nebudou omezovat! :-)‍

Proč dělat manuální či semi manuální pentesty?

Útočníci každý den aktivně zkouší bezpečnost aplikačních i systémových komponent internetových služeb pomocí celé škály technik. Jednou z možností, jak předejít bezpečnostnímu incidentu, je myslet jako oni - podrobit infrastrukturu testování metodami útočníků, takzvaným penetračním testům, a najít tak slabá místa vašich systémů a aplikací.

‍

Oproti automatizovaným scanům, ke kterým se řada organizací uchyluje z důvodu nižší ceny, penetrační testy odhalí skutečný dopad nalezených zranitelností. To je dosaženo například zjištěním logických chyb v aplikaci či systémové konfiguraci, případně vhodnou kombinací zranitelností, které scannery nemají šanci detekovat.

‍

Manuální přístup je také oproti automatizovanému testu obtížněji zachytitelný a lépe tak reflektuje průběh reálného (potenciálně úspěšného) útoku. Pravidelné penetrační testy jsou také jednou ze součástí např. bezpečnostního standardu PCI-DSS, který je nutné dodržovat při práci s platebními kartami.‍

Oblasti penetračního testování:

• Social engineering - útok přes lidské chování a firemní procesy
• Test webových aplikací
• Externí test síťové infrastruktury a provozovaných služeb
• Penetrační test bezdrátových sítí

V případě zájmu rozšiřujeme test o audit mobilní aplikace, otestování odolnosti infrastruktury proti (D)DoS útokům či stres test webové aplikace. Otestování odolnosti proti (D)DoS útokům doporučujeme především v případě, kdy vaše společnost disponuje nějakou formu (D)DoS ochrany, jejichž funkčnost chcete ověřit.

Fullscopové penetrační testy

Celková úroveň bezpečnosti vždy odpovídá kombinaci technické úrovně zabezpečení a tzv. “lidského faktoru”. Během skutečného útoku jsou obvykle zapojeny i různé metody sociálního inženýrství, které útok výrazně usnadňují. Je tedy vhodné, aby zaměstnanci tyto situace znali a dokázali na ně vhodně reagovat.

Pro ucelený pohled na bezpečnost je vhodné v rámci penetračních testů zařadit i například:

• analýzu a otestování specifických “slabých článků” z hlediska pravděpodobného vektoru útoku (např. malware doručený formou životopisu na HR oddělení, faktury, obchodní nabídky atp.),
• spuštění a vyhodnocení celofiremní phishingové kampaně (formou např. e‑mailů, telefonátů atp.),
• ověření úrovně bezpečnosti z hlediska fyzického přístupu do firemních prostor,
• evaluace možnosti zneužití vnitrofiremní infrastruktury,
• školení zaměstnanců dle vašich potřeb.

Konkrétní průběh celého testu je vždy stanoven na základě domluvy s klientem podle jeho specifických potřeb.

Fáze testování:

Metodologie využívané při realizaci testů:

• OWASP
• OWASP Mobile Security Project
• Penetration Testing Execution Standard
• OSSTMM
• PCI-DSS

Výstup z pentestu

Součástí nabídky každého testování je i podrobný report všech nalezených zranitelností obsahující:

• sumarizaci nálezů zařazených do stupnice rizikovosti, která pomůže určit priority pro nápravná opatření,
• manažerské shrnutí závěrů penetračního testování obsahující nalezené zranitelnosti s největším dopadem na Vaši společnost, dle předem stanovených cílů a klíčových doporučení k jejich řešení,
• detailní technickou analýzu všech identifikovaných zranitelností a formulace doporučení tak, aby techničtí pracovníci mohli nápravná opatření efektivně provést.

‍

‍

‍

‍

‍