KYBERNETICKÁ BEZPEČNOST

Penetrační testování

Pomocí penetračního testování ověřujeme zabezpečení vašich systémů simulací hackerského útoku. Získejte klid a důvěru v zabezpečení své IT infrastruktury

Simulace hackerského útoku

Penetrační testy ověřují zabezpečení vaší IT infrastruktury, systémů a aplikací prostřednictvím simulace hackerského útoku. Využíváme přitom postupy a nástroje jako při reálném hackerském útoku, penetrační testy však mají jasně definovaný předmět testování a často jsou vyloučeny akce, které by mohly poškodit testovaný systém. Při penetračním testování se řídíme vhodnými standardy, jako jsou OSSTMM, PTES a OWASP a používáme nástroje jako Qualys nebo Burp Suite. Jako výsledek získáte komplexní zprávu, která obsahuje manažerské shrnutí i podrobný rozbor jednotlivých zjištění, a zejména doporučení pro nápravná opatření pro každou bezpečnostní hrozbu a riziko.

  • +
    Testů (ročně)
  • +
    Senior testerů
  • Podpora v 23 zemích
  • IT&OT
    zkušenosti s OT testováním
  • PTaaS
    Penetration testing as a service

S čím vám můžeme pomoci?

  • Externí penetrační test

    Tato služba simuluje anonymní hackerský útok z internetu. Testuje se zabezpečení perimetru sítě a identifikují se zranitelná místa v dalších systémech a IT infrastruktuře, která je přístupná z internetu. Rozsah penetračního testu může být přesně definován zákazníkem (např. IP rozsah) nebo součástí testu může být tzv. analýza otevřených zdrojů (OSINT online).

  • Interní penetrační test

    Zaměřuje se na interní síť, která není přímo přístupná z internetu. Simuluje hackerský útok z pohledu útočníka, který získal přístup k interní síti (např. prostřednictvím malwaru v příloze e-mailu, útok ze strany běžného zaměstnance nebo dodavatele). Testerům můžete poskytnout vzdálené připojení pomocí VPN nebo lze penetrační testování zařídit přímo u vás. Testerům můžete poskytnout rovněž uživatelský účet v doméně, aby se co nejvěrněji simuloval hackerský útok provedený uživatelem nebo malwarem spuštěným na běžné koncové stanici.

  • Testování webových aplikací

    Kombinuje automatické testování webových aplikací i manuální penetrační testování, aby se zjistilo co nejvíce bezpečnostních nedostatků a jejich dopad. Penetrační testování můžeme provádět z pozice externího útočníka i běžného autentizovaného uživatele. Vycházíme přitom především z metodiky OWASP Web Security Testing Guide.

  • Penetrační test bezdrátové sítě

    Simuluje hackerský útok na sítě Wi-Fi. Prověřuje bezpečnostní mechanismy používané k ochraně dat před neoprávněným přístupem prostřednictvím Wi-Fi sítě. Předmětem penetračního testování mohou být pokusy o prolomení hesla nebo audit izolace bezdrátové sítě od zbytku infrastruktury IT. Testy vzhledem k jejich povaze provádíme v prostorách zákazníka.

  • Penetrační testy mobilních aplikací

    V rámci systémů Android a iOS prověřují zabezpečení mobilních aplikací vůči nestandardním akcím uživatele, zabezpečení ukládaných dat a přenášené komunikace včetně možných útoků na API backend serveru. Metodika tohoto penetračního testování se řídí OWASP Mobile Security Testing Guide.

  • Phishingový útok a kampaň

    Zaměřuje se na zaměstnance jako obvykle nejslabší článek v zabezpečení informačních systémů. Phishingové e-maily používají techniky sociálního inženýrství a pokoušejí se přimět uživatele, aby provedli nějakou akci (navštívili web, poskytli přihlašovací údaje nebo spustili soubor). Simulované phishingové útoky jsou praktickou součástí školení uživatelů o bezpečnosti IT. Uživatelé tak dostanou příležitost seznámit se s možnými bezpečnostními hrozbami a riziky a na praktických příkladech se naučí rozpoznávat podezřelé e-maily.

  • Analýza otevřených zdrojů (OSINT)

    Zaměřuje se na sběr, zpracování a analýzu dat z volně dostupných zdrojů. Cílem je poskytnout vám soubor informací a dat, která o vás může útočník zjistit. Analýza zahrnuje informace, které o sobě zveřejňujete (např. metadata souborů na vlastních webových stránkách nebo informace z kariérních portálů), ale i informace dostupné na hackerských fórech a darkwebu (např. uniklé přihlašovací údaje).

  • ODHALENÍ SLABÝCH MÍST V ZABEZPEČENÍ IT INFRASRUKTURY, KTERÁ LZE ZNEUŽÍT PŘI SKUTEČNÉM HACKERSKÉM ÚTOKU
  • POSOUZENÍ MÍRY BEZPEČNOSTNÍCH HROZEB A RIZIKA PRO VAŠI SPOLEČNOST, SNÍŽENÍ RIZIKA FINANČNÍCH ZTRÁT A ZVÝŠENÍ DŮVĚRY VAŠICH ZÁKAZNÍKŮ
  • Ověření účinnosti bezpečnostních kontrol a bezpečnostních procesů
  • MANAŽERSKÉ SHRNUTÍ A PODROBNÝ ROZBOR JEDNOTLIVÝCH ZJIŠTĚNÍ I NÁPRAVNÁ OPATŘENÍ PRO ZJIŠTĚNÉ BEZPEČNOSTNÍ HROZBY
  • POMOC PŘI DOSAŽENÍ CÍLŮ V OBLASTI COMPLIANCE S BEZPEČNOSTNÍMI STANDARDY

Jak bude penetrační testování probíhat?

Nejprve se společně dohodneme na formě a průběhu penetračního testování, aby co nejlépe odpovídal vašim požadavkům. Samotný průběh penetračního testu se potom odvíjí od toho, co je předmětem testování. Jedná se o podobné postupy jako při skutečném hackerském útoku. Důraz klademe hlavně na manuální testování, které využívá znalostí a zkušeností etických hackerů. Na rozdíl od skenování zranitelností, které zde slouží jen jako možný zdroj informací, se mohou při penetračních testech odhalit komplexnější zranitelnosti a přesněji se vyhodnotí jejich závažnost.

Průběh penetračního testování můžeme zjednodušeně rozdělit na několik fází:

  • Předrealizační fáze spočívá především v přípravě projektu a komunikaci se zákazníkem.
  • Sběr informací obnáší skenování sítě a identifikaci aktivních služeb, v některých případech se může jednat i o tzv. OSINT analýzu, kdy se na internetu dohledávají potenciálně užitečné informace (e-mailové adresy, subdomény či uniklé přihlašovací údaje).
  • Analýza zranitelností obnáší zejména skenování známých zranitelností prostřednictvím automatizovaného nástroje.
  • Využití nalezených zranitelností simuluje další fázi hackerského útoku spočívající ve snaze o průnik do testovaného systému, dále dochází k eliminaci falešně pozitivních nálezů vzešlých ze skenu zranitelností a ručnímu dohledávání dalších hrozeb.
  • Identifikace dopadů znamená zjištění, čeho by mohl útočník při úspěšném zneužití zranitelnosti ve vaší IT infrastruktuře dosáhnout, a následnému ohodnocení závažnosti. To může např. obnášet další průnik do testovaného systému prostřednictvím eskalace privilegií, získání přihlašovacích údajů do dalších systémů nebo ovládání dalších zařízení v síti. Pokud přitom dojde k nahrání testovacích nástrojů na další počítače nebo tvorbě nových účtů, tyto mezikroky se před dokončením penetračního testování odstraní.
  • Zpracování závěrečné zprávy, která obsahuje stručné manažerské shrnutí zjištěného stavu i podrobnější technickou část s popisem zjištěných zranitelností, možným postupem jejich zneužití a doporučeními pro provedení nápravných opatření. V případě potřeby s vámi rádi probereme případné nejasnosti či další postup.
  • Retest je volitelnou součástí penetračních testů, která ověřuje, že skutečně došlo k odstranění zranitelnosti v důsledku zavedení nápravného opatření.

Pentesty s informacemi či bez

Penetrační testování také provádíme podle informací, které máme k dispozici o testovaném systému. 

  • Black-box – žádné dodatečné informace, jen definovaný předmět testu (scope) 
  • Grey-box – k dispozici základní informace o struktuře systému a použitých komponentech, typicky uživatelský účet 
  • White-box – podrobné informace o struktuře systému a konfiguraci, často k dispozici administrátorský přístup nebo zdrojový kód aplikace 

Reference našich zákazníků

Kybernetická bezpečnost

Audit kybernetické bezpečnosti u Elektrotrans a.s.

ELEKTROTRANS a.s. je společnost patřící mezi jedničky na českém trhu v zajišťování komplexních služeb v oblasti přenosu a distribuce elektrické energie. Tato pozice klade vysoké nároky na bezpečnost celé IT infrastruktury společnosti. Elektrotrans jsme pomohli tuto infrastrukturu zkontrolovat pomocí penetračních testů a bezpečnostního auditu.
Více
Kybernetická bezpečnost

Kontrola infrastrukturních prvků pro Schaltag

Axians provedla externí penetrační testy se zaměřením především na hraniční infrastrukturní prvky. Poté následovalo také testování webových aplikací. Součástí testu bylo využití brute force útoku na přihlašovací údaje zaměstnanců. V rámci testování webových aplikací došlo k automatizovanému testu, který byl následován ručním testováním
Více
Kybernetická bezpečnost

Penetrační testování pro Ministerstvo spravedlnosti ČR

Ministerstvo spravedlnosti ČR spolupracuje s Axians na ochraně své infrastruktury. Axians provedl napříč ministerstvem testy ke zjištění slabých míst a zajištění ochrany aplikací.
Více

Jak vám můžeme pomoci?

Máte projekt? Otázku? Zaujalo vás naše řešení? Kontaktujte nezávazně naše experty a my se vám co nejdříve ozveme.