KYBERNETICKÁ BEZPEČNOST

Penetrační testování

Pomocí penetračního testování ověřujeme zabezpečení vašich systémů simulací hackerského útoku. Získejte klid a důvěru v zabezpečení své IT infrastruktury

Simulace hackerského útoku

Penetrační testy ověřují zabezpečení vaší IT infrastruktury, systémů a aplikací prostřednictvím simulace hackerského útoku. Využíváme přitom postupy a nástroje jako při reálném hackerském útoku, penetrační testy však mají jasně definovaný předmět testování a často jsou vyloučeny akce, které by mohly poškodit testovaný systém. Při penetračním testování se řídíme vhodnými standardy, jako jsou OSSTMM, PTES a OWASP a používáme nástroje jako Qualys nebo Burp Suite. Jako výsledek získáte komplexní zprávu, která obsahuje manažerské shrnutí i podrobný rozbor jednotlivých zjištění, a zejména doporučení pro nápravná opatření pro každou bezpečnostní hrozbu a riziko.

  • +
    Testů (ročně)
  • +
    Senior testerů
  • Podpora v 23 zemích
  • IT&OT
    zkušenosti s OT testováním
  • PTaaS
    Penetration testing as a service
Nezávazná poptávka
Dotazník k penetračnímu testování

S čím vám můžeme pomoci?

  • Externí penetrační test

    Tato služba simuluje anonymní hackerský útok z internetu. Testuje se zabezpečení perimetru sítě a identifikují se zranitelná místa v dalších systémech a IT infrastruktuře, která je přístupná z internetu. Rozsah penetračního testu může být přesně definován zákazníkem (např. IP rozsah) nebo součástí testu může být tzv. analýza otevřených zdrojů (OSINT online).

  • Interní penetrační test

    Zaměřuje se na interní síť, která není přímo přístupná z internetu. Simuluje hackerský útok z pohledu útočníka, který získal přístup k interní síti (např. prostřednictvím malwaru v příloze e-mailu, útok ze strany běžného zaměstnance nebo dodavatele). Testerům můžete poskytnout vzdálené připojení pomocí VPN nebo lze penetrační testování zařídit přímo u vás. Testerům můžete poskytnout rovněž uživatelský účet v doméně, aby se co nejvěrněji simuloval hackerský útok provedený uživatelem nebo malwarem spuštěným na běžné koncové stanici.

  • Testování webových aplikací

    Kombinuje automatické testování webových aplikací i manuální penetrační testování, aby se zjistilo co nejvíce bezpečnostních nedostatků a jejich dopad. Penetrační testování můžeme provádět z pozice externího útočníka i běžného autentizovaného uživatele. Vycházíme přitom především z metodiky OWASP Web Security Testing Guide.

  • Penetrační test bezdrátové sítě

    Simuluje hackerský útok na sítě Wi-Fi. Prověřuje bezpečnostní mechanismy používané k ochraně dat před neoprávněným přístupem prostřednictvím Wi-Fi sítě. Předmětem penetračního testování mohou být pokusy o prolomení hesla nebo audit izolace bezdrátové sítě od zbytku infrastruktury IT. Testy vzhledem k jejich povaze provádíme v prostorách zákazníka.

  • Penetrační testy mobilních aplikací

    V rámci systémů Android a iOS prověřují zabezpečení mobilních aplikací vůči nestandardním akcím uživatele, zabezpečení ukládaných dat a přenášené komunikace včetně možných útoků na API backend serveru. Metodika tohoto penetračního testování se řídí OWASP Mobile Security Testing Guide.

  • Phishingový útok a kampaň

    Zaměřuje se na zaměstnance jako obvykle nejslabší článek v zabezpečení informačních systémů. Phishingové e-maily používají techniky sociálního inženýrství a pokoušejí se přimět uživatele, aby provedli nějakou akci (navštívili web, poskytli přihlašovací údaje nebo spustili soubor). Simulované phishingové útoky jsou praktickou součástí školení uživatelů o bezpečnosti IT. Uživatelé tak dostanou příležitost seznámit se s možnými bezpečnostními hrozbami a riziky a na praktických příkladech se naučí rozpoznávat podezřelé e-maily.

  • Analýza otevřených zdrojů (OSINT)

    Zaměřuje se na sběr, zpracování a analýzu dat z volně dostupných zdrojů. Cílem je poskytnout vám soubor informací a dat, která o vás může útočník zjistit. Analýza zahrnuje informace, které o sobě zveřejňujete (např. metadata souborů na vlastních webových stránkách nebo informace z kariérních portálů), ale i informace dostupné na hackerských fórech a darkwebu (např. uniklé přihlašovací údaje).

Proč si vybrat Axians pro penetrační testování?

  • ODHALENÍ SLABÝCH MÍST V ZABEZPEČENÍ IT INFRASRUKTURY, KTERÁ LZE ZNEUŽÍT PŘI SKUTEČNÉM HACKERSKÉM ÚTOKU
  • POSOUZENÍ MÍRY BEZPEČNOSTNÍCH HROZEB A RIZIKA PRO VAŠI SPOLEČNOST, SNÍŽENÍ RIZIKA FINANČNÍCH ZTRÁT A ZVÝŠENÍ DŮVĚRY VAŠICH ZÁKAZNÍKŮ
  • Ověření účinnosti bezpečnostních kontrol a bezpečnostních procesů
  • MANAŽERSKÉ SHRNUTÍ A PODROBNÝ ROZBOR JEDNOTLIVÝCH ZJIŠTĚNÍ I NÁPRAVNÁ OPATŘENÍ PRO ZJIŠTĚNÉ BEZPEČNOSTNÍ HROZBY
  • POMOC PŘI DOSAŽENÍ CÍLŮ V OBLASTI COMPLIANCE S BEZPEČNOSTNÍMI STANDARDY

Jak bude penetrační testování probíhat?

Nejprve se společně dohodneme na formě a průběhu penetračního testování, aby co nejlépe odpovídal vašim požadavkům. Samotný průběh penetračního testu se potom odvíjí od toho, co je předmětem testování. Jedná se o podobné postupy jako při skutečném hackerském útoku. Důraz klademe hlavně na manuální testování, které využívá znalostí a zkušeností etických hackerů. Na rozdíl od skenování zranitelností, které zde slouží jen jako možný zdroj informací, se mohou při penetračních testech odhalit komplexnější zranitelnosti a přesněji se vyhodnotí jejich závažnost.

Průběh penetračního testování můžeme zjednodušeně rozdělit na několik fází:

  • Předrealizační fáze spočívá především v přípravě projektu a komunikaci se zákazníkem.
  • Sběr informací obnáší skenování sítě a identifikaci aktivních služeb, v některých případech se může jednat i o tzv. OSINT analýzu, kdy se na internetu dohledávají potenciálně užitečné informace (e-mailové adresy, subdomény či uniklé přihlašovací údaje).
  • Analýza zranitelností obnáší zejména skenování známých zranitelností prostřednictvím automatizovaného nástroje.
  • Využití nalezených zranitelností simuluje další fázi hackerského útoku spočívající ve snaze o průnik do testovaného systému, dále dochází k eliminaci falešně pozitivních nálezů vzešlých ze skenu zranitelností a ručnímu dohledávání dalších hrozeb.
  • Identifikace dopadů znamená zjištění, čeho by mohl útočník při úspěšném zneužití zranitelnosti ve vaší IT infrastruktuře dosáhnout, a následnému ohodnocení závažnosti. To může např. obnášet další průnik do testovaného systému prostřednictvím eskalace privilegií, získání přihlašovacích údajů do dalších systémů nebo ovládání dalších zařízení v síti. Pokud přitom dojde k nahrání testovacích nástrojů na další počítače nebo tvorbě nových účtů, tyto mezikroky se před dokončením penetračního testování odstraní.
  • Zpracování závěrečné zprávy, která obsahuje stručné manažerské shrnutí zjištěného stavu i podrobnější technickou část s popisem zjištěných zranitelností, možným postupem jejich zneužití a doporučeními pro provedení nápravných opatření. V případě potřeby s vámi rádi probereme případné nejasnosti či další postup.
  • Retest je volitelnou součástí penetračních testů, která ověřuje, že skutečně došlo k odstranění zranitelnosti v důsledku zavedení nápravného opatření.

Pentesty s informacemi či bez

Penetrační testování také provádíme podle informací, které máme k dispozici o testovaném systému. 

  • Black-box – žádné dodatečné informace, jen definovaný předmět testu (scope) 
  • Grey-box – k dispozici základní informace o struktuře systému a použitých komponentech, typicky uživatelský účet 
  • White-box – podrobné informace o struktuře systému a konfiguraci, často k dispozici administrátorský přístup nebo zdrojový kód aplikace 

Přečtěte si více:

Reference našich zákazníků

PROHLÉDNOUT VŠECHNY REFERENCE

Jak vám můžeme pomoci?

Máte projekt? Otázku? Zaujalo vás naše řešení? Kontaktujte nezávazně naše experty a my se vám co nejdříve ozveme.