KYBERNETICKÁ BEZPEČNOST

Penetrační testování

Pomocí penetračního testování ověřujeme zabezpečení vašich systémů simulací hackerského útoku. Získejte klid a důvěru v zabezpečení své IT infrastruktury.

Simulace hackerského útoku

Penetrační testy ověřují zabezpečení vaší IT infrastruktury, systémů a aplikací prostřednictvím simulace hackerského útoku. Využíváme přitom postupy a nástroje jako při reálném útoku, penetrační testy však mají jasně definován předmět testování a často jsou vyloučeny akce, které by mohly poškodit testovaný systém. Při testování se řídíme vhodnými standardy, jako jsou OSSTMM, PTES a OWASP a používáme nástroje jako Qualys nebo Burp Suite. Jako výsledek získáte komplexní zprávu, která obsahuje manažerské shrnutí i podrobný rozbor jednotlivých zjištění, a zejména nápravná opatření pro každou bezpečnostní hrozbu. 

  • +
    Testu (ročně)
  • +
    Senior testeru
  • Podpora v 23 zemí
  • IT&OT
    zkušenosti s OT testováním
  • PTaaS
    Penetration testing as a service
Nezávazná poptávka

S čím vám můžeme pomoci?

  • Externí penetrační test

    simuluje anonymního útočníka z internetu. Testuje zabezpečení perimetru sítě a identifikuje zranitelná místa v dalších systémech zákazníka, které jsou přístupné z internetu. Rozsah testu může být přesně definován zákazníkem (např. IP rozsah) nebo součástí testu může být tzv. analýza otevřených zdrojů (OSINT).

  • Interní penetrační test

    se zaměřuje na interní síť, která není přímo přístupná z internetu. Simuluje útok z pohledu útočníka, který získal přístup k interní síti (např. prostřednictvím malwaru v příloze emailu, nebo se může jedna o útok ze strany běžného zaměstnance nebo dodavatele). Testerům může být poskytnuto vzdálené připojení pomocí VPN nebo testování probíhá přímo u zákazníka. Testerům může být dán k dispozici rovněž účet běžného uživatele v doméně tak, aby byl co nejvěrněji simulován útok provedený uživatelem nebo malwarem spuštěným na běžné uživatelské stanici.

  • Testování webových aplikací

    kombinuje automatizované nástroje i ruční testování, aby bylo zjištěno, co nejvíce bezpečnostních nedostatků jejich dopad. Testování můžeme provádět jak z pozice externího útočníka, tak i běžného autentizovaného uživatele. Vycházíme přitom především z metodiky OWASP Web Security Testing Guide.

  • Penetrační test bezdrátové sítě

    simuluje útok na sítě Wi-Fi. Prověřuje bezpečnostní mechanismy používané k ochraně dat před neoprávněným přístupem prostřednictvím sítě Wi-Fi. Předmětem testování mohou být pokusy o prolomení hesla nebo audit izolace bezdrátové sítě od zbytku infrastruktury. Testy vzhledem k jejich povaze provádíme v prostorách zákazníka.

  • Penetrační testy mobilních aplikací

    pro systémy Android a iOS prověřují zabezpečení mobilních aplikací vůči nestandardním akcím uživatele, zabezpečení ukládaných dat a přenášené komunikace včetně možných útoků na API backend serveru. Metodika testování se řídí OWASP Mobile Security Testing Guide.

  • Phishingová kampaň

    je zaměřena na zaměstnance jako na obvykle nejslabší článek v zabezpečení informačních systémů. Phishingové e-maily používají techniky sociálního inženýrství a pokoušejí se přimět uživatele, aby provedli nějakou akci (navštívili web, poskytli přihlašovací údaje nebo spustili soubor). Simulovaná phishingová kampaň je praktickou součástí školení uživatelů o bezpečnosti IT. Uživatelé tak dostanou příležitost seznámit se s možnými riziky na praktických příkladech a naučit se rozpoznávat podezřelé e-maily.

  • Analýza otevřených zdrojů (OSINT)

    se zaměřuje na sběr, zpracování a analýzu dat z volně dostupných zdrojů. Cílem je poskytnout zákazníkovi soubor informací a dat, která o něm může útočník zjistit. Analýza zahrnuje informace, které o sobě zveřejnuje zákazník (např. metadata souborů na vlastních webových stránkách nebo informace z karierních portálů), ale i informace dostupné na hackerských fórech a darkwebu (např. uniklé přihlašovací údaje).

Vaše výhody s Axians

  • Odhalení slabých míst v zabezpečení systémů, která by mohla být zneužita při skutečném útoku
  • Posouzení míry bezpečnostního rizika pro Vaši společnost, snížení rizika finančních ztrát a zvýšení důvěry Vašich zákazníků
  • Ověření účinnosti bezpečnostních kontrol a bezpečnostních procesů
  • Manažerské shrnutí a podrobný rozbor jednotlivých zjištění i nápravná opatření pro zjištěné bezpečnostní nedostatky
  • Pomoc při dosažení cílů v oblasti Compliance s bezpečnostními standardy
Nezávazná poptávka

Jak to bude probíhat?

Nejprve je potřeba domluvit se na průběhu testování tak, aby co nejlépe odpovídalo vašim požadavkům. Samotný průběh penetračního testu se potom odvíjí od toho, co je předmětem testování. Jedná se o podobné postupy jako při skutečném kybernetickém útoku. Důraz klademe hlavně na manuální testování, které využívá znalostí a zkušeností etických hackerů. Na rozdíl od skenování zranitelností, které zde slouží jen jako možný zdroj informací, mohou být při penetračních testech odhaleny komplexnější zranitelnosti a přesněji ohodnocena jejich závažnost. 

Penetrační testování si můžeme zjednodušeně rozdělit na několik fází: 

  • Předrealizační fáze spočívá především v přípravě projektu a komunikaci se zákazníkem. 
  • Sběr informací  obnáší skenování sítě a identifikaci aktivních služeb, v některých případech se může jednat i o tzv. OSINT analýzu, kdy jsou na internetu dohledávány potenciálně užitečné informace (emailové adresy, subdomény či uniklé přihlašovací údaje). 
  • Analýza zranitelností obnáší zejména skenování známých zranitelností prostřednictvím automatizovaného nástroje. 
  • Využití nalezených zranitelností simuluje další fázi útoku spočívající ve snaze o průnik do testovaného systému, rovněž dochází k eliminaci falešně pozitivních nálezů vzešlých ze skenu zranitelností a ručnímu dohledání dalších hrozeb. 
  • Identifikace dopadů znamená zjištění, čeho by mohl útočník při úspěšném zneužití zranitelnosti dosáhnout, a následné ohodnocení závažnosti. To může např. obnášet další průnik to testovaného systému prostřednictvím eskalace privilegií, získání přihlašovacích údajů do dalších systémů nebo ovládání dalších zařízení v síti. Pokud by při tom došlo k nahrání nástrojů na další počítače nebo tvorbě nových účtu, jsou tyto artefakty před dokončením testování smazány. 
  • Zpracování závěrečné zprávy, která obsahuje jak stručné manažerské shrnutí zjištěného stavu, tak podrobnější technickou část s popisem zjištěných zranitelností, možným postupem jejich zneužití a doporučeními pro provedení nápravných opatření. V případě potřeby s námi může zákazník konzultovat případné nejasnosti či další postup. 
  • Retest je volitelnou součástí, která ověřuje, že skutečně došlo k odstranění zranitelnosti v důsledku zavedení nápravného opatření. 

S informacemi či bez

Penetrační testy také provádíme podle informací, které máme k dispozici o testovaném systému. 

  • Black-box – žádné dodatečné informace, jen definovaný předmět testu (scope) 
  • Grey-box – k dispozici základní informace o struktuře systému a použitých komponentech, typicky uživatelský účet 
  • White-box – podrobné informace o struktuře a konfiguraci, často k dispozici administrátorský přístup nebo zdrojový kód aplikace 

Přečtěte si více:

Jsou vaše webové aplikace bezpečné? Nejčastější zranitelnosti stručně a jasně
Obstojíte proti phishingovému útoku?
V minulosti se kybernetické útoky dostávaly do podvědomí spíše jen v odborné komunitě, ale v poslední…
5 malých zařízení, která stačí k průniku do vaší společnosti. Jak se bránit?
Asi nikoho nepřekvapí, že útočník může ovládnout váš počítač, pokud k němu bude mít aspoň na c…
Jak probíhá kybernetický útok?
V dnešní době snad již nikdo nepochybuje o tom, že kybernetické útoky představují pro organizace nezan…

Reference našich zákazníků
Kybernetická bezpečnost

Bezpečnostní audit u Elektrotrans a.s.
ELEKTROTRANS a.s. je společnost patřící mezi jedničky na českém trhu v zajišťování komplexních služeb v oblasti přenosu a distribuce elektrické energie. Tato pozice klade vysoké nároky na bezpečnost celé IT infrastruktury společnosti. Elektrotrans jsme pomohli tuto infrastrukturu zkontrolovat pomocí penetračních testů a bezpečnostního auditu.
Více
Kybernetická bezpečnost

Kontrola infrastrukturních prvků pro Schaltag
Axians provedla externí penetrační testy se zaměřením především na hraniční infrastrukturní prvky. Poté následovalo také testování webových aplikací. Součástí testu bylo využití brute force útoku na přihlašovací údaje zaměstnanců. V rámci testování webových aplikací došlo k automatizovanému testu, který byl následován ručním testováním
Více
Kybernetická bezpečnost

Penetrační testování pro Ministerstvo spravedlnosti ČR
Ministerstvo spravedlnosti ČR spolupracuje s Axians na ochraně své infrastruktury. Axians provedl napříč ministerstvem testy ke zjištění slabých míst a zajištění ochrany aplikací.
Více
Všechny příběhy zákazníků

Jak vám můžeme pomoci?

Máte projekt? Otázku? Zaujalo vás naše řešení? Kontaktujte nezávazně naše experty a my se vám co nejdříve ozveme.