Informacja o usłudze

Test penetracyjny jest to kontrolowany atak przeprowadzony przez doświadczonych specjalistów na infrastrukturę teleinformatyczną, a w szczególności na usługi realizowane w infrastrukturze sieciowej. Celem wykonania takiego ataku jest zweryfikowanie poziomu bezpieczeństwa środowiska IT. W wyniku testu organizacja poznaje słabe punkty swojej infrastruktury i dzięki temu może nimi zarządzać.

Testy penetracyjne mogą zostać przeprowadzone:

  • z zewnątrz organizacji – zazwyczaj realizowane przez Internet, najlepiej odzwierciedlają atak, jaki może przeprowadzić każdy użytkownik Internetu

  • z wnętrza organizacji – dostarczają pełen obraz zagrożeń, również wskazują zagrożenia pochodzące ze strony własnych pracowników

Testy penetracyjne dzielimy również ze względu na posiadane informacje o badanym środowisku:

  • O testach typu Black Box mówimy w momencie, gdy nie znamy konfiguracji oraz środowiska testowanych urządzeń. Np. znamy jedynie adres IP. Prace tą metodą realizowane są zawsze z zewnątrz badanego elementu.

  • O testach typu White Box mówimy w momencie, gdy posiadamy pełne informacje na temat badanego środowiska. Np. wiemy, że jest to serwer Windows 2008 i działa na nim usługa poczty elektronicznej Exchange 2003. Prace metodą White Box dotyczą szerszego zakresu prac i penetrują badane elementy infrastruktury również od środka.

Zakres prac testów penetracyjnych dla środowiska sieciowego może wyglądać następująco:

  • Zbieranie informacji o badanym środowisku

  • Analiza działających usług, otwartych portów

  • Analiza podatności , np. przy wykorzystaniu narzędzia

  • Penetracja słabości, próba ich wykorzystania (np. exploity)

  • Próba zwiększenia uprawnień użytkownika

  • Analiza komunikacji sieciowej

  • Analiza połączeń zdalnych administratorów

  • Weryfikacja działania „tylnych drzwi”, tylnego dostępu do badanego środowiska

  • Analiza możliwości usunięcia śladów logowania, aktywności użytkownika

  • Próba wyłączenia zabezpieczeń (np. antywirusa, firewall) z pozycji użytkownika

Przeprowadzając testy penetracyjne nasi konsultanci korzystają przede wszystkim z doświadczenia własnego, rozbudowanych narzędzi oraz skryptów własnych. Dodatkowo konsultanci podczas prowadzenia prac wspierają się metodykami stworzonymi z myślą o przeprowadzaniu audytów teleinformatycznych. Do najważniejszych z nich możemy zaliczyć:

  • PTES (Penetration Testing Execution Standard)

  • OSSTM Manual (Open Source Security Testing Methodology Manual)

  • NIST SP 800-115 (Technical Guide to Information Security Testing)

  • ISSAF (OISSG Penetration Testing Framework)

  • OWASP (Open Web Application Security Project)

  • ASVS (Application Security Verification Standard

W wyniku przeprowadzonych prac klient otrzymuje raport, w którym zamieszczone są informacje czytelne dla kierownictwa oraz administratorów infrastruktury. W raporcie wskazane są wszystkie znalezione podczas prac zagrożenia wraz ze wskazanymi pracami, jakie należy wykonać w celu ich wyeliminowania – tak zwanymi rekomendacjami.

Zakres usługi

  • przeprowadzanie testów penetracyjnych systemu, usługi sieciowej, infrastruktury IT

  • skanowanie podatności infrastruktury informatycznej, usług sieciowych

  • penetracja słabości, próba ich wykorzystania

  • przeprowadzenie ataków mających na celu zwiększenie uprawnień użytkownika

  • ataki mające na celu próbę przełamania zastosowanych zabezpieczeń

  • przedstawienie raportu z wykonanych prac

  • przedstawienie rekomendacji eliminujące znalezione zagrożenia

Skuteczne i efektywne zarządzanie systemami informatycznymi jest nierozłącznie powiązane z zapewnieniem ich bezpieczeństwa. Coraz częściej analizy podatności czy testy penetracyjne są standardowym elementem odbioru rozbudowanych systemów aplikacyjnych. Zewnętrzny audyt bezpieczeństwa IT jest także niezastąpiony dla organizacji zarządzających aplikacjami webowymi czy mobilnymi. Warto jednak pamiętać, że bezpieczeństwo IT to nie tylko testy penetracyjne – równie ważnym elementem może być ocena wydajności środowiska czy analiza kodu źródłowego.

Przeprowadzając prace związane z testami bezpieczeństwa, korzystamy z doświadczeń zdobytych podczas realizacji wielu prac dla naszych klientów. W szczególności prace związane z analizą bezpieczeństwa infrastruktury oraz analizy bezpieczeństwa systemu opieramy na metodyce PTES (Penetration Testing Execution Standard), która standaryzują sposób podejścia i przeprowadzania testów penetracyjnych infrastruktury sieciowej oraz aplikacji. Realizując testy aplikacji webowych korzystamy z rankingu OWASP TOP 10.

bezpieczeństwo_ulotka_1 page

Napisz do nas

Adres email (wymagane)


Treść wiadomości

Wpisz kod z obrazka

captcha


Szkolenia

Zapraszamy do zapoznania się z ofertą naszych szkoleń:

Kliknij obrazek oby przejść do działu Szkolenia.

Webinaria

Zapraszamy do zapisów na bezpłatne webinaria na życzenie.

Kliknij obrazek oby przejść do działu Webinaria.