Ideą testu penetracyjnego jest zasymulowanie działań potencjalnego intruza (hakera), próbującego uzyskać nieautoryzowany dostęp do systemu, bądź zakłócić jego pracę. Podczas testów wykorzystywane są zarówno narzędzia hakerskie, dostępne publicznie w sieci Internet, jak również komercyjne skanery bezpieczeństwa, wspomagające  proces analizy i oceny potencjalnych podatności. W przypadku narzędzi publicznie dostępnych najbardziej znanym i cenionym pakietem w środowisku IT jest linuksowa dystrybucja BackTrack, wykorzystywana m.in. przez naszych konsultantów. Zawiera ona pełen zestaw narzędzi umożliwiających przeprowadzenie wiarygodnego i skutecznego testu penetracyjnego.

W zależności od miejsca przeprowadzenia potencjalnego ataku testy penetracyjne zasadniczo można podzielić na dwa typy: zewnętrzne i wewnętrzne.

• Zewnętrzne testy penetracyjne mają na celu weryfikację odporności systemów IT klienta na ataki z poziomu sieci Internet. W większości przypadków wykonuje się je metodą BlackBox, tj. bez znajomości jakichkolwiek danych dotyczących konfiguracji audytowanych systemów. Informacje, jakie są najczęściej potrzebne jako dane wejściowe do testów, to zakresy adresów IP systemów IT. W większości przypadków testy są wykonywane za wiedzą administratorów sytemu. Na życzenie klienta istnieje jednak możliwość wykonania testów (w ograniczonym zakresie) bez informowania o tym fakcie administratorów. Takie podejście jest szczególnie przydatne jeśli klient chce sprawdzić ich czujność i sposób reakcji na pojawienie się incydentów.

• Wewnętrzne testy penetracyjne mają na celu weryfikację odporności systemów IT klienta na ataki z poziomu sieci lokalnej klienta. Testy penetracyjne wewnętrzne wykonuje się w punktach potencjalnie najbardziej narażonych na atak tj. miejscu styku użytkownika z siecią LAN, strefach DMZ, punktach dostępu do sieci bezprzewodowych (WiFi). Istnieje również możliwość przebadania całości systemów IT, widzianych w sieci LAN.

Testy penetracyjne można wykonać dwiema metodami: bez znajomości konfiguracji systemów (Black Box) lub ze znajomością konfiguracji systemów (White Box). Druga metoda służy m.in. potwierdzeniu błędów bezpieczeństwa wykrytych podczas przeprowadzonej analizy konfiguracji.

Wybrane projekty:

• 2012-02-16 | PBSG i Energa SA podpisały umowę w zakresie przeprowadzenia audytu bezpieczeństwa w zakresie zabezpieczeń infrastruktury oraz aplikacji...  »
• 2011-08-16 | Ministerstwo Spraw Wewnętrznych i Administracji podpisało z PBSG umowę na przeprowadzenie Audytu systemu zarządzania bezpieczeństwem informacji w systemie ePUAP (administracja rządowa)..  »
• 2009-06-24 | PBSG podpisała umowę z Lurgi SA (Lurgi GmbH będącego częścią grupy Air LIquide) na wdrożenie systemu zarządzania bezpieczeństwem informacji ISO 27001, analizę bezpieczeństwa IT oraz opracowanie mechanizmów ochrony danych osobowych (sektor metalurgiczny)...  »
• 2008-12-08 | PBGS podpisało umowę z Elektrownią Połaniec – Grupa Electrabel Polska w zakresie przeprowadzenia audytu bezpieczeństwa systemów informatycznych oraz sieci teleinformatycznej (sektor energetyczny)...  »