PENTESTY

Techniczne audyty infrastruktury IT

Współcześnie funkcjonująca w organizacjach infrastruktura teleinformatyczna jest narażona na zagrożenia zewnętrzne i wewnętrzne. Dynamiczny rozwój aplikacji pod kątem zapewnienia funkcjonalności biznesowych otwiera “furtki” cyber-przestępcom.

Testy penetracyjne stanowią symulację potencjalnych ataków na środowisko IT, pozwalając wskazać luki w zabezpieczeniach. Kontrolowany atak przeprowadza zespół specjalistów PBSG, obierając za cel najbardziej prawdopodobne wektory ataków na narażone obszary bezpieczeństwa IT.

Testy penetracyjne przeprowadzone są manualnie oraz automatycznie. Nasi konsultanci korzystają przede wszystkim z dedykowanych narzędzi uzupełnianych o autorskie skrypty oraz z najpopularniejszych metodyk i standardów – wspieranych doświadczeniem własnym i zespołu. Po zakończonych pracach sporządzony zostaje raport z opisem i kategoryzacją wykrytych podatności oraz rekomendowanymi działaniami naprawczymi.

Na podstawie przeprowadzonych testów bezpieczeństwa, opracowany zostanie pisemny raport zawierający wszystkie wyniki, wnioski i rekomendacje. Zawarte w raporcie informacje umożliwiają zlokalizowanie, zrozumienie i co najważniejsze załatanie podatności czyniąc testowany system bezpieczniejszym i odporniejszym na ataki zarówno zewnętrzne jak i wewnętrzne.

 

Pisemny raport zostanie zbudowanym według następującego układu:

  • Cel zakres i podstawę formalną – według której zostały przeprowadzone prace;

  • Zakres prac – wskazany zakres prac, jakie został przeprowadzone;

  • Metodologia – informacje na temat metodologii oraz sposobów jakimi konsultanci realizowali prace;

  • Podsumowanie dla kierownictwa – podsumowanie dla kierownictwa; najważniejszych wyników i wniosków oraz rekomendacji pozwalających na zwiększenie poziomu bezpieczeństwa infrastruktury lub aplikacji;

  • Etapy testów – kolejność wykonywania testów penetracyjnych;

  • Rezultaty – w postaci konwencji oceniania, opisu w jaki sposób zostały przygotowane wyniki;

  • Wyniki szczegółowe – wyniki uzyskane w trakcie przeprowadzania testów z     opisem, czterostopniowym poziomem zagrożenia oraz technicznymi rekomendacjami.

REFERENCJE

Audyt bezpieczeństwa systemów technologicznych.

Testy penetracyjne elementów środowiska IT oraz aplikacji webowych

Testy penetracyjne aplikacji ICS

Audyt krytycznych systemów metodą black box

CASE STUDY

Spółka Skarbu Państwa z sektora finansowego nawiązała współpracę z PBSG w zakresie przeprowadzenia zewnętrznych testów penetracyjnych aplikacji webowej i aplikacji mobilnej metodą black box oraz audytu infrastruktury.

Po zakończeniu prac, PBSG wskazało podatności aplikacji oraz błędy konfiguracyjne, które wymagały natychmiastowego usunięcia. Zastosowane rekomendacje pozwoliły wprowadzać poprawki zaczynając od podatności stwarzających największe ryzyko, a skończywszy na podatnościach generujących ryzyka średnie i niskie. Po działaniach naprawczych wykonano retesty celem sprawdzenia skuteczności wprowadzonych poprawek.

Finalny raport wskazał wyeliminowanie wszystkich krytycznych podatności, dzięki czemu podniesiony został poziom bezpieczeństwa zarówno kluczowych danych biznesowych spółki, jak również danych osobowych użytkowników korzystających z aplikacji.