Penetrační testy

Jak by vaše firma obstála proti kybernetickému útoku? Penetrační testy vám to prozradí.

 

Definice penetračního testování

Penetrační testy slouží pro organizace, které si chtějí ověřit, zda se v jejich IT zabezpečení nevyskytuje slabé místo, kterého by mohli hackeři využít k provedení útoku. 

Testování se provádí simulací reálného útoku, za pomocí stejných technik i nástrojů.

Penetrační testy nehledají slabiny pouze v IT systémech, ale také mezi lidmi. Tento typ testování se nazývá sociální inženýrství.

Pentest diagram

Dnešní online svět je plný automatizovaných a finančně motivovaných kyberútoků i na ty nejmenší společnosti a uživatele.

Spoléhat se na to, že si nás hackeři nevyberou je všeobecný omyl.

Integra penetrační testy

Máme dlouholeté zkušenosti s projekty ve velkých korporacích a bankách. 

Naše hodnoty: Pečlivost, profesionální přístup, etika a disciplína.

Jsme držitelé celosvětově uznávaných certifikací kybernetické bezpečnosti.

Kontinuálně se školíme a vzděláváme v oblasti IT Security and Ethical Hacking.

Poskytované penetrační testy

Otestujte zabezpečení vaší webové nebo mobilní aplikace. Provádíme audit bezpečnosti více než 90 oblastí zabezpečení podle metodiky OWASP.

Otestujte zabezpečení svého perimetru z veřejné sítě, své interní sítě nebo prověřte svého cloudového poskytovatele. 

Naše služba sociálního inženýrství vám pomůže odhalit a zdokumentovat potenciální slabiny mezi vašimi zaměstnanci.

Kdy dělat penerační testy?

Máte webovou aplikaci a nejste si jisti, zda je správně zabezpečená?

Zjistěte, zda vaše IT prostředí obstojí skutečnému kybernetickému útoku.

Testy doporučujeme provádět v pravidelné frekvenci, nebo při každé větší změně jako je nová implementovaná technologie, nebo fúze infrastruktury s novou firmou.

Důvodem může být i otestování vašeho IT týmu, zda vůbec a jakým způsobem zareaguje na probíhající útok.

Pokud jste pentesty dosud nedělali a je pro vás důležitá IT bezpečnost, tak byste neměli váhat.

Více informací se dočtete v našem článku:

Výběr testu podle oblasti

Výběr testu záleží na předmětu testování, které se rozděluje na tři oblasti:

 

Co si musíte rozmyslet před zadáním?

Při testování aplikací:
    • Popis aplikace, screenshoty
    • Počet dynamických stránek
Při testování infrastruktury
    • Počet testovaných IP adres
    • Testované domény
Při social engineeringu
    • Počet testovaných zaměstnanců
    • Rozdílné typy kampaní nebo jedna plošná?
 
Co dalšího potřebujeme vědět?
    • Chcete poskytnout informace o prostředí, nebo máme informace jako hacker z veřejných zdrojů? (Black box / white box / grey box?)
    • Agresivita – Mají být testeři opatrní? Jak moc si mohou dovolit?
    • Produkce / testovací prostředí
    • Plánovaný termín realizace

Penetrační testování není sken zranitelností. Sken zranitelností je plně automatizovaný a nevyžaduje hackerské praktiky.

Pro ukázku jsme pro vás připravili online sken zranitelností, který můžete použít zdarma. 

Některé společnosti jej nabízí jako službu – bezpečnostní sken.

Výsledky z penetračního testování

Po provedení každého penetračního testu následuje fáze vyhodnocení, která popisuje průběh testu, popis veškerých nalezených zranitelností s ohodnocením jejich závažnosti podle klasifikace CVSS.

Jedná se o technickou část zprávy, která je určena bezpečnostním manažerům, technikům a vývojářům aplikací, kdy ke každé zranitelnosti je také dáno doporučení, jak danému problému předejít nebo ho vyřešit.

V závěru reportu naleznete manažerské shrnutí, které srozumitelným způsobem vysvětluje managementu firmy nalezené zranitelnosti a bezpečnostní mezery, jejich závažnost a cesty, jak veškeré problémy odstranit.

Manažerské shrnutí

  • Srozumitelným způsobem vysvětluje managementu firmy nalezené zranitelnosti a bezpečnostní mezery, jejich závažnost a cesty, jak veškeré problémy odstranit.

 

Technická zpráva

  • Popis prováděných testů a jejich scope
  • Vysvětlení klasifikace zranitelností
  • Popis zjištění z jednotlivých fází testů
  • Sumarizace nalezených zranitelnosti
  • Doporučení pro odstranění identifikovaných slabin a zranitelných míst
  • Závěrečné zhodnocení provedeného testu

Metody a nástroje penetračního testování

V průběhu penetračních testů dochází ke kombinaci manuálního a automatizovaného testování s ohledem na povahu testovaných systémů a aplikací. 

Pokud jsou testy prováděny v produkčním prostředí, může být míra automatizovaného testování a zásahů do produkčního systému minimalizována, aby nenapáchali zbytečné škody.

Při testování využíváme vlastních postupy, které vychází z metodik OSSTMM, OWASP, PTES a LPT. 

Během testů používáme nejčastěji linuxovou distribuci Kali linux a její nástroje: Nmap, Nikto, MetaSploit, Nessus, Hydra, OWASP ZAP, Burp Suite, John the Ripper a další. 

Penetrační tester hledá známé zranitelnosti testované platformy, na které píše a upravuje skripty na jejich exploitaci.

Kolik stojí penetrační testy?

Cena penetračních testů se průměrně pohybuje od 70.000 Kč do 350.000 Kč. Cena je ekvivalentní rozsahu a složitosti projektu. 

Jaké faktory mají vliv na cenu penetračního testování?
Rozsah:

Rozsah testování je přímo úměrný počtu assetů a jejich složitosti (IP adresy, aplikace, databáze, zařízení, API apod.).

Metodika:

Cena penetračního testování se také liší podle metodiky a komplexnosti testu. Používané metodiky mají rozdílné oblasti zaměření, které se skládají ze souborů testů. Přidání nebo odebrání konkrétních testů opět ovlivňuje náklady na penetrační testování.  

Místo provedení:

Penetrační testy webových aplikací i většinu dalších testů lze provádět mimo pracoviště. Existují však případy, kde se testují rozsáhlá a složitá prostředí. V tento moment může být návštěva na místě u zákazníka nezbytná. Onsite testy jsou také vyžadovány při penetračním testu fyzického zabezpečení.

Další služby:

Další výdaje vás čekají v případě požadované asistence při nápravě a/nebo při požadavku
na re-testování po provedených opravách.

Více informací se dočtete v našem článku.

Kontaktujte nás

Rádi s vámi zkonzultujeme vaši situaci a připravíme nezávaznou nabídku.

Můžeme Vám zaslat i ukázku naší práce – vzorový report z testu. 

Najde nás i v našich kancelářích v Praze, Brně nebo v Bratislavě.