Penetrační testy

Pomocí penetračních testů odhalíte existenci zranitelností a další slabá místa ve Vašich aplikacích.

Naši specialisté používají reálné praktiky hackerů a postupy dle metodiky OWASP, OSSTM a našich best practices.

Naše služby

Otestujte zabezpečení aplikace, mobilní aplikace nebo API. Provádíme audit bezpečnosti více než 90 oblastí zabezpečení podle metodiky OWASP.

 

Otestujte zabezpečení svého perimetru z veřejné sítě, ověřte správnou konfiguraci své interní sítě nebo prověřte svého cloudového poskytovatele. 

Naše služba sociálního inženýrství Vám pomůže osvětlit a zdokumentovat potenciální slabá místa mezi Vašimi zaměstnanci. 

Co jsou to penetrační testy?

Penetrační test slouží k posouzení úrovně bezpečnosti metodou pokusu o průnik do testovaného prostředí.

Jedná se o technickou formu auditu bezpečnosti, který se provádí simulací skutečného útoku. Tester používá stejné metody i nástroje jako hacker. 

Testování zahrnuje použití různých manuálních technik podporovaných automatizovanými nástroji, kde tester hledá zranitelnosti, a na základě svých zkušeností a odborných metod, postupuje k exploitaci konkrétních slabin.

Penetrační testování je často a mylně zaměňováno se skenem zranitelností, oproti manuálním pentestům je sken automatizovaný.

Proč testovat?

Testováním zjistíte nedostatky v bezpečnosti vaší IT infrastruktury nebo webové či mobilní aplikace.

Frekvence hackerských útoků i množství bezpečnostních chyb přibývají každým dnem. Neriskujte, testujte.

Penetrační testování zaudituje aktuální odolnost vašich systémů a může se tak stát i dobrým podkladem pro plány investic do bezpečnostních technologií.

Další důvody, proč testovat:
  • Předcházejte kybernetického útoku.
  • Testujte tam, kde je to nutné – nová implementovaná technologie, nebo fúze infrastruktury s novou pobočkou.
  • Vyzkoušejte svůj bezpečnostní tým, zda a jakým způsobem zareagují na probíhající útok? 
  • Zajistěte si pevnou reputaci a nenechte se hacknout, ztráta dat a dobré pověsti může být pro business kritická.
  • Testování může nařizovat i legislativa.
 

Více informací se dočtete v našem článku.

Zadání penetračních testů

Co byste si měli rozmyslet, než začnete připravovat zadání?

Obecně platí:
  • Co se bude konkrétně testovat – testovat lze téměř cokoliv, nicméně je potřeba balancovat rozsah testů, který je přímo úměrný náročnosti a ceně.
  • Black box nebo white box? 
  • Zadané rozsahy IP, nebo si je bude tester hledat sám?
  • Zadání lze zadat i časovým rozsahem – poptáváme testera na 5 dní testů.
 
Testování aplikací:
  • Přístup – autorizovaný / neautorizovaný?
  • Testovací účty – admin / uživatel?
  • Prostředí – testovací / produkční?
  • Testovat s WAF / bez WAF?

Výsledky penetračních testů

Po provedení penetračních testů následuje fáze vyhodnocení (reporting). Naše zpráva z penetračních testů je rozdělena na dvě části. 

První z nich zahrnuje popis všech nalezených zranitelností a bezpečnostních mezer s ohodnocením jejich závažnosti a míry rizika.

Jedná se o technickou část zprávy, která je určena bezpečnostním manažerům, technikům a vývojářům aplikací, kdy ke každé zranitelnosti je také dáno doporučení, jak danému problému předejít nebo ho vyřešit.

Druhá část zprávy obsahuje manažerské shrnutí, které srozumitelným způsobem vysvětluje managementu firmy nalezené zranitelnosti a bezpečnostní mezery, jejich závažnost a cesty, jak veškeré problémy odstranit.

Na přání vám můžeme zaslat vzorovou výslednou zprávu.

 

Kategorizace nálezů

Rozdělení podle kategorie
Rozdělení podle závažnosti

Metody a nástroje penetračního testování

V průběhu penetračních testů dochází ke kombinaci manuálního a automatizovaného testování s ohledem na povahu testovaných systémů a aplikací. 

Pokud jsou testy prováděny v produkčním prostředí, je míra automatizovaného testování a zásahů do produkčního systému minimalizována, aby testy měly co nejmenší dopad na testované systémy a aplikace. 

Při testování postupujeme v souladu s OWASP a OSSTM.

 

 

Během testů používáme nejčastěji linuxovou distribuci Kali linux a její nástroje, jako jsou např. Nmap, Nikto, MetaSploit, DirBuster, Nessus, Hydra, OWASP ZAP, Burp Suite, John the Ripper a mnoho dalších. 

Dále hledáme známé zranitelnosti testované platformy, píšeme a upravujeme skripty na jejich exploitaci.

Seznam známých exploitů a zranitelností můžeme nalézt např.na https://www.exploit-db.com/.

Kolik stojí penetrační testy?

Cena penetračních testů se může pohybovat od 50.000 Kč do 300.000 Kč. Cena je vždy ekvivalentní rozsahu a složitosti projektu. 

Co ovlivňuje cenu testování?
Rozsah:

Velikost testování určuje počet zaměstnanců nebo IP adres. Náročnost se dále hodnotí podle složitosti aplikací, serverů, zařízení a databází, které mají být testovány. 

Metodika:

Cena penetračního testování se liší podle metodiky a komplexnosti testu. Používané metodiky mají rozdílné oblasti zaměření, které sestávají ze souborů testů. Přidání nebo odebrání konkrétních testů opět ovlivňuje náklady na penetrační testování.  

Zkušenosti:

Pentesteři s více zkušenostmi budou obvykle dražší. Od zkušeného testera dostanete to, co opravdu hledáte. Při výběru penetračního testera doporučujeme sledovat certifikace jako jsou ECSA, CEH nebo OSCP.  

Onsite:

Většinu penetračních testů lze provádět mimo pracoviště. Existují však případy, kde se testují velmi rozsáhlá/složitá prostředí. V tento moment může být návštěva na místě u zákazníka nezbytná. Onsite testy jsou vyžadovány pokaždé při penetračním testu fyzického zabezpečení nebo při metodách sociálního inženýrství. 

Po testech:

Další výdaje vás čekají v případě požadavku na následnou asistenci s nápravou a/nebo při požadavku na re-testování po provedených opravách. 

Proč právě u nás?

Máme dlouholeté zkušenosti s projekty ve velkých korporacích a bankách.

Jsme držitelé celosvětově uznávaných certifikací IT bezpečnosti CEH – ECSA – CHFI.

Kontinuálně se školíme a vzděláváme v oblasti IT Security and Ethical Hacking.

Jsme agilní firma s transparentní cenovou politikou.

Dokážeme rychle nasazovat testery na vaše projekty.

 

Chcete se dozvědět více ?

 Pokud máte jakékoliv otázky, neváhejte se s námi spojit kontaktním formulářem, nebo se s vámi rádi potkáme 

v našich kancelářích v Praze, Brně a Bratislavě.

 

David Pícha
Cyber Security BDM
+420 604 200 062 ITsecurity@integra.cz