Penetrační testy

Jak by vaše firma obstála proti kybernetickému útoku? Penetrační testy vám to prozradí.

 

Definice penetračního testování

Penetrační testy slouží pro organizace, které si chtějí ověřit, zda se v jejich IT zabezpečení nevyskytuje slabé místo, kterého by mohli hackeři využít k provedení útoku. 

Testování se provádí simulací reálného útoku, za pomocí stejných technik i nástrojů.

Penetrační testy nehledají slabiny pouze v IT systémech, ale také mezi lidmi. Tento typ testování se nazývá sociální inženýrství.

Pentest diagram

Dnešní online svět je plný automatizovaných a finančně motivovaných kyberútoků i na ty nejmenší společnosti a uživatele.

Spoléhat se na to, že si nás hackeři nevyberou je všeobecný omyl.

Integra penetrační testy

Poskytujeme penetrační testování pomocí vlastní metodiky pro testování aplikací a infrastruktury, která vychází z mezinárodních metodik OSSTMM, OWASP a PTES. 

Jsme držitelé celosvětově uznávaných certifikací kybernetické bezpečnosti.

Kromě Vašich IT systémy a aplikace, otestujeme také Vaše zaměstnance.

Naše hodnoty: Pečlivost, profesionální přístup, etika a disciplína.

 

Poskytované penetrační testy

Otestujte zabezpečení vaší webové nebo mobilní aplikace. Provádíme audit bezpečnosti více než 90 oblastí zabezpečení podle metodiky OWASP.

Otestujte zabezpečení svého perimetru z veřejné sítě, své interní sítě nebo prověřte svého cloudového poskytovatele. 

Naše služba sociálního inženýrství vám pomůže odhalit a zdokumentovat potenciální slabiny mezi vašimi zaměstnanci.

Proč dělat penerační testy?

Penetrační testy odhalí skutečná rizika, kterým jste vystaveni – zjistíte jak by vaše IT systémy obstály proti kybernetickému útoku.

Testy doporučujeme provádět v pravidelné frekvenci, nebo při každé větší změně jako je nová implementovaná technologie, nebo fúze infrastruktury s novou firmou.

Důvodem může být i otestování vašeho IT týmu, zda vůbec a jakým způsobem zareaguje na probíhající útok.

Máte vlastní komerční aplikaci? Zvyšte si důvěryhodnost certifikátem o provedení penetračních testů.

Podle nařízení norem – Zákon o kybernetické bezpečnosti, nařízení dle ČNB, ISO 27001, TISAX audit a další.

Více informací se dočtete v našem článku:

Výběr testu podle oblasti

Výběr testu záleží na předmětu testování, které se rozděluje na tři oblasti:

Penetrační test aplikace (Webová/API, mobilní)
Penetrační test infrastruktury (Externí/Interní/Cloud/Wi-Fi)

Social engineering (Phishing, vishing apod.)

Co si musíte rozmyslet před testem?

Při testování aplikací:
    • Popis aplikace, screenshoty
    • Počet dynamických stránek
Při testování infrastruktury
    • Počet testovaných IP adres
    • Testované domény
Při social engineeringu
    • Počet testovaných zaměstnanců
    • Rozdílné typy kampaní nebo jedna plošná?
Co dalšího potřebujeme vědět?
    • Chcete poskytnout informace o prostředí, nebo máme informace jako hacker z veřejných zdrojů? (Black box / white box / grey box?)
    • Agresivita – Mají být testeři opatrní? Jak moc si mohou dovolit?
    • Produkce / testovací prostředí
    • Plánovaný termín realizace

Penetrační testování není sken zranitelností. Sken zranitelností je plně automatizovaný a nevyžaduje hackerské praktiky.

Některé společnosti jej nabízí jako službu bezpečnostního skenování, my ho poskytujeme zdarma – online sken zranitelností.

Výsledky z penetračního testování

Po provedení každého penetračního testu následuje fáze vyhodnocení, která popisuje průběh testu, popis veškerých nalezených zranitelností s ohodnocením jejich závažnosti podle klasifikace CVSS.

Jedná se o technickou část zprávy, která je určena bezpečnostním manažerům, technikům a vývojářům aplikací, kdy ke každé zranitelnosti je také dáno doporučení, jak danému problému předejít nebo ho vyřešit.

V závěru reportu naleznete manažerské shrnutí, které srozumitelným způsobem vysvětluje managementu firmy nalezené zranitelnosti a bezpečnostní mezery, jejich závažnost a cesty, jak veškeré problémy odstranit.

Manažerské shrnutí:

  • Srozumitelným způsobem vysvětluje managementu firmy nalezené zranitelnosti a bezpečnostní mezery, jejich závažnost a cesty, jak veškeré problémy odstranit

 

Technická zpráva:

  • Popis prováděných testů a jejich scope
  • Vysvětlení klasifikace zranitelností
  • Popis zjištění z jednotlivých fází testů
  • Sumarizace nalezených zranitelnosti
  • Závěrečné zhodnocení provedeného testu
results testing

Metody a nástroje penetračního testování

V průběhu penetračních testů dochází ke kombinaci manuálního a automatizovaného testování s ohledem na povahu testovaných systémů a aplikací. 

Pokud jsou testy prováděny v produkčním prostředí, může být míra automatizovaného testování a zásahů do produkčního systému minimalizována, aby nenapáchali zbytečné škody.

Při testování využíváme vlastních postupy, které vychází z metodik OSSTMM, OWASP a PTES. 

Během testů používáme nejčastěji linuxovou distribuci Kali linux a její nástroje: Nmap, Nikto, MetaSploit, Nessus, Hydra, OWASP ZAP, Burp Suite, John the Ripper a další. 

Penetrační tester hledá známé zranitelnosti testované platformy, na které píše a upravuje skripty na jejich exploitaci.

Kolik stojí penetrační testy?

Cena penetračních testů se průměrně pohybuje od 70.000 Kč do 300.000 Kč. Cena je ekvivalentní rozsahu a složitosti projektu. 

Jaké faktory mají vliv na cenu penetračního testování?
Rozsah:
Rozsah testování je přímo úměrný počtu assetů a jejich složitosti (IP adresy, aplikace, databáze, zařízení, API apod.)
 
Metodika:
Cena penetračního testování se také liší podle metodiky a komplexnosti testu. Používané metodiky mají rozdílné oblasti zaměření, které se skládají ze souborů testů. Přidání nebo odebrání konkrétních testů opět ovlivňuje náklady na penetrační testování.
 
Místo provedení:
Penetrační testy webových aplikací i většinu dalších testů lze provádět mimo pracoviště. Existují však případy, kde se testují rozsáhlá a složitá prostředí. V tento moment může být návštěva na místě u zákazníka nezbytná. Onsite testy jsou také vyžadovány při penetračním testu fyzického zabezpečení.
 
Další služby:
Další výdaje vás čekají v případě požadované asistence při nápravě a/nebo při požadavku na re-testování po provedených opravách.
 

Více informací se dočtete v našem článku.

Kontaktujte nás

Rádi s vámi zkonzultujeme vaši situaci a připravíme nezávaznou nabídku.

Můžeme Vám zaslat i ukázku naší práce – vzorový report z testu. 

Najde nás také v našich kancelářích v Praze, Brně nebo v Bratislavě.