Penetrační testy

Jak by vaše firma obstála proti kybernetickému útoku? Penetrační testy vám to prozradí.

 

Definice penetračního testování

Penetrační testy slouží pro organizace, které si chtějí ověřit, zda se v jejich IT zabezpečení nevyskytuje slabé místo, kterého by mohli hackeři využít k provedení útoku. 

Testování se provádí simulací reálného útoku, za pomocí stejných technik i nástrojů.

Penetrační testy nehledají slabiny pouze v IT systémech, ale také mezi lidmi. Tento typ testování se nazývá sociální inženýrství.

Pentest diagram
Chci penetrační test

Dnešní online svět je plný automatizovaných a finančně motivovaných kyberútoků i na ty nejmenší společnosti a uživatele.

Spoléhat se na to, že si nás hackeři nevyberou je všeobecný omyl.

Integra penetrační testy

Máme dlouholeté zkušenosti s projekty ve velkých korporacích a bankách. 

Naše hodnoty: Pečlivost, profesionální přístup, etika a disciplína.

Jsme držitelé celosvětově uznávaných certifikací kybernetické bezpečnosti.

Kontinuálně se školíme a vzděláváme v oblasti IT Security and Ethical Hacking.

Poskytované penetrační testy

Aplikace & API

Otestujte zabezpečení vaší webové nebo mobilní aplikace. Provádíme audit bezpečnosti více než 90 oblastí zabezpečení podle metodiky OWASP.

Více informací

Infrastruktura & cloud

Otestujte zabezpečení svého perimetru z veřejné sítě, své interní sítě nebo prověřte svého cloudového poskytovatele. 

Více informací

Sociální inženýrství

Naše služba sociálního inženýrství vám pomůže odhalit a zdokumentovat potenciální slabiny mezi vašimi zaměstnanci.

Více informací

Kdy dělat penerační testy?

Máte webovou aplikaci a nejste si jisti, zda je správně zabezpečená?

Zjistěte, zda vaše IT prostředí obstojí skutečnému kybernetickému útoku.

Testy doporučujeme provádět v pravidelné frekvenci, nebo při každé větší změně jako je nová implementovaná technologie, nebo fúze infrastruktury s novou firmou.

Důvodem může být i otestování vašeho IT týmu, zda vůbec a jakým způsobem zareaguje na probíhající útok.

Pokud jste pentesty dosud nedělali a je pro vás důležitá IT bezpečnost, tak byste neměli váhat.

Více informací se dočtete v našem článku:

Článek - 6 důvodů, proč do firmy pozvat hackera

Výběr testu podle oblasti

Výběr testu záleží na předmětu testování, které se rozděluje na tři oblasti:

 

Co si musíte rozmyslet před zadáním?

Při testování aplikací:
    • Popis aplikace, screenshoty
    • Počet dynamických stránek
Při testování infrastruktury
    • Počet testovaných IP adres
    • Testované domény
Při social engineeringu
    • Počet testovaných zaměstnanců
    • Rozdílné typy kampaní nebo jedna plošná?
 
Co dalšího potřebujeme vědět?
    • Chcete poskytnout informace o prostředí, nebo máme informace jako hacker z veřejných zdrojů? (Black box / white box / grey box?)
    • Agresivita – Mají být testeři opatrní? Jak moc si mohou dovolit?
    • Produkce / testovací prostředí
    • Plánovaný termín realizace

Penetrační testování není sken zranitelností. Sken zranitelností je plně automatizovaný a nevyžaduje hackerské praktiky.

Pro ukázku jsme pro vás připravili online sken zranitelností, který můžete použít zdarma. 

Některé společnosti jej nabízí jako službu – bezpečnostní sken.

Výsledky z penetračního testování

Po provedení každého penetračního testu následuje fáze vyhodnocení, která popisuje průběh testu, popis veškerých nalezených zranitelností s ohodnocením jejich závažnosti podle klasifikace CVSS.

Jedná se o technickou část zprávy, která je určena bezpečnostním manažerům, technikům a vývojářům aplikací, kdy ke každé zranitelnosti je také dáno doporučení, jak danému problému předejít nebo ho vyřešit.

V závěru reportu naleznete manažerské shrnutí, které srozumitelným způsobem vysvětluje managementu firmy nalezené zranitelnosti a bezpečnostní mezery, jejich závažnost a cesty, jak veškeré problémy odstranit.

Manažerské shrnutí

  • Srozumitelným způsobem vysvětluje managementu firmy nalezené zranitelnosti a bezpečnostní mezery, jejich závažnost a cesty, jak veškeré problémy odstranit.

 

Technická zpráva

  • Popis prováděných testů a jejich scope
  • Vysvětlení klasifikace zranitelností
  • Popis zjištění z jednotlivých fází testů
  • Sumarizace nalezených zranitelnosti
  • Doporučení pro odstranění identifikovaných slabin a zranitelných míst
  • Závěrečné zhodnocení provedeného testu

Metody a nástroje penetračního testování

V průběhu penetračních testů dochází ke kombinaci manuálního a automatizovaného testování s ohledem na povahu testovaných systémů a aplikací. 

Pokud jsou testy prováděny v produkčním prostředí, může být míra automatizovaného testování a zásahů do produkčního systému minimalizována, aby nenapáchali zbytečné škody.

Při testování využíváme vlastních postupy, které vychází z metodik OSSTMM, OWASP, PTES a LPT. 

Během testů používáme nejčastěji linuxovou distribuci Kali linux a její nástroje: Nmap, Nikto, MetaSploit, Nessus, Hydra, OWASP ZAP, Burp Suite, John the Ripper a další. 

Penetrační tester hledá známé zranitelnosti testované platformy, na které píše a upravuje skripty na jejich exploitaci.

Kolik stojí penetrační testy?

Cena penetračních testů se průměrně pohybuje od 70.000 Kč do 350.000 Kč. Cena je ekvivalentní rozsahu a složitosti projektu. 

Jaké faktory mají vliv na cenu penetračního testování?
Rozsah:

Rozsah testování je přímo úměrný počtu assetů a jejich složitosti (IP adresy, aplikace, databáze, zařízení, API apod.).

Metodika:

Cena penetračního testování se také liší podle metodiky a komplexnosti testu. Používané metodiky mají rozdílné oblasti zaměření, které se skládají ze souborů testů. Přidání nebo odebrání konkrétních testů opět ovlivňuje náklady na penetrační testování.  

Místo provedení:

Penetrační testy webových aplikací i většinu dalších testů lze provádět mimo pracoviště. Existují však případy, kde se testují rozsáhlá a složitá prostředí. V tento moment může být návštěva na místě u zákazníka nezbytná. Onsite testy jsou také vyžadovány při penetračním testu fyzického zabezpečení.

Další služby:

Další výdaje vás čekají v případě požadované asistence při nápravě a/nebo při požadavku
na re-testování po provedených opravách.

Více informací se dočtete v našem článku.

Článek - Kolik by měl stát penetrační test?
Kontaktujte nás

Rádi s vámi zkonzultujeme vaši situaci a připravíme nezávaznou nabídku.

Můžeme Vám zaslat i ukázku naší práce – vzorový report z testu. 

Najde nás i v našich kancelářích v Praze, Brně nebo v Bratislavě.

U Sluncové 666/12a
186 00, Praha 8
Česká republika

IČO: 24216941 / DIČ: CZ24216941

info@integra.cz

+420 214 214 602

copyright © 2022
Integra Czech Republic, s.r.o.
All rights reserved

Zásady etického a protikorupčního jednání