Penetrační testy

 

Simulace reálného hackerského útoku

Vykonáváme profesionální penetrační testy webových aplikací, e-shopů, serverů, lokálních sítí a další IT služby zaměřené na bezpečnost nebo provoz informačních a komunikačních technologií.


Penetrační test

Penetrační test (nazývaný také ethical hacking) simuluje reálný průnik do systémů nebo aplikací s cílem odhalit bezpečnostní zranitelnosti a jiné slabiny.
Externí penetrační test simuluje obvykle reálný útok anonymního útočníka z internetu, naproti tomu interní penetrační test odkrývá slabiny umožňující odcizení, neautorizovaný přístup či poškození citlivých dat organizace z pohledu zaměstnanců dané společnosti. 1

Každý den se na světě objevují stovky nových zranitelností a jsou odhaleny tisíce bezpečnostních incidentů. Jelikož je oblast IT bezpečnosti velmi rozsáhlá a rychle se rozvíjí, bývá obtížné ji pokrýt z interních zdrojů. Většina organizací proto volí bezpečnostní ověření (například penetračním testem) tretí nezávislou stranou, která sa na oblast IT bezpečnosti úzce specializuje.

Proč se rozhodnout pro penetrační test

Kromě primárního cílu - odhalit co najvíce vážných zranitelností a ověřit odolnost vůči cílenému průniku, mohou výsledky penetračního testu pomoci při vzdělávání vývojářů a správců systémů, či jiných zaměstnanců.
Testování webových stránek pomocí penetračního testu dokáže prověřit také:

  • kvalitu testovaného kódu z hlediska bezpečnosti,
  • bezpečnost konfigurace aplikace - serveru,
  • odolnost vůči (D)DOS útokům,
  • nastavení monitorování a zálohování,
  • možnost phishingu, XSS, CSRF zranitelností,
  • logování a vyhodnocování incidentů,
  • zabezpečení databází, náchylnost na časté "SQL injection" zranitelnosti,
  • úroveň heslové politiky, autentifikačních a autorizačních mechanizmů a další.

Penetrační test nebo bezpečnostní audit?

Penetrační test bývá, narozdíl od bezpečnostního auditu, časově omezený a sleduje jediný cíl - demonstraci průniku. Bezpečnostní audit bývá komplexnější a úplnější (sleduje striktní metodologii) a jeho cílem je celkové posouzení stavu bezpečnosti předmětu auditu.

Pro porovnání uvádíme přehled vlastností penetračních testů a auditů webových aplikací, které vykonáváme.

Přehled vlastností a rozdílů vykonávaných penetračních testů a auditů
  Základní penetrační
test webové
aplikace
Standardní penetrační
test webové
aplikace
Detailní bezpečnostní audit webové aplikace
Délka testování 1 den 3-4 dny 2-4 týdny
Rozsah testu 1 webová aplikace
 / server
1 webová aplikace
 / server
1 webová aplikace
/ server
Manuální kontrola ano ano ano
Manažerské shrnutí ano ano ano
Praktická "hackerská ukázka" ne ne ano
Schůzka s vývojáři ne ne ano
Omezení Bez obmezení Bez obmezení Bez obmezení

Společnost Nethemba

Jsme tým IT specialistů s mnohaletými zkušenostmi v oblasti bezpečnosti. Specializujeme se primárně na bezpečnost webových aplikací, serverů a penetrační testy.

Jako jediní na Slovensku a v Čechách nabízíme bezpečnostní audity RFID technologiíSAP systémů. Zároveň se věnujeme bezpečnostnímu výzkumu, aktivně působíme v rámci projektu OWASP, přednášíme na bezpečnostních konferencích po celém světě.

Proč si vybrat právě nás?

Přístup

Naší firemní filosofií je důvěra, spolehlivost, profesionalita a rádi Vám pomůžeme s problémy či řešeními týkajícími se bezpečnosti.

Reference

Mezi naše klienty patří státní instituce, banky, ale i webové portály a firmy s různou IT infrastrukturou. Seznam referencí.

Certifikace

 

Vybrané služby v oblasti penetračního testování

Základní penetrační test

Test je proveden použitím našich specializovaných automatizovaných komerčních a opensource nástrojů. Existence všech vysoce-kritických zranitelností je ověřena manuálně. Na volbu nejvhodnějších nástrojů pro testování zranitelností webové aplikace a serveru využíváme naše dlouholeté know-how v oblasti bezpečnosti webových aplikací.
Čas testování: 1 den


Standardní penetrační test webové aplikace a webového serveru

Cílem rychlého standardního testu je odhalit během 3 dní co nejvíce co  nejkritičtějších zranitelností ve webové aplikaci a webovém serveru, najít způsob jejich zneužití a je-li to možné, získat privilegovaný přístup.

Čas testování: 3-4 dny 


Detailní bezpečnostní audit webové aplikace a webového serveru

Cílem detailního bezpečnostního auditu webové aplikace a webového serveru je co najdůkladneji a najdetailněji otestovat webovou aplikaci a webový server.
Test je velmi podrobný a realizovaný podle testovací příručky OWASP.

Čas testování: 2-4 týdny


Penetrační test intranetu

Test je realizovaný jak z pohledu potenciálního anonymního útočníka, který má fyzický přístup do interní sítě bez přístupu do Active Directory (AD), tak z pohledu běžného zaměstnance společnosti (s přístupem do AD).

 

Kontakt

Dohodněte si s námi schůzku, případně se zeptejte, co Vás zajímá, a my se Vám v nejbližší možné době ozveme.