Testy penetracyjne
Niektórzy eksperci uważają, że bezpieczeństwo systemów informacyjnych znamy na tyle na ile zostało ono sprawdzone. Testy penetracyjne pozwalają sprawdzić rzeczywisty poziom ochrony informacji. Ponadto testy penetracyjne umożliwiają identyfikację zagrożeń, które mogą doprowadzić do wycieku danych, utraty dostępności czy awarii sieci informatycznej. Różnica pomiędzy testem penetracyjnym a rzeczywistym atakiem jest taka, że nad tzw. ethical hacking mamy całkowitą kontrolę, a Państwa informacje pozostają chronione.
Rodzaje testów penetracyjnych
Testy penetracyjne zwykle rozumie się przez naśladowanie rzeczywistych prób ataku w celu identyfikacji słabych punktów, czyli podatności. Oceniają bezpieczeństwo danych w systemach informatycznych. Istotną rolą testów penetracyjnych jest weryfikacja rzeczywistego zagrożenia powodowanego przez te podatności. Dzięki stworzonymi przez światowych ekspertów metodykami oraz wypracowanymi własnymi procedurami jesteśmy w stanie zaoferować różne profile testów odpowiadając Państwa konkretnym potrzebom.
Wykonujemy takie testy bezpieczeństwa serwerów i znajdujących się na nich danych, jak:
- Standardowe penetracyjne testy bezpieczeństwa systemów IT z wykorzystaniem ogólnodostępnych metodyk (m. in. OWASP ASVS) oraz szerokiego wachlarza profesjonalnych narzędzi, zarówno komercyjnych, publicznie dostępnych jak i własnych,
- Penetracyjne testy bezpieczeństwa aplikacji o ograniczonym zakresie nastawione na jej weryfikację pod kątem wyszczególnionych podatności, np. o zadanym poziomie OWASP ASVS lub OWASP TOP10. Zwykle zadaniem tych audytów jest eliminacja najistotniejszych podatności oraz ogólna ocena poziomu ochrony aplikacji,
- Cykliczne, penetracyjne testy bezpieczeństwa sieci i serwerów mające na celu monitorowanie poziomu ochrony aplikacji oraz infrastruktury IT, głównie z wykorzystaniem automatycznych narzędzi skanujących.
- Testy In-depth będące najwierniejszym odzwierciedleniem rzeczywistego ataku, z reguły obejmujące bezpieczeństwo systemów informatycznych jako całości, włącznie z wykorzystaniem socjotechnik.
- Testy w modelu success fee, w których wartość wynagrodzenia jest zależna od osiągniętych rezultatów np. ilości zidentyfikowanych podatności lub uzyskania dostępu do określonych danych.
Testowane technologie i systemy
Każdą sieć informatyczną można sprowadzić do ciągu „zer” i „jedynek”. Ten fakt połączony z fundamentalną wiedzą dotyczącą ochrony informacji oraz szerokim wieloletnim praktycznym doświadczeniem pozwala naszym ekspertom bardzo dobrze odnajdywać się w większości popularnych technologii.
Bezpieczeństwo informacji oraz systemów podczas testów
Pomijając opinię, że systemy publicznie dostępne są i tak nieustannie poddawane „testom” z całym przekonaniem możemy stwierdzić, że testy bezpieczeństwa wykonywane zgodnie z naszymi procedurami pozwalają ograniczyć ryzyko do niezbędnego minimum. Zarówno w audytach przeprowadzanych na środowiskach nieprodukcyjnych jak i produkcyjnych ochrona Państwa informacji jest dla nas priorytetem.
Dlaczego Pentesters
Firma Pentesters jest od początku rozwijana i kierowana przez aktywnych zawodowo konsultantów IT, głównie z obszaru ochrony informacji. Od 2007 roku wykonaliśmy audyt bezpieczeństwa informatycznego dla setek instytucji publicznych oraz firm z każdego sektora gospodarki, podczas których zidentyfikowaliśmy tysiące podatności i ochroniliśmy wiele systemów. W budowaniu zespołu stawiamy na wiedzę ekspercką, wypracowane standardy i jakość usługi. Staramy się zawsze sprostać Państwa oczekiwaniom.

