Testy penetracyjne

Bezpieczeństwo znamy na tyle na ile zostało ono sprawdzone. Testy penetracyjne pozwalają sprawdzić rzeczywisty poziom bezpieczeństwa systemów IT czy ochrony informacji. Ponadto testy penetracyjne umożliwiają identyfikację konkretnych zagrożeń, które mogą doprowadzić do wycieku danych, utraty dostępności czy nieuprawnionej modyfikacji danych przez intruzów. Różnica pomiędzy testem penetracyjnym a rzeczywistym atakiem jest taka, że nad testem, który czasem też nazywamy ethical hacking, mamy całkowitą kontrolę, a Państwa informacje pozostają chronione. Jest to o wiele bezpieczniejsza forma testowania bezpieczeństwa aplikacji, sieci czy systemów niż poddawanie ich niekontrolowanym testom przeprowadzanym przez intruzów codziennie w sieci Internet.

 

Istotną rolą testów penetracyjnych jest weryfikacja rzeczywistego zagrożenia powodowanego przez zidentyfikowane podatności oraz precyzyjne dostosowanie rekomendacji, tak aby w rezultacie efektywnie podnieść bezpieczeństwo testowanych systemów, koncentrując się na eliminacji najistotniejszych i tych realnych zagrożeń.

 

W Pentesters wykonując testy penetracyjne opieramy się na stworzonych przez światowych ekspertów standardach  oraz metodykach takich jak np. OWASP ASVS, OSSTMM, PCI DSS, wytycznych ISO27001 czy zaleceniach NIST. Najistotniejszym elementem jest jednak wieloletnie doświadczenie i praktyka w codziennym realizowaniu tego typu usług. To ten ostatni element pozwala w sposób efektywny i rzetelny weryfikować bezpieczeństwo Państwa systemów.

 

Dla zapewnienia jeszcze większego bezpieczeństwa realizowanych usług stawiamy na rzetelne przygotowanie naszych ekspertów, którego elementem są również certyfikaty branżowe, m.in. takie jak:

  • eMAPT – eLearn Security Mobile Application Penetration Tester
  • Offensive Security Certified Professional (OSCP)
  • OSSTMM Professional Security Tester (OPST)
  • GIAC Web Application Penetration Tester (GWAPT)
  • Certified Information Security Manager (CISM)
  • Certified Information Systems Auditor (CISA)
  • Certified Information Systems Security Professional (CISSP)
  • eWPTX – eLearn Security Advanced Web Application Penetration Tester
  • Offensive Security Certified Expert (OSCE)
Testy penetracyjne

Rodzaje testów penetracyjnych

Testy penetracyjne zwykle rozumie się przez naśladowanie rzeczywistych prób ataku w celu identyfikacji słabych punktów, czyli podatności. Głównym wyróżnikiem rodzajów testów jest więc to co determinuje możliwości atakujących w rzeczywistych warunkach, a więc czas jaki mogą poświęcić, miejsce, z którego mogą przeprowadzić atak i umiejętności jakie posiadają.

Dzięki zróżnicowanemu doświadczeniu i umiejętnością naszych ekspertów jesteśmy w stanie zapewnić maksymalny możliwy poziom kompetencji jakie są w stanie posiadać intruzi. Dzięki doświadczeniu w realizacji testów jesteśmy w stanie zapewnić maksymalnie efektywne wykorzystanie czasu przeznaczonego na testy. Natomiast wyznaczenie poziomu startowego jak i poziomu głębokości penetracji  należy już do Państwa.

col2

Nasze usługi testów bezpieczeństwa systemów IT dzielimy standardowo na kategorie:

Testy penetracyjne Basic wykonywane są w modelu hybrydowym. Semi-automatyczne narzędzia do skanowania wykorzystywane są w połączeniu z wiedzą i doświadczeniem eksperta je obsługującego. Aplikacja testowana jest w pełnym zakresie funkcjonalnym widzianymi z perspektywy użytkownika anonimowego oraz zalogowanego. Testy wykonywane są w odniesieniu do pełnego zakresu podatności możliwych do zidentyfikowania dla danego typu aplikacji.
Testy Standard wykonywane ze szczególnym naciskiem na manualną weryfikację wszystkich istotnych dla bezpieczeństwa aplikacji obszarów. Testowane systemy poddawane są szczegółowej analizie pod kątem możliwych zagrożeń na poziomie sieci, systemów, oprogramowania pomocniczego oraz samej aplikacji. Analiza ta w połączeniu z hybrydowym modelem testów pozwala na identyfikację nawet najbardziej subtelnych czy specyficznych dla danego systemu zagrożeń
Testy Advanced w tym modelu są najpełniejszym odzwierciedleniem idei white-box. Nie tylko są szczególnie dokładne dzięki maksymalnemu dostępowi do testowanych systemów, w tym wykorzystaniu analizy kodu oraz analizy logów, ale zawierają opcje ciągłego wsparcia w zakresie bezpieczeństwa dzięki wdrożeniu i obsłudze usługi cyklicznego skanowania aplikacji oraz infrastruktury.

Raporty z testów

Dostarczane przez nas raporty pozwalają na samodzielne odtworzenie oraz zweryfikowanie zidentyfikowanych podatności. Podatności opatrzone są rzetelnie określonym stopniem zagrożenia oraz rekomendacjami pozwalającymi na wyeliminowanie zagrożenia w możliwie skuteczny i efektywny sposób. Wszystkie nasze raporty zawierają:

  • Listę zidentyfikowanych podatności wraz z rekomendacjami
  • Scoring zidentyfikowanych podatności wg CVSS
  • Odniesienia do bazy CVE dla podatności zidentyfikowanych w trakcie testów
  • Opcjonalne mapowanie zidentyfikowanych podatności na OWASP Top10 lub ASVS
  • Podsumowanie, dzięki któremu raport będzie będzie czytelny nie tylko dla specjalistów

Wsparcie i re-testy

Po dostarczeniu raportu z testów jesteśmy nadal odpowiedzialni za dostarczone informacje o podatnościach oraz gotowi do wsparcia w ich eliminacji. Usługa wsparcia przy eliminacji zidentyfikowanych zagrożeń polegająca na udzielaniu konsultacji eksperckich oraz wykonywaniu re-testów wprowadzonych poprawek świadczona jest bez ograniczeń w postaci ilości re-testów czy godzin konsultacji eksperckich. Cała nasza wiedza służy nadal podniesieniu bezpieczeństwa Państwa systemów.

Etapy testów penetracyjnych

Testy penetracyjne to zestandaryzowany, a jednocześnie kreatywny proces. Zadaniem zespołu testującego jest w jak największym stopniu odkryć podatności testowanego systemu czy aplikacji w wyznaczonym czasie i przy wyznaczonych zasobach. I w tym obszarze wymagana jest precyzyjna koordynacja, ścisła współpraca oraz podążanie za wyznaczonymi standardami i metodami działania. Aktywności poszczególnych testerów to jednak proces wysoce kreatywny. Choć nasi testerzy odnoszą się  do praktyk i standardów to jednak ich własna kreatywność jest największym czynnikiem wpływającym na jakość oraz ilość zidentyfikowanych podatności.

W każdym projekcie możemy wyróżnić ogólne etapy testów penetracyjnych:

  • Ustalenie zakresu testów
  • Wykonanie wstępnej analizy i rozpoznania przedmiotu testów
  • Identyfikacja podatności
  • Weryfikacja i exploitowanie zidentyfikowanych podatności
  • Opracowanie rekomendacji oraz raportowanie

 

col2

Dlaczego Pentesters

Referencje