Penetrační testování

Penetrační testování (pentest) slouží k odhalení slabých míst v rámci ICT sítě, které by mohly být potenciálním zdrojem úniku dat, napadení ze strany hackerů. Díky pentestům zjistíte, kde je třeba provést zabezpečení a jakým způsobem. Budete tak mít jistotu, že vaše data jsou pod kontrolou a chráněna proti úniku a zneužití.

Komplexní testování zabezpečení systému

Penetrační testy jsou časově i finančně náročnější než jednodušší a levnější skeny zranitelnosti. Díky pentestům jsme schopni komplexně zhodnotit zabezpečení celého systému, testováním vyhovíte normě ISO 27001.

Co můžete očekávat od pentestů:

  • Získání informací o aktuálním stavu zabezpečení organizace
  • Hloubkové testování stejnými technikami, které by byly použité při reálném útoku
  • Identifikace všech zranitelností v síťové infrastruktuře a webových aplikacích
  • Efektivní alokace prostředků do IT security
  • Splnění normy ISO 27001 dle zákona o kybernetické bezpečnosti

Při penetračním testování zkoumáme možnosti kompromitace systému, prolomení bezpečnostních opatření nebo snížení jejich účinnosti. Simulujeme reálné jednání hackerů, identifikujeme slabá místa, která je možné exploitovat a stanovíme doporučení k nápravě.

Certifikáty

Naši bezpečnostní experti jsou držiteli prestižních průmyslových certifikací v oblasti kybernetické bezpečnosti

Certifikáty EO SECURITY

  • Certified ISMS Manager & Auditor (ISO 27001) TÜV AUSTRIA
  • Offensive Security Certified Professional OSCP
  • Offensive Security Wireless Professional OSWP
  • Certified Ethical Hacker CEH

Řídíme se mezinárodními standardy pro penetrační testování (OWASP, OSSTMM). Identifikujeme zranitelnosti, které je možné exploitovat za účelem dosažení předem stanoveného cíle. Dbáme na to, aby nedošlo k ohrožení integrity vašich systémů.

Jak probíhají penetrační testy?

1. Společná diskuze o projektu, cílech a výstupech

Na setkání si specifikujeme:

  • Předmět a způsob testování
    • Penetrační testy nebo základní sken zranitelností
    • Testování webových aplikací nebo firemní infrastruktury
  • Jaké penetrační testování vybrat?
    • Během penetračního testu je penetračnímu testerovi k dispozici stanovené množství informací o systémech. Rozsah dostupných informací se různí – od žádných informací (tzv. Black box test) až po kompletní dokumentaci (tzv. White box test). Vše mezi těmito dvěma přístupy se nazývá Greybox test
  • Kolik stojí penetrační testování?
    • Výdaje na penetrační testy se pohybují v rozmezí od jednoho do několika desítek MD (man day). O ceně rozhodují dva faktory: kritičnost a složitost systémů. Čím složitější a kritičtější je infrastruktura klienta, tím bude projekt časově náročnější.
  • Omezení v době testování
  • Cíle a výstupy pentestů
  • Termín a doba testování

2. NDA (dohoda o mlčenlivosti)

Podpis smlouvy s dohodou o mlčenlivosti, ochraně informací a zákazu jejich zneužití (NDA).

3. Hloubkové a komplexní testování

Na základě získaných informací budeme hledat cesty, jak se například dostat skrze externí perimetr. Slabým místem mohou být například špatně zabezpečené loginy, neaktualizovaná koncová zařízení, nebo zaměstnanci zranitelní vůči metodám sociálního inženýrství. Kritickým krokem je získat administrátorská práva kompromitovaných systémů a účtů pomocí metod privilege escalation.

4. Demonstrace slabých míst systému

Názorně vám ukážeme, jak může dojít k proniknutí do systému, a jak je nutné jej chránit.

5. Report a doporučení

Získáte manažerské shrnutí celého testování a také technické shrnutí s detailním popisem všech postupů (výčet všech nalezených zranitelností, hodnocení stupně jejich závažnosti a doporučená opatření k jejich eliminaci, použité exploity, zdrojové kódy skriptů, metody privilege escalation a další).

6. Implementace a kontrola

Po zavedení potřebných opatření doporučujeme opakovat penetrační testování pro aktualizaci výsledného stavu úrovně zabezpečení.

Máte zájem o penetrační testování?

V případě zájmu o penetrační testování nás kontaktujte na telefonu +420 774 429 006 nebo e-mailu office@eo-security.com.

Uveďte prosím:

  • Jméno a pozici ve firmě
  • Telefonní kontakt
  • Název firmy
  • Stručný popis toho, co poptáváte

Co bude následovat

1. Setkání a nastavení pravidel

Domluvíme se na společném setkání, abychom zjistili, jestli nám bude vzájemná spolupráce oboustranně vyhovovat. Nastavíme společně pravidla zapojení obou stran a cíle, kterých je požadované dosáhnout.

2. Analýza a report

Analyzujeme komplexně váš systém proti napadení a přístupu nepovolaných uživatelů. Po skončení testování zpracujeme výslednou zprávu, ve které najdete seznam slabých míst a podrobnou ukázku toho, jak došlo k jejich exploitáži. Doporučení k zesílení zabezpečení konkrétních prvků.

3. Implementace

Po skončení penetračního testování s vámi budeme v kontaktu, abychom měli jistotu, že všem výsledkům správně rozumíte a dokážete podniknout všechny kroky, které budou nutné k nápravě.

 

Další služby

Skan zranitelností

Skenování zranitelností

Sociální inženýrství

Sociální inženýrství

Testování Wi-Fi sítí

Testování Wi-Fi sítí

Šifrovaný telefon

Rušičky odposlechů

Šifrovaný disk

Vyhledávání odposlechů

Menu