Penetrační testování

Nejlepší obranou je útok

Naši certifikovaní bezpečnostní experti (Certified Ethical Hacker CEH, Offensive Security Certified Professional OSCP) jsou školeni k tomu, aby dokázali uvažovat jako reální útočníci. Jejich úkolem je zaútočit na slabá místa v infrastruktuře klienta a získat do ní kompletní přístup. Jakmile se jim to podaří, vypracují podrobný report s identifikovanými zranitelnými místy, která jsou kategorizována podle rizik v podrobné manažerské a technické zprávě. Zpráva navíc obsahuje doporučení k minimalizaci rizika a specialista, který se na testování podílel, je klientovi k dispozici k následnému poradenství. Díky penetračnímu testování má klient dostatek informací o tom, jak se podobnému útoku bránit v budoucnu. 

Proč provádět penetrační testování?

  • Klient bude znát zranitelnosti, které je možné v praxi zneužít k útoku. Díky tomu může cíleně investovat na oblast IT security, kde je to nejvíce potřeba. 
  • Bude přesně znát potenciální dopad reálného hackerského útoku na firmu. 
  • Bude seznámen s aktuálními útočnými taktikami používanými v případě reálného hackerského útoku. 
  • Firemní infrastruktura bude v souladu se zákonem o kybernetické bezpečnosti (zákon č. 181/2014 Sb.) a ISO/IEC 27001 

Jak penetrační testování probíhá?

  1. Diskuze s klientem o zadání, kde se specifikuje především:
  • Co přesně bude testováno?
    • Má klient zájem o penetrační testování nebo pouze o sken zranitelností?
    • Budou se testovat webové aplikace nebo firemní infrastruktura?
  • Jak to bude testováno?
    • Black-box
    • White-box
    • Grey-box
  • Jaké zdroje budou alokovány?
  • Jaká omezení budou aplikována?
  • Jaké jsou cíle penetračního testování?
  • Kdy bude celý projekt spuštěn a jak dlouho bude trvat?
  1. Podepsání smlouvy s dohodou o mlčenlivosti, ochraně informací a zákazu jejich zneužití (NDA).
  2. Naši certifikovaní bezpečnostní experti se řídí mezinárodními standardy pro penetrační testování (OWASP, OSSTMM) a identifikují zranitelnosti, které je možné exploatovat za účelem dosažení předem specifikovaného cíle. Dbají na to, aby nedošlo k ohrožení integrity systémů klienta.
  3. Práce je zahájena hloubkovým průzkumem organizace klienta pomocí metod Open Source Intelligence (OSINT) a to jak pasivně, tak i aktivně.
  4. S využitím získaných informací pomocí OSINT průzkumu náš certifikovaný tým začne hledat cesty, jak se dostat skrze externí perimetr klienta. To mohou být například špatně zabezpečené loginy, neaktualizovaná koncová zařízení, nebo zaměstnanci zranitelní vůči metodám sociálního inženýrství. Kritickým krokem je získat administrátorská práva kompromitovaných systémů a účtů pomocí metod privilege escalation.
  5. Každá organizace má cenná data, která má smysl chránit. Přesně na ně se zaměří útočník, pokud bude schopný kompromitovat vaši síť. Názorně klientovi demonstrujeme, jak mohou být jeho cenná data ukradena a jak je možné je chránit.
  6. Klient od nás získá manažerské shrnutí celého testování a také technické shrnutí s detailním popisem všech postupů (výčet všech nalezených zranitelností, hodnocení stupně jejich závažnosti a doporučená opatření k jejich eliminaci, použité exploity, zdrojové kódy skriptů, metody privilege escalation a další).
  7. Po implementaci opatření, která povede k eliminaci zjištěných zranitelností, doporučujeme opakovat penetrační testování, aby byl stav zabezpečení aktualizován.

V případě zájmu o penetrační testování nás kontaktujte na telefonu +420 774 429 006 nebo e-mailu office@eo-security.com. 

Další služby

Vyhledávání odposlechů

Rušičky odposlechů

Hardware

Školení

Menu