Penetrační testování

Někdy je dobrý útok tou nejlepší obranou, a to platí především pro penetrační testování

Penetrační testování je metodický přístup k hodnocení bezpečnosti navržený k tomu, aby pomohl identifikovat zranitelnosti v infrastruktuře sítě. Ukazuje, zda a jak mohou útočníci úspěšně zneužít chyby zabezpečení v systému při reálném hackerském útoku.

Naši certifikovaní bezpečnostní experti jsou trénovaní přesně k tomu, aby zvládli uvažovat jako útočníci. Jejich úkolem je zaútočit na slabá místa ve vaší infrastruktuře sítě a získat přístup k vašim nejcennějším datům. Jakmile se jim to podaří, poskytnou podrobný report s identifikovatelnými zranitelnými místy, která jsou kategorizována podle rizik v podrobné manažerské a technické zprávě. Zpráva navíc obsahuje doporučení k minimalizaci rizika a specialista, který se na testování podílel, je k dispozici k následnému poradenství. Díky penetračnímu testování budete mít dostatek informací o tom, jak se podobnému útoku bránit v budoucnu.

Proč realizovat penetrační testování?

  • Budete znát zranitelnosti, které je možné v praxi zneužít k útoku. Díky tomu můžete cíleně investovat na oblast IT Security, kde je to nejvíce potřeba.
  • Budete přesně znát potenciální dopad reálného hackerského útoku na vaši firmu.
  • Porozumíte aktuálním útočným taktikám používaným v případě reálného hackerského útoku.
  • Firemní infrastruktura bude v souladu se zákonem o kybernetické bezpečnosti (zákon č. 181/2014 Sb.) a ISO/IEC 27001

Jak penetrační testování probíhá?

1. Diskuze s klientem o zadání, kde se specifikuje především:

    • Co přesně bude testováno?
    • Jak to bude testováno (black-box, white-box, grey-box)?
    • Jaké zdroje budou alokovány?
    • Jaká omezení budou aplikována?
    • Jaké jsou cíle penetračního testování?
    • Kdy bude celý projekt spuštěn a jak dlouho bude trvat?

2. Podepíše se smlouva s dohodou o mlčenlivosti, ochraně informací a zákazu jejich zneužití (NDA).

3. Naši certifikovaní bezpečnostní experti se řídí mezinárodními standardy a za pomoci osvědčených postupů identifikují zranitelnosti ve vaší infrastruktuře sítě. Dbají na to, aby nedošlo k ohrožení integrity vašich systémů.

4. Naši práci zahájíme hloubkovým průzkumem vaší organizace zvenčí pomocí metod Open Source Intelligence (OSINT).

5. S využitím získaných informacích pomocí OSINT průzkumu náš certifikovaný tým začne hledat způsoby, jak se dostat skrze váš externí perimetr. To mohou být například špatně zabezpečené loginy, neaktualizovaná koncová zařízení, nebo zaměstnanci zranitelní vůči metodám sociálního inženýrství. Používáme skener zranitelností Nessus Professional a další nástroje.

6. Jakmile se dostaneme do vaší sítě, začneme ji skenovat a hledat příležitosti, jak kompromitovat jednotlivá zařízení v ní připojená a tím dosáhnout našeho předem definovaného cíle.

7. Kritickým krokem k úspěchu penetrace je získat administrátorská práva kompromitovaných systémů a účtů. Díky tomu se náš tým bude moci přiblížit ke splnění zadání celého projektu.

8. Každá organizace má cenná data, která má smysl chránit. Přesně na ně se zaměří útočník, pokud bude schopný kompromitovat vaši síť. Názorně vám demonstrujeme, jak mohou být vaše cenná data ukradena a jak je nutné je chránit.

9. Získáte od nás jak manažerské shrnutí celého testování, tak i technické shrnutí s detailním popisem všech postupů. Získáte výčet všech nalezených zranitelností, hodnocení stupně jejich závažnosti a doporučená opatření k jejich eliminaci.

10. Po implementaci opatření, která povede k eliminaci zjištěných zranitelností, doporučujeme opakovat penetrační testování, aby byl stav vašeho zabezpečení aktualizován.

V případě zájmu o penetrační testování nás kontaktujte na telefonu +420 774 429 006 nebo e-mailu office@eo-security.com.

Další služby

Vyhledávání odposlechů od EO SECURITY

Vyhledávání odposlechů

Školení od EO SECURITY

Školení

Rušičky odposlechů

Šifrované volání

Menu