Skenování zranitelností

Automatizované skeny zranitelností představují rychlou a relativně levnou formu testování zranitelnosti interních systémů a webových aplikací. Při testování hodnotíme úroveň zabezpečení jednotlivých prvků proti nabourání hackery a potenciálnímu úniku dat. Výstupem skenování je seznam slabých míst s doporučením k opravě.

Certifikáty

Naši bezpečnostní experti jsou držiteli prestižních průmyslových certifikací v oblasti kybernetické bezpečnosti.

Certifikáty EO SECURITY

  • Certified Ethical Hacker CEH
  • Offensive Security Certified Professional OSCP
  • Offensive Security Wireless Professional OSWP
  • Certified ISMS Manager & Auditor (ISO 27001) TÜV AUSTRIA

Používáme kvalitní skenery jako je například Nessus Professional, OpenVas, Acunetix nebo Burp Suite. Při skenování dbáme na zachování integrity systému a zachování bezproblémového provozu. Před samotným skenem se společně domluvíme na rozsahu, termínech a souvislostech testování.

Kdo by se měl preventivně chránit

Skeny zranitelnosti jsou vhodné pro podnikatele s webovými stránkami, e-shopy, správce aplikací, veřejné organizace. Každá webová aplikace, která přijímá a shromažďuje data od uživatelů, ať už jde o prodej zboží, odesílání poptávek nebo formulářů je vystavena potenciálnímu riziku odcizení a kompromitace dat:

  • E-shopy
  • Poptávkové, komunitní, informační weby
  • Weby veřejné správy
  • Aplikace

U dynamických projektů (aplikace, e-shopy) doporučujeme realizovat pravidelné skeny zranitelností. Jen díky nim budete mít jistotu, že je aplikace nebo web dobře zabezpečené a nehrozí komplikace s únikem dat. Budete vědět o slabých místech a rizicích ještě dříve, než se aktualizovaná verze dostane k široké veřejnosti.

Jaká data jsou v ohrožení

Při existenci slabých míst a nedostatečném zabezpečení systému se provozovatel webu nebo aplikace vystavuje riziku úniku a zneužití dat. S tím samozřejmě souvisí i následné zákonné postihy, risk v podobě ztráty důvěry uživatelů, poškození jména, značky a finanční ztráty.

Citlivá data reprezentují jakékoliv informace, které probíhají v neveřejné komunikaci. Terčem hackerů se tak mohou stát třeba čísla kreditních karet, kontakty nebo soukromé zprávy:

  • Jména a příjmení osob, rodná čísla, bydliště
  • E-mailové kontakty, telefonní čísla
  • Obsahy zpráv z formulářů, e-maily
  • Přihlašovací údaje a hesla
  • Čísla kreditních karet
  • Objednávané zboží

Únik těchto informací může znamenat vážné důsledky nejen pro samotné uživatele, ale také pro vás, jako příjemce těchto dat.

Rozdíl mezi skeny a pokročilými pentesty

Možná jste se již setkali s nabídkou “penetračního testování” za velmi slušné peníze. Penetrační testování píšeme v uvozovkách, protože levná a rychlá realizace v tomto směru často neznamená skutečné komplexní penetrační testování. Ve skutečnosti jde o skeny zranitelnosti systému.

  • Pentesty jsou mnohem důkladnější a pracnější
  • Testování provádí zkušený a certifikovaný specialista

Levné a rychlé automatizované skeny nemohou nikdy obsáhnout všechny možnosti, jak napadnout systém. Identifikace slabých míst ICT systému není z těchto skenů plně vypovídající. Často je nutné využít vzájemnou kombinaci jednotlivých zranitelností, používat reverzní inženýrství nebo fuzzing protokolů.

Oproti tomu během penetračního testování testujeme vzájemnou kombinaci jednotlivých zranitelností s cílem je reálně exploitovat, můžeme využívat i pokročilé techniky jako je například reverzní inženýrství a fuzzing protokolů. Pomocí specializovaných nástrojů a technik zkoumáme systémové prostředí, detekujeme zranitelnosti a reálně testujeme zabezpečení infrastruktury jako by to dělal skutečný hacker.

Scan zranitelností

Penetrační testování

Účel

Analýza a hodnocení zranitelností systému

Analýza způsobů zranitelnosti systému, prolomitelnosti bezpečnostních opatření

Metody

Automatické nástroje (vzdáleně)

Manuální testování, semi-automatické testování a automatizované testování (vzdáleně i onsite)

Výstup

Seznam rizik s obecným hodnocením zranitelností

Podrobný popis všech zranitelností a zneužitelností s manuálním exploitováním za účelem ověření reálné zneužitelnosti útočníkem. Specifikace rizik a metod zneužití s návrhem zlepšení zabezpečení.

Náročnost

Hodiny

Dny/týdny

Míra testování skutečné zranitelnosti

Střední

Vysoká

Nejlepší ochranou dat je prevence

Při penetračním testování simulujeme chování hackerů – útočíme na slabá místa v infrastruktuře s cílem získat kompletní přístup. Výstupem pentestů je podrobný report zranitelných míst, která jsou kategorizována podle rizik v podrobné manažerské a technické zprávě.

  • Podrobný report zranitelností systému
  • Podklad pro alokace financí na zabezpečení systému
  • Odhad důsledků potenciálního hackerského útoku na firmu

Zpráva navíc obsahuje doporučení k minimalizaci rizika a specialista, který se na testování podílel, je vám k dispozici k následnému poradenství. Díky penetračnímu testování máte dostatek informací o tom, jak se podobnému útoku bránit v budoucnu.

Máte zájem o scan zranitelností (nebo penetrační testování)?

Provádíme jak základní scan zranitelností, tak pokročilé komplexní penetrační testování systémů.

V případě zájmu nás kontaktujte na telefonu +420 774 429 006 nebo e-mailu office@eo-security.com.

Uveďte prosím:

  • Jméno a pozici ve firmě
  • Telefonní kontakt
  • Název firmy
  • Stručný popis toho, co poptáváte
  • URL web/název aplikace

Další služby

Penetrační testování

Sociální inženýrství

Sociální inženýrství

Testování Wi-Fi sítí

Testování Wi-Fi sítí

Šifrovaný telefon

Rušičky odposlechů

Šifrovaný disk

Vyhledávání odposlechů

Menu