Automatizované skeny zranitelností představují rychlou a relativně levnou formu testování zranitelnosti interních systémů a webových aplikací. Při testování hodnotíme úroveň zabezpečení jednotlivých prvků proti nabourání hackery a potenciálnímu úniku dat. Výstupem skenování je seznam slabých míst s doporučením k opravě.
Certifikáty
Naši bezpečnostní experti jsou držiteli prestižních průmyslových certifikací v oblasti kybernetické bezpečnosti.
- Certified Ethical Hacker CEH
- Offensive Security Certified Professional OSCP
- Offensive Security Wireless Professional OSWP
- Certified ISMS Manager & Auditor (ISO 27001) TÜV AUSTRIA
Používáme kvalitní skenery jako je například Nessus Professional, OpenVas, Acunetix nebo Burp Suite. Při skenování dbáme na zachování integrity systému a zachování bezproblémového provozu. Před samotným skenem se společně domluvíme na rozsahu, termínech a souvislostech testování.
Kdo by se měl preventivně chránit
Skeny zranitelnosti jsou vhodné pro podnikatele s webovými stránkami, e-shopy, správce aplikací, veřejné organizace. Každá webová aplikace, která přijímá a shromažďuje data od uživatelů, ať už jde o prodej zboží, odesílání poptávek nebo formulářů je vystavena potenciálnímu riziku odcizení a kompromitace dat:
- E-shopy
- Poptávkové, komunitní, informační weby
- Weby veřejné správy
- Aplikace
U dynamických projektů (aplikace, e-shopy) doporučujeme realizovat pravidelné skeny zranitelností. Jen díky nim budete mít jistotu, že je aplikace nebo web dobře zabezpečené a nehrozí komplikace s únikem dat. Budete vědět o slabých místech a rizicích ještě dříve, než se aktualizovaná verze dostane k široké veřejnosti.
Jaká data jsou v ohrožení
Při existenci slabých míst a nedostatečném zabezpečení systému se provozovatel webu nebo aplikace vystavuje riziku úniku a zneužití dat. S tím samozřejmě souvisí i následné zákonné postihy, risk v podobě ztráty důvěry uživatelů, poškození jména, značky a finanční ztráty.
Citlivá data reprezentují jakékoliv informace, které probíhají v neveřejné komunikaci. Terčem hackerů se tak mohou stát třeba čísla kreditních karet, kontakty nebo soukromé zprávy:
- Jména a příjmení osob, rodná čísla, bydliště
- E-mailové kontakty, telefonní čísla
- Obsahy zpráv z formulářů, e-maily
- Přihlašovací údaje a hesla
- Čísla kreditních karet
- Objednávané zboží
Únik těchto informací může znamenat vážné důsledky nejen pro samotné uživatele, ale také pro vás, jako příjemce těchto dat.
Rozdíl mezi skeny a pokročilými pentesty
Možná jste se již setkali s nabídkou “penetračního testování” za velmi slušné peníze. Penetrační testování píšeme v uvozovkách, protože levná a rychlá realizace v tomto směru často neznamená skutečné komplexní penetrační testování. Ve skutečnosti jde o skeny zranitelnosti systému.
- Pentesty jsou mnohem důkladnější a pracnější
- Testování provádí zkušený a certifikovaný specialista
Levné a rychlé automatizované skeny nemohou nikdy obsáhnout všechny možnosti, jak napadnout systém. Identifikace slabých míst ICT systému není z těchto skenů plně vypovídající. Často je nutné využít vzájemnou kombinaci jednotlivých zranitelností, používat reverzní inženýrství nebo fuzzing protokolů.
Oproti tomu během penetračního testování testujeme vzájemnou kombinaci jednotlivých zranitelností s cílem je reálně exploitovat, můžeme využívat i pokročilé techniky jako je například reverzní inženýrství a fuzzing protokolů. Pomocí specializovaných nástrojů a technik zkoumáme systémové prostředí, detekujeme zranitelnosti a reálně testujeme zabezpečení infrastruktury jako by to dělal skutečný hacker.
Scan zranitelností | Penetrační testování |
|
|---|---|---|
Účel | Analýza a hodnocení zranitelností systému | Analýza způsobů zranitelnosti systému, prolomitelnosti bezpečnostních opatření |
Metody | Automatické nástroje (vzdáleně) | Manuální testování, semi-automatické testování a automatizované testování (vzdáleně i onsite) |
Výstup | Seznam rizik s obecným hodnocením zranitelností | Podrobný popis všech zranitelností a zneužitelností s manuálním exploitováním za účelem ověření reálné zneužitelnosti útočníkem. Specifikace rizik a metod zneužití s návrhem zlepšení zabezpečení. |
Náročnost | Hodiny | Dny/týdny |
Míra testování skutečné zranitelnosti | Střední | Vysoká |
Nejlepší ochranou dat je prevence
Při penetračním testování simulujeme chování hackerů – útočíme na slabá místa v infrastruktuře s cílem získat kompletní přístup. Výstupem pentestů je podrobný report zranitelných míst, která jsou kategorizována podle rizik v podrobné manažerské a technické zprávě.
- Podrobný report zranitelností systému
- Podklad pro alokace financí na zabezpečení systému
- Odhad důsledků potenciálního hackerského útoku na firmu
Zpráva navíc obsahuje doporučení k minimalizaci rizika a specialista, který se na testování podílel, je vám k dispozici k následnému poradenství. Díky penetračnímu testování máte dostatek informací o tom, jak se podobnému útoku bránit v budoucnu.
Máte zájem o scan zranitelností (nebo penetrační testování)?
Provádíme jak základní scan zranitelností, tak pokročilé komplexní penetrační testování systémů.
V případě zájmu nás kontaktujte na telefonu +420 774 429 006 nebo e-mailu office@eo-security.com.
Uveďte prosím:
- Jméno a pozici ve firmě
- Telefonní kontakt
- Název firmy
- Stručný popis toho, co poptáváte
- URL web/název aplikace
