Testy penetracyjne (testy bezpieczeństwa IT)

Przeprowadzimy kontrolowany atak na system teleinformatyczny w firmie (np: aplikacje typu strona internetowa, sklep internetowy, CRM, ERP itp.) mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.

Korzyści z przeprowadzonych testów: 

Przygotujemy pełny raport zawierający informacje o odnalezionych lukach bezpieczeństwa/podatnościach wraz z rekomendacją planu naprawczego.

Odnalezione w sposób kontrolowany (jakim są testy penetracyjne) podatności pozwolą na zmniejszenie ryzyka utraty/niekontrolowanego wypływu danych, oraz wskażą możliwe źródła potencjalnych problemów wizerunkowych.

 

Testy bezpieczeństwa aplikacji webowych polegają na:

1. Testy zewnętrzne, z sieci Internet: 

  • wykonaniu rekonesansu na temat Zamawiającego na podstawie publicznych informacji (adresacja IP, OSINT – biały wywiad),
  • skanowaniu podatności w odnalezionych usługach sieciowych celem sprawdzenia bezpieczeństwa usług takich jak:
    • serwery aplikacyjne 
    • strony Internetowe 
    • inne usługi (zdalny dostęp dla pracowników/partnerów zewnętrznych – np. usługi VPN, serwery do wymiany plików, inne usługi dostępne w sieci Internet itp). 

  • Próba:
    • przejęcia kontroli nad odnalezionymi systemami celem eskalacji ataku na pozostałe urządzenia stanowiące własność Zamawiającego,
    • ominięcia mechanizmów kontrolnych (np. ekrany logowania) i próba kradzieży/kontrolowanej destrukcji danych należących do Zamawiającego. 

2. Testy wewnętrzne, z wewnątrz sieci klienta: 

Testy bezpieczeństwa realizowane są wewnątrz sieci firmowej Zamawiającego, celem testów jest sprawdzenie: 

  • do jakich systemów realnie posiadają dostęp pracownicy/współpracownicy Zamawiającego,
  • czy pracownicy/goście/współpracownicy mogą:
    • w sposób niekontrolowany pozyskiwać dane z innych aplikacji niż te, które są dedykowane bezpośrednio do wykonywania przez nich obowiązków służbowych, 
    • wpływać poprzez swoje zachowanie w sieci komputerowej na pracę innych osób (podmiana danych, ich niekontrolowana zmiana lub wręcz usunięcie).

Testy polegają na sprawdzeniu możliwych dostępów z każdego segmentu sieci komputerowej celem: 

  • niekontrolowanego dostępu do danych
  • próby nieautoryzowanej zmiany/usunięcia danych służbowych

Metodologia realizacji usługi:

  • Blackbox – wykonujący test symuluje atak przeprowadzany przez osobę nie znającą w żaden sposób infrastruktury Zamawiającego. 
  • Greybox – po wykonaniu testów typu BlackBox, Zamawiający uzupełnia nie odnalezione przez wykonującego testy informacje na temat swoich zasobów (np. dodatkowe usługi  realizowane na rzecz Zamawiającego przez podmioty trzecie). 
  • WhiteBox – faza testów blackbox i greybox jest pomijana, zamawiający udostępnia pełną dokumentację swojej infrastruktury. 

Zalecane jest wykonywanie testów przy podejściu greybox oraz whitebox. Metodologia blackbox, nie zapewnia bowiem pełnej informacji na temat infrastruktury, w której posiadaniu mogą być np. byli pracownicy, firmy współpracujące. 

Test zostanie przeprowadzony zgodnie z OWASP

Masz pytania, chcesz porozmawiać o danym zakresie wdrożeniowym.

Skontaktuj się z nami