Pentesty | Testy Penetracyjne

Czym są pentesty?

Pentesty są to penetracyjne testy bezpieczeństwa, które pozwalają zweryfikować bezpieczeństwo systemów i aplikacji oraz zidentyfikować ich słabe punkty. Polegają na symulacji hakerskiego ataku, umożliwiającej zweryfikowanie jakości zabezpieczeń oraz znalezienie luk w zabezpieczeniach sieci, systemów, aplikacji mobilnych, aplikacji webowych, a także aplikacji desktopowych.

Dlaczego my? Nasze Standardy.

Nasi pentesterzy to najwyższej klasy fachowcy, posiadający bogate doświadczenie zebrane podczas pracy dla firm o międzynarodowym zasięgu. Należy zaznaczyć, że traktujemy swoją pracę niezwykle poważnie, dlatego realizując prace dla naszych Klientów zawsze działamy według obowiązujących standardów, uznanych na arenie międzynarodowej:

ISO 27000 (norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji)
PCI DSS (Payment Card Industry Data Security Standard)
OSSTM Manual (Open Source Security Testing Methodology Manual)
ISSAF (OISSG Penetration Testing Framework)
NIST (National Institute of Standards and Technology)
SANS Information Security Reading Room
The Social Engineering Framework

A także dobrych praktyk bezpieczeństwa IT. Do najważniejszych z nich możemy zaliczyć:

Pentester dba o bezpieczeństwo i prywatność zdobytych danych
Pentester informuje osoby wskazane, w jakim terminie rozpocznie oraz zakończy przeprowadzane prace
Pentester podczas każdego zlecenia przeprowadza testy penetracyjne w pierwszej kolejności bez żadnych uprawnień, nawet, gdy posiada takowe przed rozpoczęciem testów.
Pentester podczas swojej pracy wykorzystuje narzędzia tak, aby nie wprowadzić szkód w badanym środowisku
Pentester w przypadku wykonania testów penetracyjnych, mogących spowodować ewentualne uszkodzenie działania systemu lub jego unieruchomienie, wykonuje je uzyskując uprzednio zgodę Klienta
Pentester działa zawsze zgodnie z obowiązującym lokalnym prawem

Zakres wykonywanych testów penetracyjnych, audytów.

W celu zapewnienia całościowej oceny bezpieczeństwa platformy IT, realizowane są testy penetracyjne I symulacje:

Zaawansowane manualne testy penetracyjne wraz z użyciem narzędzi specjalistycznych ; techniki white-box, gray-box i black-box
Analiza stanu danych wejściowych i wyjściowych
Testy In-depth będące odzwierciedleniem rzeczywistego ataku, z reguły dotyczące bezpieczeństwa infrastruktury teleinformatycznej jako całości, włącznie z wykorzystaniem socjotechnik
Testy wydajnościowe weryfikujące podatność na zagrożenia klasy DDoS
Testy automatyczne typu “fuzz” ujawniające podatności takie jak: local dos, memory leak, application termination (crash)
Testy penetracyjne aplikacji mobilnych oraz instancji back-end (API)
Audyt bezpieczeństwa konfiguracji usług, takich jak serwery aplikacyjne, bazy danych lub systemy operacyjne
Testy penetracyjne sieci bezprzewodowych oraz weryfikacja segmentacji sieci
Zarządzanie prawami dostępu i weryfikacja separacji uprawnień
Testy bezpieczeństwa aplikacji pod kątem typowych zagrożeń: - ataki semantyczne na adres URL, - ataki związane z ładowaniem plików, - ataki typu Cross-Site Scripting, - ataki typu CSRF, - podrabianie zarządzania formularza, - sfałszowanie żądania http, - ujawnienie uwierzytelnień dostępu, - wstrzykiwanie kodu SQL lub innych języków programowania, - ujawnienie danych przechowywanych w bazie, - kradzież cookies, - przechwytywanie sesji, - trawersowanie katalogów, - wstrzykiwanie poleceń systemowych

Wykonujemy również próby:

Enumeracji i wykorzystania znanych podatności w celu uzyskania nieautoryzowanego dostępu
Podszywania się pod użytkownika/administratora i uzyskania nieautoryzowanego dostępu do systemu
Zablokowania/umożliwienia dostępu do Systemu wszystkim lub wybranym jej użytkownikom
Uzyskania nieautoryzowanego dostępu do danych przetwarzanych w systemie lub klientów zewnętrznych
Dokonania nieautoryzowanych modyfikacji/usunięcia informacji w systemie

Rodzaje testów penetracyjnych:

Testy penetracyjne black-box

Testy penetracyjne typu black-box charakteryzują się realizacją testów przez zespół, któremu nie zostają dostarczone informacje o badanym systemie. W interesie wykonawcy leży zdobycie jak największej ilości informacji o testowanym systemie lub sieci, by w następstwie jak najefektywniej wykorzystać te dane podczas wykonywania testu. Scenariusz typu black-box najczęściej polega na naśladowaniu zachowania typowego dla zewnętrznego atakującego, nie posiadającego dostępów oraz informacji o podmiocie testu.

Testy penetracyjne gray-box

Testy penetracyjne typu gray-box polegają na przekazaniu zespołowi realizującemu audyt częściowych informacji lub dostępów do określonego systemu lub sieci. Przykładem takich czynności jest przekazanie danych autoryzacyjnych do aplikacji lub dostępu do testowanej sieci zespołowi testującemu, by zweryfikować bezpieczeństwo podmiotu w szerszym zakresie; taki scenariusz można traktować jako przypadek, gdy zewnętrzny atakujący zdobywa wymienione informacje samodzielnie.

Testy penetracyjne white-box

Testy penetracyjne typu white-box stanowią najbardziej elementarny rodzaj testów. Zespół testujący zostaje w pełni poinformowany o obiekcie testów, poprzez przekazanie takich informacji jak schematy infrastruktury, kody źródłowe aplikacji, szczegółowe dane na temat poszczególnych systemów itp. W oparciu o udostępnione dane możliwym jest precyzyjne i kompletne określenie wektorów ataku; taki rodzaj testów symuluje atak pochodzący z wewnątrz organizacji.

Koszt testów penetracyjnych.

Cena testów penetracyjnych może być bardzo różna w zależności od zakresu wykonywanych prac, ich złożoności oraz czasochłonności. Jeżeli chodzi o dokładną wycenę, prosimy o kontakt za pomocą naszego formularza, mailowy lub telefoniczny.