Služby v oblasti penetračních testů
Odpovídající úroveň technické a technologické bezpečnosti celých informačních systémů i jednotlivých aplikací je nutnou podmínkou pro zajištění informační bezpečnosti celé organizace. Penetrační testy a audity jsou vhodným nástrojem k ověření technického zabezpečení, nastavení dotčených procesů i dalších prvků organizace.
Společnost Cleverlance (a její divize AEC) díky svým dlouholetým zkušenostem nabízí tyto služby:
Vnější penetrační testy
Detailní prověrka zabezpečení všech komponent počítačové sítě společnosti dostupných ze sítě internet. A to z pohledu útočníka, který má k dispozici pouze veřejně dostupné informace, případně zná rozsah cílových IP adres.
Vnitřní penetrační testy
Detailní prověrka zabezpečení vybraných komponent a systémů uvnitř organizace z pohledu interního uživatele nebo vnějšího útočníka, který již získal přístup k vnitřní síti například instalací malwaru.
Penetrační testy webových aplikací
Prověrky bezpečnosti webových aplikací a webových služeb pracujících na protokolu HTTP/S. Mimo nezbytné automatizované testy je prováděno manuální testování, které zahrnuje například složité komunikační vazby technologie Web 2.0, použitý aplikační framework i byznysovou logiku aplikace.
Penetrační testy bezdrátových sítí Wi-Fi
Komplexní prověrka návrhu bezdrátové sítě a úrovně zabezpečení jejích jednotlivých komponent a souvisejících systémů zahrnuje mimo jiné: pokusy o průnik a odposlech, měření přesahů, detekce neoprávněných AP či analýzu prostupnosti sítí.
Penetrační testy mobilních zařízení
Detailní analýza návrhu architektury pro mobilní komunikaci v rámci firmy i mimo ni. Vyhodnocení úrovně zabezpečení jednotlivých mobilních zařízení ve vztahu k jejich uživatelům i k dalším aktivům společnosti.
Penetrační testy VoIP
Prověrky systémů pro hlasovou komunikaci přes počítačové sítě. Kromě testů běžných pro síťová zařízení jsou prověřovány i specifika komunikační služby s dopadem na důvěrnost, dostupnost a integritu přenášených informací.
Penetrační testy řídicích a kontrolních systémů (SCADA)
Testy počítačových sítí napojených na komponenty pro řízení a monitoring technologických zařízení v průmyslu. Prověrka odhalí zejména slabá místa v návrhu architektury a bezpečnosti jednotlivých komponent kontrolního a řídicího systému, která mohou mít za následek provozní výpadky, a tím i finanční ztráty.
Další služby nabízené jako doplněk k penetračním testům
Testování DoS (Denial of Service)
Testování odolnosti systému proti útokům směřujícím k odepření služby poskytované systémem.
Školení hacking
Školení administrátorů zákazníka o metodách a nástrojích používaných hackery. Výhodou je lepší pochopení uvažování útočníků a způsobu jejich útoků s cílem uplatnit tyto informace pro zvýšení úrovně jimi spravovaných systémů.
Prověrky na základě definovaných metodik
Testy a prověrky systémů vycházejících z požadavků na shodu s definovanou metodikou, například PCI-DSS, SOX a další.

Metodika penetračních testů
Při realizaci bezpečnostních projektů spojených s prováděním penetračních testů a testů bezpečnosti webových aplikací využíváme ucelenou a průběžně aktualizovanou metodiku AEC (divize společnosti Cleverlance). Vychází z metodik a doporučení předních organizací zabývajících se bezpečností informačních technologií:
Doporučení OWASP (Open Web Application Security Project), která se zaměřují na pomoc organizacím při identifikaci bezpečnostních hrozeb webových aplikací
Standard OSSTMM (Open Source Security Testing Methodology Manual) – metodologie pro testování bezpečnosti.
Doporučení organizace IETF (Internet Engineering Task Force) – organizace vydávající RFCs, tzv. standardy internetu.
Doporučení organizace NIST (např. NIST SP 800-44 Guidlines on Securing Public Web Servers).
- CVE – Common Vulnerabilities and Exposures – standardizovaný slovník obecných zranitelností a ohrožení.
Common Criteria (ISO/IEC 15408) – standard pro hodnocení úrovně bezpečnosti systémů a další.
Více o detekci škodlivého chování v síti na stránkách AEC (divize společnosti Cleverlance)