Penetrační testy

​​Penetrační testy

Prověřte úroveň zabezpečení systémů a aplikací organizace

Bez imitace skutečného napadení nikdy nebudete vědět, jak jste na tom s bezpečností. Možná máte zkreslené představy o schopnostech svých administrátorů a celkovém zabezpečení. A možná by hacker dokázal značně narušit chod vaší společnosti.
Pomůžeme vám otestovat zabezpečení pomocí penetračních testů. Vyzkoušíme, jak obstojí zabezpečení počítačové sítě proti útokům hackerů z vnějšího a vnitřního prostředí vaší organizace. Zvláště pokud jste dělali významné změny v topologii DMZ, lokální sítě, firewallu nebo systémů a nevíte, zda nezůstala někde potenciální zranitelnost.

Proč si pro penetrační testy vybrat právě Cleverlance

• Reálné zkušenosti ze zhruba 50 provedených penetračních testů ročně a víc než 20 let zkušeností.
• Jedinečný široký tým certifikovaných specialistů pro různé platformy s plnou zastupitelností.
• Klademe důraz na manuální přístup při testování, což má za následek odhalení většího množství chyb zejména v byznysové logice aplikací.

Více o nabízených službách v oblasti penetračních testů na stránkách AEC (divize společnosti Cleverlance)

Nejdůležitější výhody a přínosy Cleverlance řešení

• Posílení bezpečnosti informačních systémů organizace, a tedy i její celkové renomé u zákazníků a obchodních partnerů.
• Zabránění možnému zneužívání systémových prostředků organizace jak zvenčí, tak i zevnitř. Například šíření nelegálního obsahu, instalace nelegálního softwaru, nežádoucí zásahy do nastavení systémů apod.
• Snížení nákladů na obnovu napadených systémů.
  

​Služby v oblasti penetračních testů
Odpovídající úroveň technické a technologické bezpečnosti celých informačních systémů i jednotlivých aplikací je nutnou podmínkou pro zajištění informační bezpečnosti celé organizace. Penetrační testy a audity jsou vhodným nástrojem k ověření technického zabezpečení, nastavení dotčených procesů i dalších prvků organizace.
Společnost Cleverlance (a její divize AEC) díky svým dlouholetým zkušenostem nabízí tyto služby:
Vnější penetrační testy
Detailní prověrka zabezpečení všech komponent počítačové sítě společnosti dostupných ze sítě internet. A to z pohledu útočníka, který má k dispozici pouze veřejně dostupné informace, případně zná rozsah cílových IP adres.
Vnitřní penetrační testy
Detailní prověrka zabezpečení vybraných komponent a systémů uvnitř organizace z pohledu interního uživatele nebo vnějšího útočníka, který již získal přístup k vnitřní síti například instalací malwaru.
Penetrační testy webových aplikací
Prověrky bezpečnosti webových aplikací a webových služeb pracujících na protokolu HTTP/S. Mimo nezbytné automatizované testy je prováděno manuální testování, které zahrnuje například složité komunikační vazby technologie Web 2.0, použitý aplikační framework i byznysovou logiku aplikace.
Penetrační testy bezdrátových sítí Wi-Fi
Komplexní prověrka návrhu bezdrátové sítě a úrovně zabezpečení jejích jednotlivých komponent a souvisejících systémů zahrnuje mimo jiné: pokusy o průnik a odposlech, měření přesahů, detekce neoprávněných AP či analýzu prostupnosti sítí.
Penetrační testy mobilních zařízení
Detailní analýza návrhu architektury pro mobilní komunikaci v rámci firmy i mimo ni. Vyhodnocení úrovně zabezpečení jednotlivých mobilních zařízení ve vztahu k jejich uživatelům i k dalším aktivům společnosti.
Penetrační testy VoIP
Prověrky systémů pro hlasovou komunikaci přes počítačové sítě. Kromě testů běžných pro síťová zařízení jsou prověřovány i specifika komunikační služby s dopadem na důvěrnost, dostupnost a integritu přenášených informací.
Penetrační testy řídicích a kontrolních systémů (SCADA)
Testy počítačových sítí napojených na komponenty pro řízení a monitoring technologických zařízení v průmyslu. Prověrka odhalí zejména slabá místa v návrhu architektury a bezpečnosti jednotlivých komponent kontrolního a řídicího systému, která mohou mít za následek provozní výpadky, a tím i finanční ztráty.
Další služby nabízené jako doplněk k penetračním testům
Testování DoS (Denial of Service)
Testování odolnosti systému proti útokům směřujícím k odepření služby poskytované systémem.
Školení hacking
Školení administrátorů zákazníka o metodách a nástrojích používaných hackery. Výhodou je lepší pochopení uvažování útočníků a způsobu jejich útoků s cílem uplatnit tyto informace pro zvýšení úrovně jimi spravovaných systémů.
Prověrky na základě definovaných metodik
Testy a prověrky systémů vycházejících z požadavků na shodu s definovanou metodikou, například PCI-DSS, SOX a další.

Odkud může přijít útok na firemní ICT

Trend růstu útoků na mobilní zařízení. Zdroj: McAfee Threats Report Q4 2010

Podíl jednotlivých vektorů útoku na celkovém množství útoků/množství kompromitovaných záznamů v roce 2010. Zdroj: Verizon Data Breach Report 2010
Metodika penetračních testů
Při realizaci bezpečnostních projektů spojených s prováděním penetračních testů a testů bezpečnosti webových aplikací využíváme ucelenou a průběžně aktualizovanou metodiku AEC (divize společnosti Cleverlance). Vychází z metodik a doporučení předních organizací zabývajících se bezpečností informačních technologií:

• Doporučení OWASP (Open Web Application Security Project), která se zaměřují na pomoc organizacím při identifikaci bezpečnostních hrozeb webových aplikací
• Standard OSSTMM (Open Source Security Testing Methodology Manual) – metodologie pro testování bezpečnosti.
• Doporučení organizace IETF (Internet Engineering Task Force) – organizace vydávající RFCs, tzv. standardy internetu.
• Doporučení organizace NIST (např. NIST SP 800-44 Guidlines on Securing Public Web Servers).
• CVE – Common Vulnerabilities and Exposures – standardizovaný slovník obecných zranitelností a ohrožení.
• Common Criteria (ISO/IEC 15408) – standard pro hodnocení úrovně bezpečnosti systémů a další.

Více o detekci škodlivého chování v síti na stránkách AEC (divize společnosti Cleverlance)