Penetračné testy

Simulácia reálneho hackerského útoku

Vykonávame profesionálne penetračné testy webových aplikácií, e-shopov, serverov, lokálnych sietí a iné IT služby zamerané na bezpečnosť alebo prevádzku informačných a komunikačných technológií.


Penetračný test

Penetračný test (nazývaný tiež ethical hacking) simuluje reálny prienik do systémov alebo aplikácií s cieľom odhaliť bezpečnostné zraniteľnosti a iné slabiny.
Externý penetračný test simuluje obvykle reálny útok anonymného útočníka z Internetu, naopak interný penetračný test odkryje slabiny umožňujúce odcudzenie, neautorizovaný prístup či poškodenie citlivých dát organizácie z pohľadu zamestnancov danej spoločnosti. 1

Každý deň sa objavia na svete stovky nových zraniteľností a je odhalených tisíce bezpečnostných incidentov. Nakoľko IT bezpečnosť je veľmi široká a rýchlo vyvíjajúca sa oblasť, je obvykle veľmi ťažké ju pokryť internými zdrojmi a preto väčšina organizácií volí bezpečnostné overenie (napríklad penetračným testom) treťou nezávislou stranou, ktorá sa na oblasť IT bezpečnosti úzko špecializuje.

Prečo sa rozhodnúť pre penetračný test

Okrem primárneho cieľa - odhaliť čo najväčšie množstvo vážnych zraniteľností a overiť odolnosť voči cielenému prieniku, výsledky penetračného testu môžu pomôcť pri vzdelávaní vývojárov a správcov systémov, či iných zamestnancov.
Testovanie webovych stránok pomocou penetračného testu dokáže tiež preveriť:

  • kvalitu testovaného kódu z hľadiska bezpečnosti,
  • bezpečnosť konfigurácie aplikácie - serveru,
  • odolnosť voči (D)DOS útokom,
  • nastavenie monitorovania a zálohovania,
  • možnosť phishingu, XSS, CSRF zraniteľností,
  • logovanie a vyhodnocovanie incidentov,
  • zabezpečenie databáz, náchylnosť na časté "SQL injection" zraniteľnosti,
  • úroveň heslovej politiky, autentifikačných a autorizačných mechanizmov a iné.

Penetračný test alebo bezpečnostný audit?

Penetračný test narozdiel od bezpečnostného auditu je zvyčajne časovo obmedzený a sleduje jediný cieľ - demonštráciu prieniku. Bezpečnostný audit je komplexnejší a úplnejší (sleduje striktnú metodológiu) a cieľom je celkové posúdenie stavu bezpečnosti predmetu auditu.

Pre porovnanie uvádzame prehľad vlastností penetračných testov a auditov webových aplikácií, ktoré vykonávame.

Prehľad vlastností a rozdielov vykonávaných penetračných testov a auditov
  Základný penetračný
test webovej
aplikácie
Štandardný penetračný
test webovej aplikácie
Detailný bezpečnostný audit webovej aplikácie 
Čas testovania 1 deň 3-4 dni 2-4 týždne
Rozsah testu 1 Webová aplikácia
 / server
1 Webová aplikácia
 / server
1 Webová aplikácia / server
Manuálna kontrola áno áno áno
Manažérske zhrnutie áno áno áno
Praktická "hackerská ukážka" nie nie áno
Stretnutie s vývojarmi nie nie áno
Obmedzenie Bez obmedzení Bez obmedzení Bez obmedzení

Spoločnosť Nethemba

Sme tím IT špecialistov s dlhoročnými skúsenosťami v oblasti bezpečnosti. Špecializujeme sa primárne na bezpečnosť webových aplikácií, serverov a penetračné testy.

Ako jediní na Slovensku a v Čechách ponúkame bezpečnostné audity RFID technológiíSAP systémov. Taktiež sa venujeme bezpečnostnému výskumu, aktívne pôsobíme v rámci projektu OWASP, prednášame a účastníme sa na bezpečnostných konferenciách po celom svete.

Prečo si vybrať práve nás?

Prístup

Našou hlavnou filozofiou je dôvera, spoľahlivosť, profesionalita a radi vám pomôžeme s problémami alebo riešeniami týkajúcich sa bezpečnosti.

Referencie

Medzi našich klientov patria štátne inštitúcie, banky, ale aj webové portály a firmy s rôznou IT infraštruktúrou. Zoznam referencií.

Certifikácie

 

Vybrané služby v oblasti penetračného testovania

Základný penetračný test

Test je vykonaný použitím našich špecializovaných automatizovaných komerčných a opensource nástrojov. Existencia všetkých vysoko kritických zraniteľností je overená manuálne. Na voľbu najvhodnejších nástrojov na testovanie zraniteľností webovej aplikácie a servera využívame naše dlhoročné know-how v oblasti bezpečnosti webových aplikácií.
Čas testovania: 1 deň


Štandardný penetračný test webovej aplikácie a webového serveru

Cieľom rýchleho štandardného testu je odhaliť čo najväčšie množstvo najviac kritických zraniteľností behom 3 dní vo webovej aplikácii a webovom serveri, odhaliť spôsob ich zneužitia a pokiaľ je to možné, tak získať privilegovaný prístup.

Čas testovania: 3-4 dni


Detailný bezpečnostný audit webovej aplikácie a webového serveru

Cieľom detailného bezpečnostného auditu webovej aplikácie a webového serveru je čo najdôkladnejšie a najdetailnejšie otestovať webovú aplikáciu a webový server.
Test je veľmi podrobný a realizovaný podľa testovacej príručky OWASP.

Čas testovania: 2-4 týždne


Penetračný test intranetu

Test je realizovaný z pohľadu potenciálneho anonymného útočníka, ktorý má fyzický prístup do internej siete bez prístupu do Active Directory (AD), tak z pohľadu bežného zamestnanca spoločnosti (s prístupom do AD).

 

Kontakt

Dohodnite si s nami stretnutie a my sa vám v najbližšom možnom čase ozveme.