Penetračné testy

​Penetračné testy

Preverte úroveň zabezpečenia systémov a aplikácií organizácie

Bez imitácie skutočného napadnutia nikdy nebudete vedieť, ako ste na tom s bezpečnosťou. Možno máte skreslené predstavy o schopnostiach svojich administrátorov a celkovom zabezpečení. A možno by hacker dokázal značne narušiť chod vašej spoločnosti.

Pomôžeme vám otestovať zabezpečenie pomocou penetračných testov. Vyskúšame, ako obstojí zabezpečenie počítačovej siete proti útokom hackerov z vonkajšieho a vnútorného prostredia vašej organizácie. Zvlášť vtedy, ak ste robili významné zmeny v topológii DMZ, lokálnej siete, firewallu alebo systémov a neviete, či nezostala niekde potenciálna zraniteľnosť.

Prečo si na penetračné testy vybrať práve Cleverlance

• Reálne skúsenosti zo zhruba 50 vykonaných penetračných testov ročne a viac než 20 rokov skúseností.
• Jedinečný široký tím certifikovaných špecialistov pre rôzne platformy s plnou zastupiteľnosťou.
• Kladieme dôraz na manuálny prístup pri testovaní, čo má za následok odhalenie väčšieho množstva chyb najmä v biznisovej logike aplikácií.

Viac o ponúkaných službách v oblasti penetračných testov na stránkach AEC (divízie spoločnosti Cleverlance)

Najdôležitejšie výhody a prínosy Cleverlance riešenia

• Posilnenie bezpečnosti informačných systémov organizácie a teda i jej celkového renomé u zákazníkov a obchodných partnerov.
• Zabránenie možnému zneužívaniu systémových prostriedkov organizácie ako zvonka, tak i zvnútra. Napríklad šírenie nelegálneho obsahu, inštalácie nelegálneho softvéru, nežiaduce zásahy do nastavení systémov a pod.
• Zníženie nákladov na obnovu napadnutých systémov.

Služby v oblasti penetračných testov

Zodpovedajúca úroveň technickej a technologickej bezpečnosti celých informačných systémov i jednotlivých aplikácií je nutnou podmienkou na zaistenie informačnej bezpečnosti celej organizácie. Penetračné testy a audity sú vhodným nástrojom na overenie technického zabezpečenia, nastavenie dotknutých procesov i ďalších prvkov organizácie.

Spoločnosť Cleverlance (a jej divízia AEC) vďaka svojim dlhoročným skúsenostiam ponúka tieto služby:

Vonkajšie penetračné testy

Detailná previerka zabezpečení všetkých komponentov počítačovej siete spoločnosti dostupných zo siete Internet. A to z pohľadu útočníka, ktorý má k dispozícii iba verejne dostupné informácie, prípadne pozná rozsah cieľových IP adries.

Vnútorné penetračné testy

Detailná previerka zabezpečenia vybratých komponentov a systémov vo vnútri organizácie z pohľadu interného používateľa alebo vonkajšieho útočníka, ktorý už získal prístup k vnútornej sieti napríklad inštaláciou malwaru.

Penetračné testy webových aplikácií

Previerky bezpečnosti webových aplikácií a webových služieb pracujúcich na protokole HTTP/S. Mimo nevyhnutných automatizovaných testov je vykonávané manuálne testovanie, ktoré zahŕňa napríklad zložité komunikačné väzby technológie Web 2.0, použitý aplikačný framework i biznisovú logiku aplikácie.

Penetračné testy bezdrôtových sietí Wi-Fi

Komplexná previerka návrhu bezdrôtovej siete a úrovne zabezpečenia jej jednotlivých komponentov a súvisiacich systémov zahŕňa mimo iné: pokusy o prienik a odpočúvanie, meranie presahov, detekcia neoprávnených AP či analýza priestupnosti sietí.

Penetračné testy mobilných zariadení

Detailná analýza návrhu architektúry pre mobilnú komunikáciu v rámci firmy i mimo nej. Vyhodnotenie úrovne zabezpečenia jednotlivých mobilných zariadení vo vzťahu k ich používateľom i k ďalším aktívam spoločnosti.

Penetračné testy VoIP

Previerky systémov pre hlasovú komunikáciu cez počítačové siete. Okrem testov bežných pre sieťové zariadenia sú preverované i špecifiká komunikačnej služby s dopadom na dôvernosť, dostupnosť a integritu prenášaných informácií.

Penetračné testy riadiacich a kontrolných systémov (SCADA)

Testy počítačových sietí napojených na komponenty pre riadenie a monitoring technologických zariadení v priemysle. Previerka odhalí najmä slabé miesta v návrhu architektúry a bezpečnosti jednotlivých komponent kontrolného a riadiaceho systému, ktoré môžu mať za následok prevádzkové výpadky, a tým i finančné straty.

Ďalšie služby ponúkané ako doplnok k penetračným testom

Testovanie DoS (DenialofService)

Testovanie odolnosti systému proti útokom smerujúcim k odopreniu služby poskytovanej systémom.

Školenie hackingu

Školenie administrátorov zákazníka o metódach a nástrojoch používaných hackermi. Výhodou je lepšie pochopenie uvažovania útočníkov a spôsobu ich útokov s cieľom uplatniť tieto informácie pre zvýšenie úrovne nimi spravovaných systémov.

Previerky na základe definovaných metodík

Testy a previerky systémov vychádzajúcich z požiadaviek na zhodu s definovanou metodikou, napríklad PCI-DSS, SOX a ďalšie.

Odkiaľ môže prísť útok na firemné ICT

​Metodika penetračných testov

Pri realizácii bezpečnostných projektov spojených s vykonávaním penetračných testov a testov bezpečnosti webových aplikácií využívame ucelenú a priebežne aktualizovanú metodiku AEC (divízia spoločnosti Cleverlance). Vychádza z metodík a odporúčaní popredných organizácií zaoberajúcich sa bezpečnosťou informačných technológií:

• Odporúčania OWASP (Open Web ApplicationSecurity Project), ktoré sa zameriavajú na pomoc organizáciám pri identifikácii bezpečnostných hrozieb webových aplikácií
• Štandard OSSTMM (Open Source SecurityTestingMethodologyManual) – metodológia pre testovanie bezpečnosti.
• Odporúčania organizácie IETF (Internet EngineeringTaskForce) – organizácia vydávajúca RFCs, tzv. štandardy internetu.
• Odporúčania organizácie NIST (napr. NIST SP 800-44 Guidlines on Securing Public Web Servers).
• CVE – CommonVulnerabilities and Exposures – štandardizovaný slovník všeobecných zraniteľností a ohrození.
• CommonCriteria (ISO/IEC 15408) – štandard pre hodnotenie úrovne bezpečnosti systémov a ďalšie.

Viac o detekcii škodlivého chovania v sieti na stránkach AEC (divízia spoločnosti Cleverlance)