Testy penetracyjne
Testy penetracyjne stanowią jeden z podstawowych sposobów ochrony systemów informatycznych przed atakami intruzów. Celem testów jest identyfikacja jak największej liczby podatności i uchybień mogących stanowić zagrożenie dla bezpieczeństwa infrastruktury teleinformatycznej organizacji.
Badanie polega na symulacji działania włamywacza w obrębie ustalonego zakresu systemów i aplikacji. Testom penetracyjnym poddawane są zarówno pojedyncze systemy, usługi, aplikacje webowe jak i złożone środowiska informatyczne wraz ze stacjami roboczymi i urządzeniami sieciowymi. Scenariusze symulowanych ataków w zależności od potrzeb Klienta mogą obejmować pasywne próby przełamania zabezpieczeń, zdobycia określonych informacji, eskalacji przywilejów czy penetracji sieci prywatnych. Próby ataków odbywają się z ustalonych adresów sieci publicznej lub prywatnej, z zerową wiedzą o funkcjonowaniu systemów lub z góry ustalonym scenariuszem, np. eksperci dysponują danymi uwierzytelniającymi do określonych zasobów, rolami w obrębie testowanych aplikacji webowych. Istotnym etapem poprzedzającym testy penetracyjne jest ustalenie zakresu badania, tak aby możliwie rzeczywiście odzwierciedlało prawdziwe scenariusze zagrożeń.
Wychodząc naprzeciw oczekiwaniom naszych klientów, oferujemy usługi z zakresu testów penetracyjnych, których celem jest przetestowanie odporności badanego elementu infrastruktury informatycznej oraz aplikacji webowych na potencjalne zagrożenia.
Kluczowym celem realizacji tego typu testów jest:
- badanie podatności infrastruktury na ataki poprzez wskazanie, w jaki sposób dostępne z zewnątrz urządzenia i aplikacje umożliwiają przedostanie się do krytycznych systemów i danych organizacji,
- wykryte zagrożenia, zostają przedstawione w raporcie mającym na celu umożliwienie oszacowania ryzyka, jakie może zaistnieć, jeżeli dana podatność systemu zostanie zidentyfikowana przez podmioty lub osoby działające na szkodę organizacji,
- przedstawienie rozwiązań niwelujących dane podatności.
W ramach usługi oferujemy naszym klientom trzy metody prowadzenia testów penetracyjnych:
- "black-box testing" - testy przeprowadzane z perspektywy braku wiedzy o testowanej aplikacji - ten typ testu jest symulacją ataku intruza, który nie dysponuje żadną wiedzą o testowanej aplikacji i najczęściej przypomina on typowy atak z sieci Internet,
- "gray-box testing" - testy przeprowadzane z perspektywy częściowej wiedzy o testowanym obiekcie - ten rodzaj testu jest symulacją ataku ze strony osoby, która dysponuje częściową wiedzą o architekturze testowanego systemu,
- "white-box testing" - testy przeprowadzane z perspektywy pełnej wiedzy o testowanym obiekcie - jest to symulacja ataku ze strony osoby posiadającej pełną wiedzę o aplikacji będącej przedmiotem testu bezpieczeństwa, czyli posiada dostęp do systemu na każdym poziomie uprzywilejowania, kodu źródłowego, dysponuje również dokumentacją projektową oraz doskonale zna architekturę rozwiązania.
Metodyka
Zależnie od realizowanych zadań, które składają się na świadczoną usługę, sposób ich przeprowadzenia jest oparty o różne metody. Wybrane podejście, strategia i dobór scenariuszy testowych reprezentują pragmatyczne podejście do audytów bezpieczeństwa systemów teleinformatycznych. Testy są realizowane w oparciu o doświadczenie pentesterów, dobre praktyki i metodyki prowadzenia testów penetracyjnych. Podstawę do audytów bezpieczeństwa IT stanowią:
- Penetration Testing Execution Standard (PTES)
- Open Source Security Testing Methodology (OSSTM)
- OWASP Testing Guide
- WebApplicatioin Hacker's Handbook (WAHH)
Korzyści ze współpracy zakresie realizacji testów penetracyjnych to m.in.
- Uzyskanie wiedzy na temat faktycznego stanu bezpieczeństwa sieci i systemów,
- Wykazanie podatności w systemach teleinformatycznych,
- Wsparcie w procesie wdrażania zalecanych zmian,
- Dostęp do wiedzy i doświadczenia konsultantów w ramach realizowanych projektów,
- Zwiększenie poziomu bezpieczeństwa infrastruktury teleinformatycznej,
- Niezależne obiektywne spojrzenie na bezpieczeństwo infrastruktury teleinformatycznej przez wyspecjalizowanych testerów.
Zachęcamy do nawiązania kontaktu z naszymi konsultantami, którzy udzielą dodatkowych informacji, poznają oczekiwania oraz przygotują ofertę spełniającą Państwa potrzeby i wymagania.