Aktuálně

11. 4. 2016

Úspěšné soutěžní tažení našeho projektu pokračuje

Společný projekt Integrovaný systém řízení provozu a bezpečnosti DPMB, odboru IT a dodavatele společnosti Service & Support spol. s r. o. získal další významné ocenění tentokrát v rámci soutěže CACIO.

další aktuality

Penetrační testy

Vyhodnoťte svou bezpečnostní situaci, myslete jako útočník

Jedna z nejúčinnějších metod hodnocení stavu zabezpečení vaší firemní informační infrastruktury, je otestovat ji, jak obstojí při simulovaném bezpečnostním útoku. Pomocí systému penetračních testů provádějí naši experti simulované útoky na informační infrastrukturu zákazníků tak, aby identifikovali chyby v systému, ale zároveň brali ohled na nutnost nepřetržitosti provozu.

Naše služby penetračních testů představují strukturovanou metodologii zajišťující důkladný test celého vašeho prostředí, což zahrnuje detailní zprávu s taktickými a strategickými doporučeními, které berou ohled na klientovy obchodní cíle.

Každý nástroj, který používáme v rámci penetračního testování, byl podroben důkladným testům expertů v laboratořích Trustwave, kteří provádí řadu posudků informační bezpečnosti v nejrůznějších organizacích a typů podnikání.

Komplexní penetrační testování obsahuje testy z následujících oblastí:

  • síťové penetrační testování
  • aplikační penetrační testování
  • fyzická bezpečnost a testy sociálního inženýrství

Prakticky je možné začít s kteroukoliv z nich dle zákazníkem stanovených priorit. Takzvaný etický hacking je tedy určen k identifikaci zranitelností vaší síťové a informační infrastruktury a to dříve, než ji odhalí potenciální útočníci.

Síťové penetrační testy

  • Externí  - síťové penetrační testy

Podstatou naší metodologie síťových penetračních testů je organizovat a pravidelně testovat cílové prostředí od nejobecnější komponenty k nejkonkrétnější. Tímto způsobem můžeme účinně modelovat scénáře útoku, které jsou zaměřeny na zjištění konkrétního rizika.

Celý testovací proces je především návodem ke správné interpretaci výsledků metod standardních scannerů a kontrolních seznamů používaných v obecných hodnoceních zranitelnosti. Tímto způsobem se můžeme zaměřit na testování, založené na logice řízených útoků proti systémům a sítím.

  • Interní  - síťové penetrační testy

Interní hrozby představují největší riziko, kterému v dnešní době čelí mnoho organizací. Firemní LAN/WAN prostředí je strukturováno tak, aby umožnilo uživatelům velké množství přístupů s často nedostatečnými bezpečnostními kontrolami. Tak jak mohou chybět různé stupně zabezpečení mezi potenciálním útočníkem a citlivými daty, riziko zneužití dat se výrazně zvětšuje.

Pro účely interního testování je nejobvyklejším postupem mít specialistu dodavatele přímo na pracovišti zákazníka jako běžného zaměstnance a používat normální až minimální úroveň přístupu k systému. Takto je mu dána role pro simulované iterativní testy všech přístupových kontrol pokoušejíce se získat kritická data.

Uvedený postup je jednou z možností testování a naši specialisté testující bezpečnost vždy spolupracují se zákazníkem na návrhu nejefektivnějšího testovacího scénáře.  Řadu testů je také možné provádět na dálku.

  • Aplikační penetrační testy

Naše služby aplikačních penetračních testů identifikují bezpečnostní chyby v aplikační vrstvě a výstupem jsou doporučení vedoucí k jejich odstranění. Součástí této služby jsou také školení, která jsou přizpůsobena individuálním potřebám zákazníků.

  • Přehled aplikačního penetračního testování

Aplikační penetrační test slouží k odhalení účinnosti aplikačních bezpečnostních kontrol a přitom je kladen důraz na identifikaci rizik způsobených aktuální zranitelností testovaných aplikací. Model penetračních testů je postaven na manuálním testování. Tento proces je zaměřen na hlubší testování a kvalitnější výsledky, než jen pouhé generické testy a false-positive nálezy.

Pomocí naší metodiky jsme schopni prokázat využitelné zranitelnosti v aplikaci. Výsledky testů poskytují realizační výstupy taktických i strategických doporučení. Tato praxe pomáhá klientům v identifikaci chyb a zmírnění rizik zneužití.

Výsledky každého aplikačního penetračního testování zahrnují kompletní detaily v otázkách bezpečnosti aplikací, využitelnosti výsledků a také taktická i strategická doporučení.

Fyzická bezpečnost a testy sociálního inženýrství

Fyzické bezpečnostní kontroly mají často technické nedostatky, které mohou být snadno využity i se základními nástroji. Tyto kontroly také mohou trpět v důsledku nízkého bezpečnostního povědomí a přirozené lidské tendence akceptovat fakta na základě osobního přístupu. To snadno vede k útoku typu sociálního inženýrství, kdy útočník přiměje nic netušící zaměstnance k dobrovolnému předání cílených informací.

Jaké jsou přínosy využití služby penetračních testů?

  • možnost reálného otestování podnikové bezpečnosti
  • zpětná vazba do systému řízení podnikové bezpečnosti
  • zvýšení povědomí o zásadách tvorby podnikové bezpečnosti

Proč je společnost Service & Support vhodným partnerem pro službu penetračních testů:

  • používáme metodologii ověřenou stovkami provedených testů
  • možnost zaměření na kteroukoliv oblast podnikové bezpečnosti
  • vyhodnocování testů provádíme z pohledu možného dopadu na podnikání klienta
  • disponujeme silným technickým a analytickým týmem

Partneři