Využívame metódy etického hackingu

Penetračné testovanie realizujeme vždy po vzájomnej dohode so zadávateľom ako nedeštruktívne a neinvazívne testovanie, vo vybranom termíne, časových rámcoch a definovaných lokalitách.

Cieľom každého testu je v rámci vymedzeného času detekovať čo najväčšie množstvo zraniteľností, ktoré by mohli byť zneužité na získanie neautorizovaného prístupu k citlivým zdrojom a navrhnúť nápravné bezpečnostné opatrenia vedúce k ich odstráneniu.

Nečakajte na skutočného hackera. Začnite aktívne riadiť bezpečnostné riziká a kybernetické hrozby.

Fázy testovanie

1. Zber informácií

2. Hodnota aktív a identifikácia cieľov

3. Identifikácia zraniteľností

4. Pokus o narušenie bezpečnosti

5. Identifikácia dopadov

6. Záverečná správa

7. Re–test

Režimy testovanie

Black-box

Tester nemá k dispozícii žiadne informácie o architektúre siete, použitých technológiách či konfiguráciu. Odovzdaná je len špecifikácia cieľov (IP adresa, URL). Ďalšie informácie potom musí tester čerpať iba z verejne dostupných zdrojov.

Grey-box

Testerovi sú odovzdané základné informácie o testovanom systéme alebo aplikácii. Typicky sú to informácie, ktoré sú k dispozícii legitímnym používateľom alebo informácie o architektúre siete či použitých technológiách. Odovzdanie týchto informácií zvyšuje pravdepodobnosť odhalenia väčšiny závažných zraniteľností, pri zachovaní pravdepodobnosti ich objavenia skutočným útočníkom.

White-box

Tester má k dispozícii veľmi podrobné informácie o architektúre siete, použitých technológiách a ich konfiguráciu. Prípadne pozná aj bezpečnostnú politiku organizácie. V prípade testovania webových aplikácií sú k dispozícii zdrojové kódy, opis API a celá dokumentácia. Cieľom je maximalizovať pravdepodobnosť odhalenia všetkých zraniteľností. Požadovaná je tak úzka spolupráca s administrátormi a vývojármi systému.

Vyhodnotenie testovanie

Záverečná správa

Záverečná správa je výstupom každého nášho testu. Prináša detailný prehľad o slabých miestach využiteľných k prieniku do testovaných systémov. Definuje stupeň ich závažnosti pomocou päťbodovej stupnice podľa metodiky CVSS a navrhuje nápravné opatrenia na ich elimináciu.

V prípade zistenia kritickej alebo vysokej zraniteľnosti v priebehu samotného testovania tieto zistenia oznámené zodpovedným osobám zadávateľa bezodkladne.

 

• Výpočet nájdených zraniteľností

• Hodnotenie stupňa ich závažnosti

• Odporúčané opatrenia na ich elimináciu

• Manažérske zhrnutie výsledkov testovania

• Vyhodnotenie úrovne zabezpečenia

Metodika a štandardy

V závislosti na typ vykonávaného testu vychádzame zo štandardov:

  • OWASP – The Open Web Application Security Project
  • OSSTMM – The Open Source Security Testing Methodology Manual
  • PTES – Penetration Testing Execution Standard

Naše certifikácia

  • OSCP – Offensive security certified professional
  • CEH – Certified Ethical Hacker

Prinášame prípadovú štúdiu

Penetračné testovanie v praxi

„Využívajte nástroje, ktoré preveria skutočnú úroveň a stav bezpečnosti.“ Peter Šinaľ, bezpečnostný špecialista TNS.

Penetračné testy v dnešnej dobe už nie sú riešením len pre veľké a nadnárodné koncerny, ale dôležitou súčasťou bezpečnostnej stratégie každého subjektu. Uvádzam poznatky, ktoré vyšli najavo pri testovaní v stredne veľkej firme pôsobiacej v oblasti verejných služieb a logistiky. Tento príklad vyberám zámerne, pretože išlo o organizácii, kde administrátori dbali na bezpečnosť, ale nemali k dispozícii vhodné nástroje, ktoré by overovali skutočnú bezpečnosť v praxi.

 

Čítať prípadovú štúdiu

Jednotlivé fázy a postupy testovania

1. Zber informácií

V prvej fáze je pozornosť zameraná na získavanie informácií, podľa ktorých budú v nasledujúcich fázach definované testovacie scenáre uskutočniteľné u zadávateľa. Pozornosť je zameraná primárne na hardwarové a softwarové aktíva, prípadne tiež na ľudské zdroje, ktoré by mohli byť počas testu využité k úspešnému narušeniu bezpečnosti. Táto fáza zahŕňa predovšetkým aktívne skenovanie siete, serverov a ďalších aktívnych prvkov a detekciu používaných služieb.

2. Hodnota aktív a identifikácia cieľov

Druhá fáza je zameraná na ohodnotenie aktív podľa typu OS / firmware, citlivosti uložených dát, otvorených portov a podobne. Kritickým aktívam je priradená najvyššia priorita pre testovanie. Z takto ohodnotených aktív identifikované potenciálne ciele a scenáre pre penetračné testy.

3. Identifikácia zraniteľností

Proces identifikácie zraniteľností spočíva v objavovaní slabých miest v aktívach, teda konkrétnych systémoch, ktoré môžem byť využité pre narušenie bezpečnosti zadávateľa (napríklad vo forme prieniku, nedostupnosti služieb, neoprávnenému sprístupnenie a pozmenenie dát). Spôsob identifikácie zraniteľností je závislý od použitých technológiách a zistených informáciách. V tejto fáze sú typicky používané automatizované nástroje pre nájdenie známych zraniteľností. Špeciálna pozornosť je potom venovaná nesprávne konfiguráciu napríklad nezabezpečenému prenosu citlivých informácií či použitie slabých šifrovacích a autentizačných schém.

4. Pokus o narušenie bezpečnosti

Pokus o narušenie bezpečnosti predstavuje snahu o využití nájdených zraniteľností pre neautorizovaný prístup, eskaláciu používateľských privilégií, nedostupnosť služby a ďalšie nepriateľské akcie voči systémom zadávateľa. Pri prieniku sa postupuje s najvyššou opatrnosťou, aby nedošlo k poškodeniu alebo znehodnoteniu testovaných služieb. Cieľom všetkých uskutočnených testov je overenie nájdených zraniteľností spolu s individuálnymi chybami nenájdenými pomocou automatizovaných nástrojov.

5. Identifikácia dopadov

Po úspešnom narušenia je potrebné preskúmať dostupné dáta, oprávnenia a možnosti ďalšieho zneužitia potenciálnym útočníkom. Na konci tejto fázy dochádza k odstráneniu všetkých testovacích účtov urobených pre potreby testovania a tiež škodlivého, prípadne neštandardného zdrojového kódu, zaslaného na testované služby.

6. Záverečná správa

Záverečná správa vrátane manažérskeho zhrnutie obsahuje detailný popis testovania, sumarizáciu nájdených zraniteľností a bezpečnostných medzier, ohodnotenie ich závažnosti, dopadov a rizík. Definuje odporúčania k eliminácii zraniteľností a minimalizáciu rizík.

7. Retest

Po eliminácii zraniteľností a prijatie ďalších opatrení na minimalizáciu rizík spojených s potenciálnym útokom sa odporúča uskutočniť Retest. Ten slúži na potvrdenie správnej implementácie nápravných opatrení a prípadne identifikáciu nových zraniteľností, ktoré mohli byť do systému zanesené pri realizácii nápravných opatrení.

Aké penetračné testy ponúkame

Sú vaše dáta dostatočne zabezpečené?

Zostavíme vám na mieru penetračný test, ktorý preverí skutočnú úroveň vášho zabezpečenia.