Bezpečnostní a penetrační testy

Účelem penetračního testování je ověřit odolnost vaší organizace vůči kybernetickému útoku.
Typy bezpečnostních testů: 

  • Test zranitelností/Vulnerability Management
  • Penetrační test
  • Kontinuální bezpečnostní test
  • Pasivní analýza provozu
  • Test sociálním inženýrstvím
  • Revize zdrojového kódu
Chci nezávaznou nabídku
Bezpečnostní a penetrační testy
Podle statistik je v každé společnosti správně chráněno jenom 5 % dat.
Tvorba testu na míru
Test vznikne na základě vašich potřeb a požadavků. Po provedení testu vytvoříme plán nápravy zranitelností a problémů.
Splnění legislativních požadavků
Díky bezpečnostnímu testu splníte požadavky, které na vás klade legislativa nebo bezpečnostní normy.
Testování bez omezení provozu
Test kybernetické bezpečnosti probíhá za plného provozu, případně ve vymezených časových oknech tak, aby se neohrozil provoz firmy.
Co jsou penetrační testy?

Co jsou penetrační testy?

Penetrační test (nebo taky pen-test) je simulace reálného hackerského útoku. 

Jaké typy bezpečnostních testů realizujeme?

Test zranitelností / Vulnerability Management
Identifikace zranitelností informačního systému, které by mohl útočník zneužít.
Tester se pokouší ověřit, zda jsou v systémech přítomny známé zranitelnosti.
Penetrační test
Simulace útoku na informační systém organizace. Tester postupuje stejně jako případný útočník.
Pasivní analýza provozu
Zjištění, zda se v síťovém provozu již teď nevyskytují příznaky ukazující na probíhající útok.
Kontinuální bezpečnostní test
Služba průběžné kontroly zranitelností je zaměřena na každodenní ověření, že se na systémech dostupných z Internetu nevyskytují bezpečnostní zranitelnosti, které by mohly být zneužity k útoku na klienta.
Test sociálním inženýrstvím
Tento test je zaměřen na ověření zranitelnosti lidského faktoru. Provádí se útok zasíláním phishingových kampaní zaměstnancům.
Revize zdrojového kódu
Cílem je identifikovat bezpečnostní nedostatky v aplikaci související s jejími funkcemi a návrhem.
Co jsou penetrační testy?

Co testujeme?

  • Infrastrukturu – IT a OT sítě, síťové a bezpečnostní prvky, operační a podpůrné systémy, IoT zařízení, virtualizační platformy 
  • Aplikace – webové a speciální aplikace typu POS 
  • Služby – telekonferenční a e-mailové služby, úložiště, cloudové aplikace 
  • Zaměstnance – sociální inženýrství, phishingové kampaně cílené na klíčové osoby, procesy nebo informace 
  • Bezpečnostní technologie – účinnost šifrování komunikace, síťových firewallů, IDS, DLP a SIEMu 
  • Bezpečnostní procesy – fungování identifikace a zvládání bezpečnostních incidentů 
  • Ochranu významných osob – provádíme monitoring úniku citlivých dat do veřejného prostoru 
Co testujeme?
Jsou pro vaši firmu bezpečnostní a penetrační testy vhodné?

Jsou pro vaši firmu bezpečnostní a penetrační testy vhodné?

Provádět bezpečnostní testy je pro vás povinné, pokud vaše společnost patří mezi organizace, které jsou povinnými subjekty dle zákona č. 181/2014 sb. o kybernetické bezpečnosti a zpracováváte osobní údaje dle požadavků GDPR, provozujete systém řízení bezpečnosti informací, nebo zpracováváte údaje o držitelích platebních karet. 

 Kromě naplnění legislativní povinnosti je testování velmi přínosné pro organizace, které outsourcují informační systémy nebo jeho části a které jsou závislé na bezpečnosti odebíraných služeb. Otestovat vaši společnost je vhodné i pokud jste: 

  • provozovatelé dopravních systémů a dohledových center,  
  • producenti léčiv s validovanými i nevalidovanými výrobními systémy,  
  • zdravotnická zařízení s nemocničními, laboratorními, radiologickými a dalšími informačními systémy a zdravotnickou technikou, • výrobní podniky s vysokou mírou automatizace a OT, především zaměřené na potravinářskou a petrochemickou výrobu, strojírenství a automotive,
  • energetické, výrobní i distribuční společnosti,  
  • správa nemovitostí a developeři.  

Produktový list Bezpečnostních testů  ke stažení.

 

Jsou pro vaši firmu bezpečnostní a penetrační testy vhodné?

Jak probíhá penetrační testování?

1
Příprava testu
Na základě informací od vás a našich dlouholetých zkušeností připravíme doporučený rozsah testu, plán jeho průběhu a komunikační scénář. Prodiskutujeme omezení a další testovací parametry.
2
Testování
Během testu vás průběžně informujeme o stavu testu a časové náročnosti prováděných kroků.
3
Vyhodnocení testu
Na závěr zpracujeme písemnou zprávu, kterou vám odprezentujeme. Poskytneme vám data, která lze začlenit do analytických nástrojů.

Proč penetrační testy od nás?

Více než 20leté zkušenosti s bezpečností
Zkušení testeři s certifikací CEH či podobnou zvolí vhodnou metodu testu a vytvoří seznam zranitelností a nedostatků, které během testu získal. Stanoví priority nápravy a doporučí opatření.
Vlastní prověřené metodiky
Soubor metod se zaměřuje především na 3 oblasti. Spočívá v kontrole softwaru, testování fyzické bezpečnosti (včetně budovy) a testování schopnosti zaměstnanců rozpoznat útok.
Více než 200 bezpečnostních projektů
Náš tým běžně provádí bezpečnostní testy u korporací i malých a středních firem. Pokud odhalí bezpečnostní rizika pomůže je odstranit.

Nejčastěji se ptáte

Realizace testování zranitelností probíhá zejména s využitím automatizovaných nástrojů pro skenování zranitelností v ICT a ICS technologiích a službách s cílem zmapování maximálního možného počtu potenciálních zranitelností a bezpečnostních slabin, které jsou důsledkem chybějících bezpečnostních záplat na známé zranitelnosti a/nebo nedostatečné konfigurace operačních systémů a aplikačního software. Nalezené zranitelnosti jsou následně manuálně ověřeny. Závěrečná zpráva obsahuje výčet nalezených zranitelností včetně klasifikace úrovně závažnosti a doporučená protiopatření vedoucí k jejich odstranění nebo minimalizaci rizik včetně jejich prioritizace. 

Pokud je to možné, vždy doporučujeme možný způsob okamžité nápravy zranitelností v krátkodobém časovém horizontu a zároveň strategická opatření vedoucích k odstranění výskytu stejného nebo obdobného typu zranitelnosti v dlouhodobém horizontu.

Penetrační test simuluje chování chování potenciálního útočníka. Na základě informací a analýzy nalezených zranitelností jsou zvoleny vhodné techniky pro exploitaci nalezených zranitelností v souladu se stanovenými cíli penetračního testu. Může se jednat v závislosti na stanovených cílech a pravidlech penetračního testu pouze o „proof of concept“ pro prokázání nalezených zranitelností a/nebo se může jednat o prvotní fázi průniku s cílem simulovat chování útočníka ve fázi post-exploitace.

Jsou využívány dostupné exploity na známé zranitelnosti v technologiích a jejich konfiguracích a v případě potřeby jsou tyto exploity našimi konzultanty modifikovány, aby byla zajištěna jejich funkcionalita v testovaném prostředí. V některých případech je realizován vývoj vlastních exploitů na nalezené zranitelnosti

Je simulováno chování útočníka po prvotním průniku do testovaného prostředí s cílem udržení přístupu do prostředí, eskalace privilegií a laterárního pohybu v rámci prostředí a případného získání přístupu mimo IT prostředí.

Pasivní analýza provozu je druh testování, který je vhodný k analýze prostředí náchylného na provozní selhání a/nebo prostředí s kritickými systémy, u kterých je potřeba zcela vyloučit možné negativní vlivy samotného testování na provoz (například systémy zastaralé zdravotnické techniky, průmyslové a facility management systémy s neošetřenými vstupy apod.)

Testování je prováděno za pomocí sondy umístěné na stanovenou dobu do prostředí klienta a spočívá v pasivním monitorování síťového provozu.

Pasivní analýza se zaměřuje na:

  • Vyhledávání malware (např. ransomware) a botnet komunikace
  • Identifikaci pokusů o průnik
  • Rozpoznání APT příznaků z již zasažených systémů
  • Statistiku používání aplikací, internetových stránek, jejich podílu na provozu, kategorizace a rizikovost

Služba průběžné kontroly zranitelností je zaměřena na každodenní ověření, že se na systémech dostupných z Internetu nevyskytují bezpečnostní zranitelnosti, které by mohly být zneužity k útoku na klienta. Po registraci do služby jsou systémy klienta každý den ve stanovenou dobu zkontrolovány automatizovanými nástroji, které vyhledávají nově veřejně popsané zranitelnosti, chyby v konfiguraci, selhání bezpečnostních komponent apod. 

V případě, že je zjištěno podezření na výskyt zranitelnosti, je toto podezření manuálně ověřeno a potvrzeno analytikem a následně je bezpečnostní problém hlášen pověřené osobě na straně klienta a je poskytnuta součinnost při zjišťování rozsahu problému a návrhu řešení.

Služba nezávisle doplňuje procesy instalace bezpečnostních oprav a bezpečnostního dohledu, a je garancí, že vaše veřejně přístupné systémy nebudou obsahovat zranitelnosti, které z jakýchkoliv důvodů ušly pozornosti bezpečnostních zaměstnanců nebo technologií a které čekají, až je objeví útočník.

Kontinuální bezpečnostní testování je také vhodným bezpečnostním opatřením v případě, že má klient některé systémy outsourcovány. V takovém případě je velmi vhodné doplnit tento outsourcing kontrolním mechanismem, který bude pravidelně a nezávisle na dodavateli ověřovat bezpečnost poskytovaného řešení/služeb.

Tento test je zaměřen na ověření zranitelnosti lidského faktoru. Před provedením kampaně se provádí počáteční kybernetický průzkum ve snaze najít informace, které lze využít v přípravné a realizační fázi. Nasbírané informace mohou obsahovat uživatelská jména, e-mailové adresy, aktiva společnosti a další.

Jakmile jsou potřebné informace nashromážděny, zahajuje se počáteční analýza organizace, která odhalí informace, jež nám pomohou zajistit vyšší úspěšnost v doručení phishingových útoků. Navrhují se (cílené) phishingové e-maily a provádí se útok zasláním phishingových e-mailů zaměstnancům, které obsahují neškodný simulovaný odkaz/dokument, který má emulovat skutečný malware.

Emailová kampaň může být doplněna o telefonní test. Cílem tohoto testu budou získaná telefonní čísla zaměstnanců . Na tato zjištěná telefonní čísla budou směřovány útoky dle různých scénářů, jejichž cílem bude přinutit zaměstnance vyzradit nějakou citlivou informaci (např. svoje přihlašovací jméno a heslo) nebo spustit testovací kód (soubor) simulující malware podobně jako u e-mailového testu. Na základě získaných informací budou učiněny pokusy testerů o neautorizovaný průnik do vnitřních prostor organizace a o připojení testovacích zařízení do datových sítí.

Bezpečností revize zdrojového kódu je pravděpodobně nejefektivnější technikou pro odhalení bezpečnostních chyb v rané fázi vývoje v životním cyklu vývoje systému. Revize se používá společně s testováním zranitelností. Bezpečnostní revize kódu nenahrazuje revizi kódu zaměřenou na hledání funkčních chyb, optimalizaci a zlepšování kvality zdrojového kódu.

Cílem revize kódu je identifikovat bezpečnostní nedostatky v aplikaci související s jejími funkcemi a návrhem, spolu s tím, jak je aplikace zabezpečená. S rostoucí složitostí aplikací a příchodem nových technologií tradiční způsob testování nemusí odhalit všechny bezpečnostní chyby, které se v aplikacích vyskytují. Je třeba porozumět kódu aplikace, externím komponentám a konfiguracím.

Revize zdrojového kódu je proces auditu zdrojového kódu aplikace, jehož cílem je ověřit, zda je v aplikaci zajištěno správné zabezpečení a zda kontroly zda fungují tak, jak mají, a zda byly vyvolány na správných místech. 

Bezpečností revize kódu též umožňuje zjistit, zda vývojáři aplikace dodrželi zásady bezpečného vývoje. 

Všechny revize bezpečnostního kódu jsou kombinací lidského úsilí a technologických nástrojů statické analýzy (SAST).

Využíváme vhodnou kombinaci následujících metodik:

  • Penetration Testing Framework (PTF)
  • Open Source Security Testing Methodology Manual  (OSSTMM)
  • OWASP Web Security Testing Guide (WSTG)
  • OWASP Mobile Security Testing Guide (MSTG)
  • OWASP Firmware Security Testing Methodology
  • NIST 800-115
  • PCI DSS Penetration Testing Guidance
  • Common Vulnerability Scoring Systém (CVSS)
  • Center for Internet Security Benchmarks (CIS Benchmarks)

 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Garant služby
Daniel Přívratský
Daniel Přívratský
Enterprise Security Architect
Dan je expertem v oblasti bezpečnosti informací jak v procesní, tak i technické oblasti. Díky jeho jedinečné kombinaci zkušeností mohou tyto služby přinést tu nejvyšší přidanou hodnotu.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.