Penetrační test (nebo taky pen-test) je simulace reálného hackerského útoku.
Provádět bezpečnostní testy je pro vás povinné, pokud vaše společnost patří mezi organizace, které jsou povinnými subjekty dle zákona č. 181/2014 sb. o kybernetické bezpečnosti a zpracováváte osobní údaje dle požadavků GDPR, provozujete systém řízení bezpečnosti informací, nebo zpracováváte údaje o držitelích platebních karet.
Kromě naplnění legislativní povinnosti je testování velmi přínosné pro organizace, které outsourcují informační systémy nebo jeho části a které jsou závislé na bezpečnosti odebíraných služeb. Otestovat vaši společnost je vhodné i pokud jste:
Produktový list Bezpečnostních testů ke stažení.
Realizace testování zranitelností probíhá zejména s využitím automatizovaných nástrojů pro skenování zranitelností v ICT a ICS technologiích a službách s cílem zmapování maximálního možného počtu potenciálních zranitelností a bezpečnostních slabin, které jsou důsledkem chybějících bezpečnostních záplat na známé zranitelnosti a/nebo nedostatečné konfigurace operačních systémů a aplikačního software. Nalezené zranitelnosti jsou následně manuálně ověřeny. Závěrečná zpráva obsahuje výčet nalezených zranitelností včetně klasifikace úrovně závažnosti a doporučená protiopatření vedoucí k jejich odstranění nebo minimalizaci rizik včetně jejich prioritizace.
Pokud je to možné, vždy doporučujeme možný způsob okamžité nápravy zranitelností v krátkodobém časovém horizontu a zároveň strategická opatření vedoucích k odstranění výskytu stejného nebo obdobného typu zranitelnosti v dlouhodobém horizontu.
Penetrační test simuluje chování chování potenciálního útočníka. Na základě informací a analýzy nalezených zranitelností jsou zvoleny vhodné techniky pro exploitaci nalezených zranitelností v souladu se stanovenými cíli penetračního testu. Může se jednat v závislosti na stanovených cílech a pravidlech penetračního testu pouze o „proof of concept“ pro prokázání nalezených zranitelností a/nebo se může jednat o prvotní fázi průniku s cílem simulovat chování útočníka ve fázi post-exploitace.
Jsou využívány dostupné exploity na známé zranitelnosti v technologiích a jejich konfiguracích a v případě potřeby jsou tyto exploity našimi konzultanty modifikovány, aby byla zajištěna jejich funkcionalita v testovaném prostředí. V některých případech je realizován vývoj vlastních exploitů na nalezené zranitelnosti
Je simulováno chování útočníka po prvotním průniku do testovaného prostředí s cílem udržení přístupu do prostředí, eskalace privilegií a laterárního pohybu v rámci prostředí a případného získání přístupu mimo IT prostředí.
Pasivní analýza provozu je druh testování, který je vhodný k analýze prostředí náchylného na provozní selhání a/nebo prostředí s kritickými systémy, u kterých je potřeba zcela vyloučit možné negativní vlivy samotného testování na provoz (například systémy zastaralé zdravotnické techniky, průmyslové a facility management systémy s neošetřenými vstupy apod.)
Testování je prováděno za pomocí sondy umístěné na stanovenou dobu do prostředí klienta a spočívá v pasivním monitorování síťového provozu.
Pasivní analýza se zaměřuje na:
Služba průběžné kontroly zranitelností je zaměřena na každodenní ověření, že se na systémech dostupných z Internetu nevyskytují bezpečnostní zranitelnosti, které by mohly být zneužity k útoku na klienta. Po registraci do služby jsou systémy klienta každý den ve stanovenou dobu zkontrolovány automatizovanými nástroji, které vyhledávají nově veřejně popsané zranitelnosti, chyby v konfiguraci, selhání bezpečnostních komponent apod.
V případě, že je zjištěno podezření na výskyt zranitelnosti, je toto podezření manuálně ověřeno a potvrzeno analytikem a následně je bezpečnostní problém hlášen pověřené osobě na straně klienta a je poskytnuta součinnost při zjišťování rozsahu problému a návrhu řešení.
Služba nezávisle doplňuje procesy instalace bezpečnostních oprav a bezpečnostního dohledu, a je garancí, že vaše veřejně přístupné systémy nebudou obsahovat zranitelnosti, které z jakýchkoliv důvodů ušly pozornosti bezpečnostních zaměstnanců nebo technologií a které čekají, až je objeví útočník.
Kontinuální bezpečnostní testování je také vhodným bezpečnostním opatřením v případě, že má klient některé systémy outsourcovány. V takovém případě je velmi vhodné doplnit tento outsourcing kontrolním mechanismem, který bude pravidelně a nezávisle na dodavateli ověřovat bezpečnost poskytovaného řešení/služeb.
Tento test je zaměřen na ověření zranitelnosti lidského faktoru. Před provedením kampaně se provádí počáteční kybernetický průzkum ve snaze najít informace, které lze využít v přípravné a realizační fázi. Nasbírané informace mohou obsahovat uživatelská jména, e-mailové adresy, aktiva společnosti a další.
Jakmile jsou potřebné informace nashromážděny, zahajuje se počáteční analýza organizace, která odhalí informace, jež nám pomohou zajistit vyšší úspěšnost v doručení phishingových útoků. Navrhují se (cílené) phishingové e-maily a provádí se útok zasláním phishingových e-mailů zaměstnancům, které obsahují neškodný simulovaný odkaz/dokument, který má emulovat skutečný malware.
Emailová kampaň může být doplněna o telefonní test. Cílem tohoto testu budou získaná telefonní čísla zaměstnanců . Na tato zjištěná telefonní čísla budou směřovány útoky dle různých scénářů, jejichž cílem bude přinutit zaměstnance vyzradit nějakou citlivou informaci (např. svoje přihlašovací jméno a heslo) nebo spustit testovací kód (soubor) simulující malware podobně jako u e-mailového testu. Na základě získaných informací budou učiněny pokusy testerů o neautorizovaný průnik do vnitřních prostor organizace a o připojení testovacích zařízení do datových sítí.
Bezpečností revize zdrojového kódu je pravděpodobně nejefektivnější technikou pro odhalení bezpečnostních chyb v rané fázi vývoje v životním cyklu vývoje systému. Revize se používá společně s testováním zranitelností. Bezpečnostní revize kódu nenahrazuje revizi kódu zaměřenou na hledání funkčních chyb, optimalizaci a zlepšování kvality zdrojového kódu.
Cílem revize kódu je identifikovat bezpečnostní nedostatky v aplikaci související s jejími funkcemi a návrhem, spolu s tím, jak je aplikace zabezpečená. S rostoucí složitostí aplikací a příchodem nových technologií tradiční způsob testování nemusí odhalit všechny bezpečnostní chyby, které se v aplikacích vyskytují. Je třeba porozumět kódu aplikace, externím komponentám a konfiguracím.
Revize zdrojového kódu je proces auditu zdrojového kódu aplikace, jehož cílem je ověřit, zda je v aplikaci zajištěno správné zabezpečení a zda kontroly zda fungují tak, jak mají, a zda byly vyvolány na správných místech.
Bezpečností revize kódu též umožňuje zjistit, zda vývojáři aplikace dodrželi zásady bezpečného vývoje.
Všechny revize bezpečnostního kódu jsou kombinací lidského úsilí a technologických nástrojů statické analýzy (SAST).
Využíváme vhodnou kombinaci následujících metodik: