Informačné technológie

Penetračné testy

Včasné odhaľovanie bezpečnostných chýb a zraniteľností v informačných systémoch skôr ako ich zneužije útočník.

Význam penetračných testov

Prevencia pred bezpečnostnými incidentmi a stratou dobrého mena

Identifikácia bezpečnostných chýb v systémoch a predchádzanie stratám

Sledovanie vývoja stavu bezpečnosti

Optimalizácia nákladov na implementáciu bezpečnostných opatrení

Test infraštruktúry

Chcete se presvedčiť, ako je na tom vaša sieť alebo server so zabezpečením pred útočníkmi z internetu?

Čo si môže z vašej firmy odniesť niekto, kto si zapojí svoj notebook do najbližšej zásuvky? Viete, čo všetko môže vykonať zamestnanec zo svojho počítača?

Externý test infraštruktúry

Test simulujúci útok cielený priamo na vás. Použijeme rovnaké alebo podobné nástroje, aké by použil aj skutočný útočník a zameriame sa na tie nejčastejšie a nejznámejšie chyby. Výstup získaný prostredníctvom automatizovanej kontroly je ďalej analyzovaný a spresňovaný. Cieľom je detekovať slabé miesta, preveriť ich a získané údaje alebo prístupy použiť pri ďalšom skúmaní a prenikaní do systémov.

Interný test infraštruktúry

V rámci testu je preverené zabezpečenie internej siete zákazníka z pohľadu neautorizovaného útočníka s pripojením k sieti a tiež z pohľadu bežného používateľa (zamestnanca). Cieľom je zistiť možnosti neoprávneného prístupu útočníka k informáciám, dátam a činnostiam.

Test aplikácií

01

Test simulujúcí útok cielený priamo na Vás. Použijeme rovnaké alebo podobné nástroje, aké by použil aj skutočný útočník, a zameriame se na tie nejčastejšie a najznámejšie chyby. Výstupy automatizovaného testovania sú manuálne skontrolované a podľa odhalených zistení sú upravované nastavenia použitých testovacích nástrojov.


Chyby odhalené pri automatizovanej kontrole sú ďalej preverované, či nejde o false-positive zistenie. Slabé miesta sú v ďalšom kroku preverené pokusmi o kompromitáciu aplikácie alebo servera.Test je vykonaný podľa OWASP Top 10 (Open Web Application Security Project) zameraný na kontrolu najčastejších zraniteľností a môže byť doplnený o ďalšie testy podľa OWASP Testing Guide.

02

Cieľom tohto testu je dôkladné otestovanie webovej aplikácie a jej infraštruktúry z pohľadu anonymného alebo prihláseného používateľa, resp. rôznych rolí používateľov. Výstupy automatizovaného testovania sú manuálne overované a zistenia ďalej použité pri pokusoch o kompromitáciu aplikácie alebo servera. Použitie manuálneho testovania umožňuje prekonať bariéry, cez ktoré sa automatizované nástroje nedostanú. Rozsah a hĺbka testovania je určená požiadavkami zákazníka. Začína od jednoduchého testu oblastí uvedených v OWASP Top 10 a končí testom realizovaným striktne podľa OWASP Testing Guide, vrátane prípadného rozšírenia testu o ďalšie nezahrnuté oblasti (špecifické pre danú aplikáciu alebo technológiu, nové typy chýb neznáme v dobe vzniku aktuálnej verzie Testing Guide, a pod.). Test môže byť doplnený o kontrolu vybraných častí zdrojového kódu.

03

Tak ako iné typy aplikácií, aj mobilné aplikácie zápasia s výskytom zraniteľností. Potenciálny útočník ich môže zneužiť – spôsobiť únik citlivých dát, obmedziť jej funkčnosť a pod. Pre testovanie používa ESET metodiku vychádzajúcu z OWASP Mobile Security Project kombinovanú s vlastnými skúsenosťami a znalosťami testovania mobilných aplikácií.

Automatizovaný test

Každý počítač dostupný z internetu môže byť niekoľkokrát za deň preskúmaný automatickými robotmi. Niektorí hľadajú chyby, aby sa nimi mohli chváliť na internete, iní sa snažia získať uložené dáta alebo objednať zdarma pizzu, ďalší chcú rozoslať milión reklamných emailov.

Ponúkame Vám podobný automatický prieskum simulujúci niektoré z týchto útokov s tým, že získané dáta obdržíte Vy.

Pri kritických bezpečnostných chybách objavených pri kontrole bude manuálne overené, či nejde o falošné zistenie (false-positive). Preverenie, či je možné túto chybu naozaj využiť už nie je vykonané.