Testy penetracyjne sieci i systemów komputerowych
Testy penetracyjne sieci i systemów komputerowych
cel
Funkcjonują ogólne standardy i zalecenia odnośnie testów penetracyjnych, pozwalające usystematyzować pracę testerow, a osobom mniej technicznym zrozumieć scenariusz i ogólny charakter usługi.
Jednak testy penetracyjne to w dużym zakresie proces kreatywny. Praktycznie nie ma dwóch jednakowych testów penetracyjny. Poszczególne etapy i podejmowane akcje wynikają z uzyskiwanych na bieżąco rezultatów oraz rekonesansu.
Działamy z pasją i doświadczeniem
Podczas testów penetracyjnych sieci i systemów testuje się każdy możliwy wektor ataku, który może zostać wykorzystany w określonej infrastrukturze IT.
Każda firma posiada swoje własne, wypracowane metody pracy wynikające wprost z jej wiedzy i doświadczeń.
Poniżej lista punktów, które są zawsze w centrum naszych działań w ramach omawianych testów penetracyjnych.
Bezpieczeństwo sieci
sprawdzenie bezpieczeństwa haseł
ocena zabezpieczeń przełączników sieciowych,
ocena zabezpieczeń routerów,
ocena zabezpieczeń zapór sieciowych/unikanie zapór sieciowych,
ocena zabezpieczeń systemu wykrywania włamań (IDS),
ocena zabezpieczeń sieci VPN (ang. Virtual Private Network),
ocena zabezpieczeń systemu antywirusowego i strategii zarządzania,
ocena zabezpieczeń sieci SAN (ang. Storage Area Network),
ocena zabezpieczeń sieci WLAN (ang. Wireless Local Area Network),
ocena zabezpieczeń użytkowników korzystających z internetu,
ocena zabezpieczeń urządzeń wykorzystywanych do komunikacji VoIP,
ocena zabezpieczeń innych urządzeń sieciowych, np. kamer przemysłowych, czytników RFID, itp.
ocena innych protokołów sieciowych.
Bezpieczeństwo systemów komputerowych
ocena zabezpieczeń systemów UNIX/Linux,
ocena zabezpieczeń systemów Windows,
ocena zabezpieczeń serwerów
Testy penetracyjne sieci i systemów nie skupiają się na aplikacjach samych w sobie, w związku z czym nie stanowią wyczerpującego testu aplikacji pozwalającego zweryfikować ich poziom bezpieczeństwa.
Test penetracyjnych aplikacji jest złożonym procesem charakteryzujący się nieco odmienną metodologią, którego celem jest dokładna weryfikacja poziomu bezpieczeństwa aplikacji, a w ramach tego identyfikacja jak największej liczby możliwych podatności.
Podejścia do testów penetracyjnych
Black-Box
Korzyści płynące z tego podejścia to przede wszystkim odzwierciedlenie realnego ataku z jakim może się zmierzyć organizacja. Na uwadze jednak trzeba mieć fakt, że przy tym podejściu znacznie trudniej jest określić koszty oraz zakres usługi w związku z czym uzyskane rezultaty są podstawą do wskazania kolejnych obszarów, które warto poddać testom, a które nie zmieściły się w określonym wcześniej budżecie.
White-Box
Podejście white-box pozwala na dokładniejszą wycenę usługi, jednak wymaga większego zaangażowania klienta od początku przygotowania usługi.
Grey-Box
Ważne
Wszystkie wykorzystywane przez nasz zespół narzędzia są albo autorskie, albo zostały poddane dokładnym testom weryfikującym.
Nie istnieje więc niebezpieczeństwo utraty kontroli nad procesem testu penetracyjnego czy niekontrolowanej infekcji systemów klienta.
Masz pytania?
Chcesz zamówić usługę testów penetracyjnych?
Potrzebujesz więcej informacji?
Skontaktuj się z nami
