Testy penetracyjne

Czym są testy penetracyjne?

Testy penetracyjne to proces polegający na przeprowadzeniu symulowanego ataku na infrastrukturę lub aplikację, który ma za cel zidentyfikować słabe punkty. Testy penetracyjne są jedynym skutecznym sposobem pozwalającym określić podatności i oszacować ryzyko utraty informacji. Ich celem jest wykorzystanie słabych punktów infrastruktury, aplikacji, ludzi i procesów firmy. Dzięki takiemu podejściu możemy określić kontekst związany ze zidentyfikowaną podatnością, skutkiem, zagrożeniem i prawdopodobieństwem naruszenia bezpieczeństwa.

Jakie są rodzaje testów przeprowadzamy?

Istnieją wewnętrzne i zewnętrzne testy penetracyjne – w zależności od tego, jaki obszar i zakres infrastruktury ma być nimi objęty.

Wewnętrzny test penetracyjny

Ten rodzaj testu ocenia system bezpieczeństwa z poziomu użytkownika wewnętrznego, pracownika tymczasowego lub osoby mającej fizyczny dostęp do budynków organizacji. Testy sprawdzą, czy możliwe jest uzyskanie dostępu do uprzywilejowanych informacji organizacji przez nieuprawnione osoby wewnątrz organizacji.

 

Zewnętrzny test penetracyjny

Ten rodzaj testu ocenia infrastrukturę organizacji z zewnątrz, przez Internet. Ocenia on środowisko z poziomu hackera lub konkurencji. Zewnętrzny test penetracyjny oceni zabezpieczenia skonfigurowane na routerach, zaporach, systemach wykrywania włamań, które chronią działania w sieci.

Zewnętrzne testy umożliwią również ocenę zabezpieczeń w przypadku aplikacji dostępnych w sieci Internet i ich połączenia z wewnętrznymi zasobami organizacji. Zwracamy szczególną uwagę na te zasoby i dokonujemy szczegółowej oceny ich struktury i konfiguracji, a także interakcji z innymi źródłami danych, które znajdują się w chronionych segmentach sieci.

 

Jak wygląda proces testu penetracyjnego?

Mimo że każdy test jest dostosowany do indywidualnych potrzeb naszych klientów, stosujemy tę samą sprawdzoną metodologię, aby utrzymać spójny i powtarzalny zestaw wyników.

etap I
zdefiniowanie wymagań
etap II
rozpoznanie i zbieranie informacji
etap III
mapowanie i identyfikacja usług
etap IV
analiza słabych punktów
etap V
wykorzystanie zidentyfikowanych podatności
etap VI
pozyskanie informacji, eskalacja uprawnień
etap VII
raportowanie