Testy bezpieczeństwa (penetracyjne)

Testy bezpieczeństwa, nazywane również testami penetracyjnymi to proces, w czasie którego przeprowadzane są kontrolowane ataki teleinformatyczne względem badanego systemu, aplikacji lub usługi. Celem testów penetracyjnych jest m.in. praktyczna ocena ogólnego poziomu bezpieczeństwa gwarantowanego przez przedmiot badań, wykrycie obecności podatności oraz zweryfikowanie odporności na próby sforsowania zabezpieczeń.

Nasi specjaliści korzystają podczas testów penetracyjnych z autorskich metodyk bazujących na wiedzy eksperckiej, doświadczeniu oraz zaleceniach opisanych m.in. w:

Testy bezpieczeństwa to jeden z naszych głównych obszarów świadczonych usług. Nasz zespół co roku przeprowadza od 150. do 200. testów penetracyjnych dla wielu znanych Klientów i Instytucji sektora publicznego oraz sektorów bankowego, finansowego, ubezpieczeniowego, przemysłowego, usługowego i e-commerce. Testujemy wszelkie rodzaje usług świadczonych w sieci Internet, od aplikacji internetowychusług sieciowych (tzw. WebServices: SOAP i REST), poprzez aplikacje mobilne (dla urządzeń Android i iOS), aplikacje desktopowe, po testy penetracyjne sieci komputerowych, sieci Wi-Fi, na testach całych środowisk teleinformatycznych kończąc. Dodatkowo oferujemy również realizację badań zgodności konfiguracji systemów operacyjnych Windows i Linux na zgodność z rekomendacjami dziedzinowymi, m.in. CIS Benchmarks oraz CISOfy oraz weryfikację poprawności konfiguracji rozwiązań bazodanowych.

Warianty testów

Testy bezpieczeństwa możemy przeprowadzić w wariantach opisanych poniżej.

Testy aplikacji internetowych i usług sieciowych

Oferujemy realizację testów penetracyjnych aplikacji WWW i usług sieciowych (SOAP i REST), które obejmują weryfikację narzędziami automatyzującymi wykrywanie podatności oraz szczegółowe testy eksperckie. Nasi pentesterzy realizują standardowe badania występowania podatności z najnowszej wersji listy OWASP Top 10 najbardziej powszechnych luk bezpieczeństwa aplikacji internetowych. Ponadto testy eksperckie bazują na analizie sposobu działania witryny. Testy te są każdorazowo dostosowywane do specyfiki badanego systemu. Sposób przeprowadzenia testów eksperckich w dużej mierze jest ustalany na bieżąco w trakcie ich wykonywania, na podstawie uzyskiwanych wyników, doświadczenia i „wyczucia” osób je wykonujących. W tym etapie badań najczęściej wykorzystywane są autorskie narzędzia/exploity, przygotowywane specjalnie pod kątem konkretnego testu. W ramach tego etapu badań weryfikowane są wszystkie przypuszczenia, co do istnienia podatności w badanym systemie również te spoza listy OWASP Top 10.

Testy aplikacji mobilnych

W ramach testów aplikacji mobilnych posiłkujemy się metodyką OWASP MSP (OWASP Mobile Security Project) oraz najnowszą wersją listy Mobile Top 10 najczęściej występujących i najistotniejszych luk podatności aplikacji mobilnych. Prace głównie realizujemy w formie testów eksperckich, których zakres każdorazowo dostosowywany jest do specyfiki badanego systemu na podstawie wspomnianej metodyki poszerzonej o nasze wieloletnie doświadczenie i „wyczucie”. Testujemy zarówno aplikacje przeznaczone na urządzenia pracujące pod kontrolą systemu Android, jak i iOS. Dodatkowo testy mogą zostać rozszerzone o m.in. badania styku aplikacji mobilnych i systemów biznesowych Klienta polegające np. na weryfikacji możliwości uzyskania nieautoryzowanego dostępu do zasobów serwera obsługującego żądania użytkowników.

Testy aplikacji desktopowych

Oferta testów penetracyjnych obejmuje również aplikacje natywne opracowane dla systemów Windows i Linux. Doświadczenie naszego Zespołu pozwala nam na realizację testów aplikacji opracowanych z wykorzystaniem dowolnej technologii i napisanych w dowolnym języku programowania. Tak jak w przypadku testów aplikacji internetowych i mobilnych wykorzystujemy zarówno narzędzia automatyzujące wykrywanie podatności, jak i wiedzę oraz narzędzia eksperckie, w tym autorskie rozwiązania opracowywane specjalnie na potrzeby konkretnych testów.

Testy sieci komputerowych

Przeprowadzamy testy penetracyjne całej infrastruktury Klienta, obejmujące m.in. próby nadużyć względem urządzeń sieciowych (routery i przełączniki), zapór sieciowych, serwerów, stacji klienckich oraz innych składników obecnych w badanym środowisku. Testy możemy wykonywać z poziomu sieci Internet oraz sieci LAN, co odwzorowuje sytuację, w której agresor uzyskał dostęp do sieci wewnętrznej organizacji, bądź agresorem jest nieuczciwy pracownik.

Testy sieci bezprzewodowych (Wi-Fi)

Ze względu na wszechobecną dostępność sieci bezprzewodowych (zwłaszcza Wi-Fi) zasadnym jest weryfikowanie ich zabezpieczeń i możliwości realizacji skutecznego ataku względem zasobów Klienta z wykorzystaniem tego kanału dostępu. Testy penetracyjne sieci Wi-Fi obejmują m.in. próby nieautoryzowanego dostępu i przełamywania zabezpieczeń, możliwość eskalacji ataku poprzez próby uzyskania dostępu do systemów w sieci LAN Klienta oraz próby przechwycenia danych przesyłanych w sieci. Część testów penetracyjnych sieci Wi-Fi obejmuje również manipulacje socjotechniczne polegające np. na udostępnieniu fałszywego punktu dostępowego na terenie biura Klienta.

Analiza konfiguracji systemów i baz danych

Poza testami penetracyjnymi oferujemy również audyty konfiguracji elementów składowych środowiska teleinformatycznego m.in. na zgodność z uznanymi standardami, np. CIS Benchmarks lub CISOfy. Badaniom możemy poddać konfigurację m.in. urządzeń sieciowych (routerów i przełączników), zapór sieciowych, terminatorów VPN, serwerów i stacji roboczych Windows oraz Linux.

W przypadku baz danych oferujemy m.in. sprawdzenie poprawności ich konfiguracji zgodnie z najlepszymi zaleceniami dziedzinowymi. Sprawdzeniom podlegają m.in. dostępne konta użytkowników, ich uprawnienia i poziom zabezpieczeń, aktualność oprogramowania, zasadność przydzielonych ról i uprawnień. Ponadto sprawdzamy poszczególne atrybuty konfiguracyjne mające wpływ na gwarantowanie atrybutów bezpieczeństwa, dostępności i poufności danych przechowywanych i przetwarzanych w bazie.

Referencje