Proč provádět penetrační testy?
- Prevence před bezpečnostními incidenty a ztrátou dobrého jména
- Včasná identifikace bezpečnostních chyb v systémech a předcházení ztrátám při jejich zneužití
- Sledování vývoje stavu bezpečnosti
- Optimalizace nákladů na implementaci bezpečnostních opatření
Proč ESET?
- Více než 10 let zkušeností v segmentu kybernetické a informační bezpečnosti a podporu jedné z největších českých a slovenských IT security firem.
- Informační bezpečnost nejen řešíme ale se tak i řídíme, ESET je držitelem certifikace podle normy ISO / IEC 27001 při vývoji produktů a poskytování služeb.
- Disponujeme širokým týmem certifikovaných etických hackerů, kteří mají dlouholeté zkušenosti a v minulosti realizovali již nespočet penetračních testů webových a mobilních aplikací, síťové a aplikační infrastruktury, ale i klientských nebo průmyslových zařízení.
Penetrační testy
Základním cílem penetračního testování, často označovaného také jako „ethical hacking“, je metodou simulovaného hackerského útoku ověřit úroveň bezpečnosti systémů vaší organizace a odolnost informačních a komunikačních technologií před reálnými kybernetickými hrozbami.
Na základě našich zkušeností víme, že vaše potřeby nejsou univerzální. Právě proto naši specialisté nejdřív co nejlépe pochopí bezpečnostní rizika vašeho podnikání, které následně za předem dohodnutých podmínek vystaví profesionálně vedenému útoku tak, jak by mohl reálně probíhat.
V průběhu penetračních testů naši specialisté kombinují použití automatizovaných nástrojů a manuálních testovacích scénářů tak, aby ve vaší počítačové síti, webové nebo mobilní aplikaci odhalily všechny bezpečnostní zranitelnosti, které by mohly vést k úniku citlivých informací. Za hlavní přidanou hodnotu pro naše zákazníky považujeme zejména manuální fázi testů, kdy dovedeme náležitě zúročit dlouholeté zkušenosti našich specialistů.
Výstupem z penetračních testů je podrobná závěrečná zpráva, která vám poslouží jako pomoc při odstranění zjištěných zranitelností a vylepšení vaší bezpečnosti. Níže najdete seznam námi nabízených testů včetně stručného popisu. Jednotlivé testy vždy přizpůsobujeme individuálním potřebám našich klientů.
Test webové aplikace
Vhodný jak pro menší weby, tak i pro komplexní portály. Během testování se zaměříme na všechny známé zranitelnosti podle standardu OWASP včetně chyb, které vyplývají z byznysové logiky aplikace.
- Penetrační test
Základní typ testu, který vám pomůže identifikovat nejběžnější zranitelnosti webových aplikací. Test je proveden dle metodiky OWASP Top 10. - Komplexní bezpečnostní test
Rozsáhlejší typ testu, který poskytne komplexní zprávu o bezpečnosti vaší webové aplikace ze všech stran. Test je proveden dle nejaktuálnější verze metodiky OWASP Web Security Testing Guide, tzv. „Full OWASP“ nebo OWASP Application Security Verification Standard, neboli OWASP ASVS.
Doporučíme a provedeme způsob testování formou, která nejlépe odpovídám rizikům vaší organizace a potenciálním útokům, kterým můžete reálně čelit.
- Black box
- Gray box
- White box
Test mobilní aplikace
Tak jako jiné typy aplikací, i mobilní aplikace se potýkají s výskytem zranitelností. Potenciální útočník je může zneužít, a tím způsobit únik citlivých dat, omezit jejich funkčnost, odcizit finanční prostředky apod. Pro testování používá ESET metodiku vycházející z OWASP Mobile Security Testing Guide, případne Mobile Application Security Requirements and Verification, neboli OWASP MASVS kombinovanou s vlastními zkušenostmi a znalostmi testování mobilních aplikací.
Test interní infrastruktury
Představuje bezpečnostní audit formou penetračního testu, pomocí kterého odhalíme bezpečnostní zranitelnosti ve vaší síti. Během testu používáme stejné nástroje, jaké by použil i skutečný útočník a zaměříme se na ty nejčastější a nejznámější chyby. Audit simuluje útok prováděný z vnitřního prostředí sítě, z pohledu zaměstnance s běžnými uživatelskými oprávněními, bez dalších znalostí o interní infrastruktuře či provozovaných aplikacích. Nebo také útok z pohledu narušitele, který nepozorovaně pronikl do vnitřních prostor vaší organizace a nedisponuje vlastním uživatelským účtem.
Test externí infrastruktury
Představuje bezpečnostní audit formou penetračního testu, pomocí kterého odhalíme bezpečnostní zranitelnosti ve vaší síti. Během testu používáme stejné nástroje, jaké by použil i skutečný útočník a zaměříme se na ty nejčastější a nejznámější chyby. Audit simuluje útok prováděný zvenku, respektive z internetu, bez jakýchkoliv znalostí o architektuře, dostupných systémech či aplikacích nebo uživatelských přístupech (formou tzv. „black-boxu“).
Review zdrojového kódu
Jedná se o metodické prozkoumání zdrojového kódu aplikace, kterého cílem je identifikovat chyby nebo bezpečnostní rizika, vyplývající z programátorských nedostatků, nedodržování standardů či úmyslně zanesených backdoorů. Během bezpečnostního posouzení kódu se prioritně zaměříme na identifikaci zranitelností v kontrolních strukturách, validaci uživatelských vstupů, zpracování chybových stavů, práci se soubory či vstupními parametry funkcí apod. Součástí služby review zdrojového kódu od společnosti ESET je i konzultace a poradenství, jak správně navrhnout architekturu vašeho SW projektu tak, aby splňoval všechny požadavky z pohledu IT bezpečnosti.
Další nabízené služby:
Test IT infrastruktury včetně bezdrátových (Wi-Fi) sítí; Test IoT zařízení (propojení zařízení, objektů a lidí s internetem, zejména prostřednictvím Wi-Fi nebo Bluetooth); Bezpečnostní testování neboli security assessment nově pořizovaných technológií, které mohou mít přímí dopad na bezpečnost; Vyhodnocení kvality technologií, které ve vaší organizaci hlídají a monitorují různé bezpečnostní aspekty apod.
Reference a případové studie
Sekce Reference obsahuje praktické příklady řešení a projektů v oblasti informační bezpečnosti u vybraných zákazníků, které mohou být inspirací i pro vaši firmu.
Všechny reference >