Testy penetracyjne

Testy penetracyjne to zaawansowane audyty bezpieczeństwa, których celem jest wykrycie i ocena podatności w całym ekosystemie IT organizacji – od infrastruktury sieciowej, przez aplikacje webowe i mobilne, po rozwiązania chmurowe. Działania te nie tylko identyfikują luki, ale również symulują realistyczne scenariusze ataków, w tym ataki socjotechniczne czy exploity zero-day, co pozwala zweryfikować skuteczność mechanizmów obronnych. Dzięki temu organizacja może ocenić swoją zdolność do wykrywania incydentów, reagowania na nie oraz minimalizowania potencjalnych strat biznesowych.

 

W procesie testów wykorzystujemy hybrydowe podejście, łączące najnowocześniejsze narzędzia skanujące (m.in. Nessus, Burp Suite, Metasploit) z ekspercką analizą przeprowadzaną przez certyfikowanych specjalistów OSCP. Nasze rozwiązania opieramy zarówno na publicznych bazach podatności, takich jak CVE MITRE, jak i na autorskich bazach wiedzy, które są na bieżąco aktualizowane poprzez monitoring darknetu i forów hakerskich. Pozwala to wychwycić nawet najświeższe zagrożenia, charakterystyczne dla branży klienta – w tym sektora finansowego, medycznego czy e-commerce.

 

Proces testów realizujemy w ścisłym reżimie standardów międzynarodowych, takich jak:

 

  •  PTES (Penetration Testing Execution Standard) – zapewniający spójność faz od rozpoznania po raportowanie
  •  OWASP Testing Guide – kluczowy dla testowania aplikacji pod kątem TOP 10 zagrożeń OWASP
  •  Normy ISO/IEC 27001, PN-ISO/IEC 17799 oraz wytyczne ISO/IEC TR 13335, gwarantujące zgodność z wymogami prawnymi i najlepszymi praktykami zarządzania ryzykiem

Testy penetracyjne, w zależności od potrzeb, obejmują testy:

siec_lan

1.

Sieci LAN
wifi

2.

Sieci bezprzewodowych (WiFi)
endpoint

3.

Końcówek (serwerów, komputerów, laptopów)
internet_of_things

4.

Serwisów i aplikacji wstawionych do Internetu
maszyny_i_urzadzenia_produkcyjne

5.

E-commerce
aplikacje_mobilne

6.

Odporności na ataki typu DoS

7.

Testy penetracyjne TLTP
strony_www

8.

Aplikacji mobilnych

9.

Odzyskiwanie haseł z plików

Wynikiem testów jest raport ze zidentyfikowanymi obszarami do poprawy bezpieczeństwa. Wszystkie znalezione luki będą pogrupowane względem ryzyka i priorytetów (standard Common Vulnerability Scoring System – CVSS) i oznaczone w najpopularniejszych standardach (OVAL, CVE).

Raport będzie również zawierał listę zgłoszeń gwarancyjnych do aktualnych dostawców, jeżeli zostaną one zidentyfikowane.

CyberClue oferuje również pomóc we wprowadzeniu wszystkich koniecznych zaleceń.