Testy penetracyjne

Nasze metody testów penetracyjnych są dostosowane do poziomu dojrzałości bezpieczeństwa IT.

W przypadku firm o niskim poziomie dojrzałości bezpieczeństwa IT zalecamy przeprowadzenie oceny podatności, która automatycznie ujawni większość znanych i możliwych do automatycznego wykorzystania luk w systemach.

Jeśli Twoja firma ma średni poziom dojrzałości bezpieczeństwa IT, zalecamy przeprowadzenie testu penetracyjnego systemów. Test penetracyjny wykorzystuje ręczne i zautomatyzowane testy do identyfikacji i wykorzystania luk w zabezpieczeniach. Daje to naszym ekspertom ds. bezpieczeństwa IT głębszy wgląd w podatność systemów i sieci.

Jeśli poziom dojrzałości Twoich zabezpieczeń IT jest odpowiednio wysoki dzięki wysokiej jakości systemom i procesom bezpieczeństwa, nasi eksperci ds. bezpieczeństwa IT przeprowadzają symulację przeciwnika (Red Team Campaign), która symuluje prawdziwy ukierunkowany atak na Twoją firmę. Wyniki dają wgląd w odporność firmy na cyberataki i dostarczają odpowiedzi m.in. na następujące pytania:

• Czy moja firma jest w stanie wykryć ukierunkowany atak?
• Czy moja firma jest w stanie odpowiednio zareagować na cyberatak?
• Czy atakujący jest w stanie niezauważenie ukraść moje ważne aktywa?

Niezależnie od wspomnianych metod testowych, zalecamy przeprowadzenie oceny bezpieczeństwa przez naszych ekspertów ds. bezpieczeństwa IT. Ocena bezpieczeństwa wykorzystuje ustrukturyzowane wywiady w celu zidentyfikowania słabych punktów i kwestii bezpieczeństwa, których zwykle nie można odkryć za pomocą klasycznych metod testu penetracyjnego.

Test penetracyjny może być stosowany elastycznie. Cała sieć firmowa (wewnętrzna i zewnętrzna) może być częścią testu, ale także tylko częściowe obszary, takie jak sklep internetowy. Co więcej, urządzenia (I)IoT, systemy wbudowane i/lub jednostki sterujące w samochodach również mogą być przedmiotem testu penetracyjnego.

Pomożemy Ci wybrać odpowiednie podejście do Twojego celu. Skontaktuj się z nami w celu przeprowadzenia indywidualnej analizy potrzeb.

W przypadku testu penetracyjnego aplikacji internetowej, np. sklepu internetowego, postępujemy zgodnie z przewodnikiem testowania OWASP (Open Web Application Security Project), a tym samym obejmujemy również OWASP Top 10. OWASP Top 10 dostarcza informacji o najczęściej identyfikowanych lukach w aplikacjach internetowych.

Chociaż zazwyczaj korzystamy z naszej własnej uproszczonej oceny ryzyka, na życzenie możemy skorzystać z Common Vulnerability Scoring System (CVSS), który wyprowadza miarę krytyczności z podstawowych właściwości podatności. Oczywiście, oprócz oceny CVSSv3 możemy również dostarczyć tak zwany wektor CVSS.

Tak, każda firma stanowi wartościowy cel dla atakujących. Szczególnie w przypadku małych i średnich firm, hakerzy zakładają, że istnieje mniej środków bezpieczeństwa i ochrony i dlatego wolą je atakować.

Test penetracyjny to zawsze tylko migawka. Zarówno ataki, jak i testowana infrastruktura lub aplikacja ewoluują, przez co wyniki testu z czasem tracą na znaczeniu. Dlatego takie testy powinny być przeprowadzane regularnie. Nie zawsze konieczne jest testowanie wszystkich aspektów w równym stopniu, ale podczas regularnego testu można skupić się na zmianach. Zasadniczo jednak pełny ponowny test powinien zostać przeprowadzony najpóźniej po dwóch latach.

Coraz więcej procesów biznesowych jest digitalizowanych, a systemy są ze sobą połączone. Ta cyfryzacja stwarza hakerom możliwości infiltracji systemów. Test penetracyjny pomaga zidentyfikować potencjalne punkty wejścia dla atakujących i wyeliminować wykryte luki za pomocą odpowiednich środków. Testy penetracyjne umożliwiają wykrycie luk w zabezpieczeniach infrastruktury IT, zanim zrobią to hakerzy. Chroni to nie tylko zasoby, ale także reputację i zaufanie klientów do marki.

Testy penetracyjne mogą być przeprowadzane na niemal wszystkich systemach cyfrowych. Nasi eksperci przeprowadzają szeroki zakres testów, np. na portalach B2B, aplikacjach w chmurze i systemach wbudowanych, takich jak jednostki sterujące. Metodologia i zakres w dużej mierze zależą od poziomu dojrzałości cyberbezpieczeństwa firmy. Wewnętrzne i zewnętrzne testy penetracyjne są często dobrym punktem wyjścia do uzyskania wglądu w słabe punkty systemów.

Nie jest wymagane żadne skomplikowane planowanie. Konieczne jest jedynie zaplanowanie zasobów ludzkich, abyśmy mogli z wyprzedzeniem omówić indywidualne potrzeby. Podczas testu powinna być dostępna osoba kontaktowa, która odpowie na pytania.

Podstawowym wymogiem jest, aby nasi eksperci mieli dostęp do sieci firmowej i systemów, które mają być testowane. To, czy potrzebne są dodatkowe informacje lub dostęp, zależy od rodzaju testu.

W teście typu "czarna skrzynka" nasi eksperci otrzymują jedynie dostęp do systemów na poziomie sieci. W teście białoskrzynkowym wymagany jest pełny dostęp do systemu oraz szczegółowa wiedza na temat komponentów i ich interakcji. Dobrym kompromisem jest test szarej skrzynki, w którym zazwyczaj zapewniany jest dostęp nieadministracyjny.

Poważnie traktujemy ochronę danych i odpowiedzialnie obchodzimy się z danymi użytkowników. Jeśli testowane są systemy lub bazy danych zawierające dane osobowe, zalecamy umowne uregulowanie postępowania z takimi danymi.

Podczas testów możemy mieć kontakt z danymi osobowymi, np. jeśli luka w zabezpieczeniach umożliwia dostęp do bazy danych zawierającej takie informacje. Dlatego też ochrona danych jest stałym elementem naszych umów na testy penetracyjne.

Test penetracyjny nie jest w stanie wykryć wszystkich możliwych podatności. Jak w przypadku każdego testu: im głębszy i szerszy zakres testu, tym większe prawdopodobieństwo wykrycia luk w zabezpieczeniach. Aby zapewnić kompleksowe bezpieczeństwo IT, niezbędna jest holistyczna koncepcja cyberbezpieczeństwa. Testy penetracyjne są istotną częścią osiągnięcia tego celu.

Jeśli znajdziemy krytyczne luki w zabezpieczeniach, skontaktujemy się z Tobą podczas testu. Otrzymasz wstępną ocenę techniczną i zalecenia dotyczące środków zaradczych. Odpowiedzialność za wdrożenie tych środków spoczywa na użytkowniku.

Mniej krytyczne kwestie są podsumowywane w raporcie. Po zakończeniu testu dostarczamy raport z zalecanymi działaniami mającymi na celu usunięcie zidentyfikowanych luk w zabezpieczeniach.

Zalecane jest naprawienie zidentyfikowanych luk w zabezpieczeniach. Koszty różnią się w zależności od wagi i wymaganych środków. Niektóre poprawki są niewielkie, na przykład zmiana wartości kodu z 0 na 1. Inne mogą wymagać zmian w procesach, które są bardziej czasochłonne i kosztowne. Te decyzje i wdrożenia nie są częścią samego testu, ale oferujemy wsparcie doradcze.

Konsekwencje mogą być poważne i bardzo zróżnicowane - od pojedynczej awarii systemu po pełne przerwy w produkcji trwające kilka dni. Wyszukiwanie haseł "WannaCry" i "przerwa w produkcji" pokazuje przykłady z prawdziwego świata. Każda firma musi ocenić, co może dla niej oznaczać utrata danych, manipulacja lub przestój systemu. Niewykryte luki w zabezpieczeniach mogą prowadzić do najgorszych scenariuszy.

Test penetracyjny ma na celu wykrycie luk - nie jest certyfikatem ani dowodem bezpieczeństwa. Raport wykazujący brak problemów nie oznacza, że system jest w pełni bezpieczny.

Testy penetracyjne to specjalistyczna umiejętność wymagająca głębokiej wiedzy technicznej i szkolenia. Nasz personel jest wysoce wyszkolony i koncentruje się wyłącznie na testach penetracyjnych.

Podejścia mieszane (np. pracownicy wewnętrzni wykonujący testy penetracyjne na boku) często przynoszą niewiarygodne wyniki. Dlatego zalecamy korzystanie z usług dedykowanych ekspertów, takich jak ci z TÜV Rheinland.

Niektóre firmy mają własne zespoły pentestów, które również wspieramy. Jako zewnętrzni eksperci zapewniamy neutralne spojrzenie i często możemy zidentyfikować inne podatności niż testerzy wewnętrzni, którzy zbyt dobrze znają system.

Luki w zabezpieczeniach pojawiają się z wielu powodów i nie wpływają negatywnie na wydajność działu IT. Nawet wiodące firmy IT regularnie znajdują problemy. To, co naprawdę odzwierciedla jakość IT, to sposób, w jaki wyniki testów są traktowane i rozwiązywane.