Penetračný test

Skúsenosti, odbornosť, profesionalita

Penetračné testy

Ponúkame Vám služby zamerané na včasné odhaľovanie
bezpečnostných chýb a zraniteľností v informačných systémoch
skôr ako ich zneužije útočník.

 

Vyžiadajte si nezáväznú cenovú ponuku.

 

Automatizovaný test

Každý počítač dostupný z internetu môže byť niekoľkokrát za deň preskúmaný automatickými robotmi. Niektorí hľadajú chyby, aby sa nimi mohli chváliť na internete, iní sa snažia získať uložené dáta alebo objednať zdarma pizzu, ďalší chcú rozoslať milión reklamných emailov.
Ponúkame Vám podobný automatický prieskum simulujúci niektoré z týchto útokov s tým, že získané dáta obdržíte Vy.
Pri kritických bezpečnostných chybách objavených pri kontrole bude manuálne overené, či nejde o falošné zistenie (false-positive). Preverenie, či je možné túto chybu naozaj využiť už nie je vykonané.


Test webovej aplikácie

Každá web aplikácia na internete je vystavená riziku cieleného útoku. Dôvodom útoku je získanie prístupu k zaujímavým dátam, či osobným údajom alebo poškodenie mena vlastníka webu. Medzi ciele útočníkov nepatria len veľké banky, e-shopy a médiá, ale každá aplikácia potenciálne obsahujúca citlivé informácie.

Ponúkame Vám:

  • Základný test webowej aplikácie
    Test simulujúcí útok cielený priamo na Vás. Použijeme rovnaké alebo podobné nástroje, aké by použil aj skutočný útočník, a zameriame se na tie nejčastejšie a najznámejšie chyby. Výstupy automatizovaného testovania sú manuálne skontrolované a podľa odhalených zistení sú upravované nastavenia použitých testovacích nástrojov.
    Chyby odhalené pri automatizovanej kontrole sú ďalej preverované, či nejde o false-positive zistenie. Slabé miesta sú v ďalšom kroku preverené pokusmi o kompromitáciu aplikácie alebo servera.
    Test je vykonaný podľa OWASP Top 10 (Open Web Application Security Project) zameraný na kontrolu najčastejších zraniteľností a môže byť doplnený o ďalšie testy podľa OWASP Testing Guide.
  • Detailný test webovej aplikácie
    Cieľom tohto testu je dôkladné otestovanie webovej aplikácie a jej infraštruktúry z pohľadu anonymného alebo prihláseného používateľa, resp. rôznych rolí používateľov. Výstupy automatizovaného testovania sú manuálne overované a zistenia ďalej použité pri pokusoch o kompromitáciu aplikácie alebo servera.  Použitie manuálneho testovania umožňuje prekonať bariéry, cez ktoré sa automatizované nástroje nedostanú. Rozsah a hĺbka testovania je určená požiadavkami zákazníka. Začína od jednoduchého testu oblastí uvedených v OWASP Top 10 a končí testom realizovaným striktne podľa OWASP Testing Guide, vrátane prípadného rozšírenia testu o ďalšie nezahrnuté oblasti (špecifické pre danú aplikáciu alebo technológiu, nové typy chýb neznáme v dobe vzniku aktuálnej verzie Testing Guide, a pod.). Test môže byť doplnený o kontrolu vybraných častí zdrojového kódu.


Test mobilnej aplikácie

Tak ako iné typy aplikácií, aj mobilné aplikácie zápasia s výskytom zraniteľností. Potenciálny útočník ich môže zneužiť - spôsobiť únik citlivých dát, obmedziť jej funkčnosť a pod. Pre testovanie používa ESET metodiku vychádzajúcu z OWASP Mobile Security Project kombinovanú s vlastnými skúsenosťami a znalosťami testovania mobilných aplikácií.


Test infraštruktúry

Chcete se presvedčiť, ako je na tom vaša sieť alebo server so zabezpečením pred útočníkmi z internetu?

Čo si môže z vašej firmy odniesť niekto, kto si zapojí svoj notebook do najbližšej zásuvky? Viete, čo všetko môže vykonať zamestnanec zo svojho počítača?

Ponúkame Vám:

  • Externý test infraštruktúry
    Test simulujúci útok cielený priamo na vás. Použijeme rovnaké alebo podobné nástroje, aké by použil aj skutočný útočník a zameriame sa na tie nejčastejšie a nejznámejšie chyby. Výstup získaný prostredníctvom automatizovanej kontroly je ďalej analyzovaný a spresňovaný. Cieľom je detekovať slabé miesta, preveriť ich a získané údaje alebo prístupy použiť pri ďalšom skúmaní a prenikaní do systémov.
  • Interný test infraštruktúry
    V rámci testu je preverené zabezpečenie internej siete zákazníka z pohľadu neautorizovaného útočníka s pripojením k sieti a tiež z pohľadu bežného používateľa (zamestnanca). Cieľom je zistiť možnosti neoprávneného prístupu útočníka k  informáciám, dátam a činnostiam.


Prečo vykonávať penetračné testy?


Prevencia pred bezpečnostnými incidentmi a stratou dobrého mena

Včasná identifikácia bezpečnostných chýb v systémoch a predchádzanie stratám pri ich zneužití

Sledovanie vývoja stavu bezpečnosti

Optimalizácia nákladov na implementáciu bezpečnostných opatrení

Prečo ESET


Špecialisti na informačnú bezpečnosť - Náš tím certifikovaných špecialistov má viac než 10 rokov skúseností na trhu a podporu najväčšej slovenskej IT security firmy.